Google Dienste und ihre DSGVO-Tücken

Google ist einer der größten Datensammler weltweit. Daten sind das Geschäftsmodell. Vor allem personenbezogene Daten werden gesammelt und nur selten datenschutzkonform verarbeitet. Zu den meistgenutzten Diensten zählen Google Analytics, das Spamschutz-Tool Google ReCaptcha sowie Google Fonts. Jeder dieser Dienste hat seine Herausforderungen und sollte mit Bedacht eingesetzt werden.

Grundsätzlich sollten Sie sich immer fragen, ob Sie die Dienste wirklich benötigen und ob es nicht datenschutzfreundliche Alternativen gibt. Wenn Sie die Dienste nutzen, sollten Sie sich zumindest über die Risiken und Herausforderungen im Klaren sein und entsprechende Maßnahmen ergreifen.

Aus welchen Gründen werden die Google Dienste kritisiert?

Die Tools sammeln in den Standardeinstellungen immer zu viele Daten von Nutzern. So muss z.B. die Übertragung von IP-Adressen aktiv unterbunden werden, sonst wird diese mitgespeichert. Das hat auch mit einem unterschiedlichen Verständnis über schützenswertes Datenmaterial zu tun. Während in Europa die IP-Adresse als personenbezogenes Datum gilt, sehen Google und fast alle anderen US-Unternehmen das anders.

Viele Dienste übertragen die Daten standardmäßig in die USA. Bei dieser Übertragung werden Daten nicht genügend geschützt und es besteht die Gefahr, dass die Daten von US-Behörden eingesehen werden können. Achtung: Einige Dienste, darunter Google Analytics, übertragen die Daten IMMER in die USA.

Google legt in den Datenschutzerklärungen nicht immer alle Informationen zu den Datenverarbeitungen offen. Deshalb ist häufig nicht klar, was mit den gesammelten Daten passiert, zu welchem Zweck sie verarbeitet werden und wie lange sie gespeichert werden. Außerdem ist nicht immer klar, welche Rechte die Nutzer haben und wie sie diese wahrnehmen können.

Google Analytics (Analyse- und Trackingtool)

Trotz der Unzulässigkeitserklärung verschiedener Datenschutzbehörden in Europa (Österreich, Frankreich und Italien) ist Google Analytics das meist verwendete Analyse- und Websitetool. Dabei gibt es datenschutzfreundliche Alternativen:

Matomo (früher Piwik) ist das meistbenutzte Analyse- und Trackingtool nach Google Analytics und kann sehr leicht DSGVO-konform konfiguriert werden. Die Lösung richtet sich aber eher an technisch versierte Nutzer.

Auch Etracker ist eine datenschutzfreundliche Alternative. Das Tool arbeitet mit Servern in Europa und nimmt keine US-Datentransfers vor. Komplexe Anforderungen bzw. der Wunsch nach umfangreichen Analysen lassen sich auch ohne Inhouse-IT umsetzen.

Weitere Dienste sind Plausible und Simple Analytics. Diese sind für Unternehmen mit hohen Ansprüchen und eigenen IT-Kapazitäten geeignet. Wie bei Etracker wird auch hier auf Cookies verzichtet. Die Datenqualität steigt, da alle Besucher erfasst werden.

Wichtiger Hinweis:

Das alte Google Analytics (GA3) wird ab Juni 2023 abgestellt . Da es ohnehin nicht den Anforderungen der DSGVO entspricht, sollten Sie zügig auf GA4 umstellen. Damit können zumindest einige der Risiken vermieden werden.

Google Fonts (Dienst zur Bereitstellung von Schriftarten)

Was hat Google Fonts mit Datenschutz zu tun? Das sind doch nur Schriftarten, die Google zur Verfügung stellt, könnte man denken. Das ist auch soweit richtig, nur dass bei einer externen Einbindung über die Google-Server bereits beim Laden von Webseiten die IP-Adresse der Besucher in die USA gesendet wird. Damit läuft der Drittstaatentransfer in die USA, bevor der Nutzer seine Einwilligung erteilen konnte. Das ist laut DSGVO nicht zulässig, auch wenn es technisch nicht anders umsetzbar ist.

Um dem Abmahnrisiko wegen fehlerhafter Verwendung von Google Fonts auf der Website zu entgehen , müssen Google Fonts lokal eingebunden werden. D.h. man lädt den gewünschten Google Font herunter, bindet ihn lokal ein und kappt dann die Verbindung zu den Google Servern. Oder man entscheidet sich für einen Font, der nicht von Google bereitgestellt wird. Auswahl gibt es genug!

Wenn Sie Ihre Webseite nicht selbst betreuen, sprechen Sie Ihre Agentur an. Diese ist für eine rechtskonforme Umsetzung der Webseite mitverantwortlich und kann sie entsprechend beraten.

Google Recaptcha (Spamschutz-Tool)

Captcha Dienste helfen beim Zugriff auf Webseiten Menschen von Computerprogrammen zu unterscheiden. Das ist notwendig, damit schadhafte Maschinen, Computerprogramme und Software (Bots) keine Webseiten und Online-Dienste gefährden. Captchas berechnen dabei die Wahrscheinlichkeit, inwieweit es sich um Menschen handelt, die auf Webseiten zugreifen möchten.

Für die Berechnung verarbeiten Captcha Dienste unterschiedliche Nutzerdaten , z.B. die IP-Adresse, die Verweildauer auf der Website, die Anzahl der Mausbewegungen und die Einstellungen des Nutzergerätes. Welche Daten Google genau auswertet, erklärt der Tech-Riese in seiner Datenschutzerklärung aber nicht. Gem. Art. 14 Abs. 1 lit. d DSGVO ist es jedoch notwendig, die Kategorien personenbezogener Daten anzugeben. Außerdem sendet Google auch bei diesem Dienst die erhobenen Daten ohne Einwilligung der Nutzer an die Server in den USA. Das ist mal wieder nicht DSGVO-konform.

Dementsprechend sollten Sie Alternativen prüfen. Eine davon ist z.B. Friendly Captcha mit Sitz in der EU oder HCaptcha. Diese Dienste sind datenschutzfreundlicher und verarbeiten die Daten der Nutzer nicht in den USA. Außerdem sind sie transparenter in der Datenverarbeitung und informieren die Nutzer über die Verarbeitung ihrer Daten.

Alternativ können Sie auch auf andere Spamschutz-Tools zurückgreifen, bspw. versteckte Felder auf ihrer Webseite einbauen, die nur von Bots ausgefüllt werden. Diese Felder sind für menschliche Nutzer unsichtbar und werden daher nicht ausgefüllt. Damit wird der Spamschutz gewährleistet, ohne dass personenbezogene Daten verarbeitet werden müssen.

Sollten Sie dennoch für den Einsatz von Google ReCaptcha entscheiden, müssen Sie im Zweifelsfall belegen, dass der Einsatz des Tools rechtmäßig erfolgt. Dazu zählt auch der Nachweis, wie Google die Daten verarbeitet. Das ist aufgrund der wenigen Angaben, die Google zur ReCaptcha Datenverarbeitung macht, allerdings unmöglich. Deshalb lassen Sie lieber die Finger von diesem Tool.

Wenn kein Weg an Google vorbeiführt

Nutzen Sie Google mit einem Business Tarif: der kostenpflichtige Tarif bietet gegenüber den kostenlosen Leistungen den Vorteil, dass Sie Zugriff auf erweiterte Datenschutzleistungen erhalten, die unter dem Stichwort “Zusatz zur Datenverarbeitung” die Standardvertragsklauseln enthalten. Damit verspricht Google die Einhaltung der DSGVO. Somit können Sie zumindest einige der Risiken minimieren und Google Dienste datenschutzkonform nutzen.

Sind sie sich unsicher, ob Sie Google-Dienste rechtskonform einsetzen? Wir unterstützen Sie gerne mit unserem Datenschutz-Service. Kontaktieren Sie uns, um mehr zu erfahren.