NEWS

Google Produkte auf Webseiten

Viele Webseiten sind nicht datenschutzkonform, ohne dass dies den Verantwortlichen bewusst ist. Als Betreiber einer Internetseite ist man für jede Datenverarbeitung verantwortlich, die im Zusammenhang mit dieser stattfindet. Dies umfasst auch die Einbindung von Drittanbietern, die die Daten häufig für eigene Zwecke verwenden.  

Diese Daten werden häufig in den Vereinigten Staaten verarbeitet. Dies ist besonders problematisch, weil der EuGH 2020 festgestellt hat, dass in den USA kein angemessenes Datenschutzniveau herrscht. Das bedeutet, dass die Einbindung von amerikanischen Drittanbietern fast immer eine Datenschutzverletzung darstellt, wenn der Benutzer nicht explizit über diese Datenverarbeitung informiert wurde und in diese eingewilligt hat. 

Google ist der wohl bekannteste Anbieter für solche Dienste 

Ein paar Dienste von Google sind auf fast jeder Internetseite zu finden. Es herrscht der Irrglaube, dass das schon gesetzeskonform sein wird, weil das die anderen auch so machen. Dieser Irrtum kann sehr teuer werden. Deswegen möchte wir Sie darüber informieren, wie man Google-Dienste datenschutzkonform verwendet. Neben den unten genannten Vorgaben, muss selbstverständlich auch über alle Verarbeitungsvorgänge im Datenschutzhinweis informiert werden.  
Am Anfang muss erstmal festgestellt werden, welche Dienste überhaupt eingebunden sind. Weil viele Webseiten historisch gewachsen sind, ist vielen Webseitenbetreibern gar nicht bewusst, welche Dienste auf der Webseite verwendet werden. Viele dieser Dienste sind häufig gar nicht erforderlich, stellen aber ein erhebliches Risiko dar. Aus diesem Grund raten wir Ihnen, Ihre Webseiten diesbezüglich zu überprüfen. Falls Sie dabei Hilfe benötigen, melden Sie sich gerne bei uns.
 
Wenn Sie festgestellt haben, welche Google Dienste Sie verwenden, werden Sie im Folgenden aufgeklärt, wie Sie diese möglichst rechtssicher verwenden können. 

Google Analytics

Analytics bietet dem Anwender eine Vielzahl an Möglichkeiten, um das Verhalten der Besucher zu erheben und auszuwerten. Problematisch hierbei ist vor allem, dass Google die erhobenen Daten nach Amerika transferiert und zu eigenen Zwecken nutzt. Für den Betroffenen ist es kaum möglich dagegen vorzugehen. Aus diesem Grund ist Analytics seit Jahren in der Kritik. Die österreichische und die französische Aufsichtsbehörde sind der Meinung, dass Google Analytics nicht rechtskonform einsetzbar ist. Und auch in Deutschland haben die Aufsichtsbehörden schon eine Vielzahl an Auskunftsschreiben verschickt. Diese kann man kaum ausfüllen, ohne sich selbst zu belasten. Aus diesem Grund empfehlen wir, besser einen anderen Anbieter zu nutzen z. B.: Matomo, Fathom oder eTracker. 
Doch besonders wenn man Ads-Conversions messen möchte, ist man weiterhin auf Google Analytics angewiesen. 

Um in diesem Fall das Risiko eines Bußgelds zu minimieren, sollten man folgende Vorgaben umsetzen: 

• Einwilligung: Über den Consent Banner muss eine Einwilligung eingeholt werden. Hierbei muss möglichst transparent über die Datenverarbeitung informiert werden. Dies beinhaltet auch die Übermittlung in ein Drittland. Außerdem muss der Nutzer mit einem Click der Datenverarbeitung widersprechen können.
• Auftragsverarbeitungsvertrag mit Standardvertragsklauseln: Mit Google muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden. Zur Rechtfertigung der Datenübermittlung in ein Drittland, müssen außerdem Standardvertragsklauseln (SCC) abgeschlossen werden.
• Datenschutzfreundliche Voreinstellungen: Analytics sollte maximal datenschutzfreundlich konfiguriert werden (z. B.: IP-Adresse anonymisieren, Datenfreigabeeinstellungen deaktivieren, usw.) 

Google Fonts

Google Fonts ist ein Schriftartendient. Dadurch ist es möglich Webseiten einheitlich zu gestalten. Das LG München hat am 20.01.2022 einem Kläger Hundert Euro zugesprochen, weil der Betreiber der Internetseite Google Fonts per Link eingebunden hat. Aus diesem Grund sollten die Schriftarten selbst gehostet werden. Dabei können Sie auch die Schriftraten von Google nutzen, sobald diese auf Ihren eigenen Servern liegen. 

reCAPTCHA 

ReCAPTCHA ist ein Dienst, der festzustellen versucht, ob eine bestimmte Handlung im Internet von einem Menschen oder einem Computerprogramm vorgenommen wird. Hierbei werden personenbezogenen Daten (IP-Adresse, Zugriffsort und Zeitpunkt) an Google übertragen. Deswegen ist auch hierfür eine Einwilligung erforderlich. Es empfiehlt sich, diese über den Consent-Banner einzuholen. 

Google Maps 

Google Maps ist der wohl verbreitetste Kartendienst der Welt und war zeitweise auf fast jeder Webseite eingebunden. Das auch hierbei Daten der Besucher an Google übermittelt werden, ist vielen nicht bewusst. Deswegen sollte auch dieser Dienst nur mit Einwilligung der Nutzer verwendet werden. Hier empfehlen wir Ihnen die sogenannte 2-Klick-Lösung, bei welcher anfangs nur ein Vorschaubild angezeigt wird. Erst durch Zustimmung des Nutzers, wird der Karte geladen und erst dann werden Daten an Google übertragen. In dem Vorschaubild sollte der Nutzer transparent über die Datenverarbeitung aufgeklärt werden. Dies beinhaltet auch eine mögliche Datenübermittlung in die Vereinigten Staaten. 

YouTube Videos

Auch YouTube gehört zu Google, dadurch werden auch bei der Einbindung von YouTube-Videos Daten an Google übertragen. Genau wie bei Google Maps empfiehlt sich deswegen die 2-Klick-Lösung (siehe oben). Außerdem sollte der erweiterte Datenschutzmodus von YouTube verwendet werden. 

Zusammengefasst lässt sich sagen, dass sich Google Dienste in der Regel ohne eine explizite Einwilligung nicht gesetzeskonform nutzen lassen. Wir empfehlen Ihnen daher, Ihre Website auf solche Dienste zu überprüfen, um so das Risiko eines Bußgeldes zu minimieren.