Der US-Konzern Google stellt mit seinen vielfältigen Tools und Diensten umfangreiche Funktionalität für vielerlei Anwendungen zur Verfügung. Die Nutzung der kleinen Helferlein ist vordergründig meistens „kostenfrei“. Worüber aber nicht geredet wird, ist, dass durch die Nutzung von Anwendungen wie Google Maps, Analytics, Fonts und Co. immer die Daten Ihrer Websitebesucher zu Google übermittelt werden. Google verarbeitet diese Daten für ganz eigene Zwecke – z. B. um Ihren Kunden individualisierte Werbung ausliefern zu können. An jedem Umsatz, der durch Werbung erfolgt, verdient Google fleißig mit. Im Klartext bedeutet das, dass Websiteverantwortliche – ohne dass Sie das wirklich wissen oder gar wollen, den Gewinn von Google steigern. Oder ist Ihnen bewußt, dass jeder Besucher Ihrer eigenen Website ist ein potentieller Kunde für Google ist – sofern Sie Dienste von Google auf Ihrer Website eingebunden haben?
Die Datenschutzgrundverordnung soll dazu beitragen, solche Datenflüsse transparent zu machen und Nutzern die Möglichkeit zu geben, bewußt zu entscheiden, wohin ihre Daten fließen. Konzerne wehren sich und versuchen, Schlupflöcher zu finden. Die gute Nachricht ist: Eines dieser Schlupflöcher wurde Mitte 2020 durch den EuGH geschlossen. Er stellte mit dem Cookie-Urteil klar, dass personenbezogene Daten nur noch mit Einwilligung an Dritte übertragen werden dürfen.
Was dieses Mehr gesetzlich zugesicherter Freiheit nun für Sie als Websitebetreiber bedeutet, habe ich hier einmal zusammengefaßt. Heute geht es um die Einbindung der beliebten Google Dienste: Google Maps, Google Analytics und Google Fonts.
Google Maps
Googel Maps sind als praktische Anfahrtskarten auf sehr vielen Website eingebunden. Beim Öffnen der Seite wird sofort ein kleiner Kartenausschnitt angezeigt, in dem der Standort des Unternehmens, die Lage, Parkplätze in der Nähe, Nachbargeschäfte usw. gut erkennbar zu sehen sind.
Die Nutzung von Google Maps auf privaten Webseiten ist kostenfrei und auch unter DSGVO-Aspekten kein Problem – weil ja die DSGVO für rein private Anwendungen nicht anwendbar ist.
Die Einbindung als Unternehmen stellt hingegen eine kommerzielle Nutzung dar. Und, wie Sie sich sicher denken können, ist für gewerbliche Websiten schon in den Nutzungsbedingungen von Google untersagt.
Natürlich gibt es trotzdem eine Möglichkeit, den praktischen Kartendienst von Google zu nutzen: Dazu greift man auf die Programmierschnittstelle „Google Maps API“ zurück. Erforderlich ist hierzu auf jeden Fall, dass Sie ein Google-Konto anlegen. So hat Google die Möglichkeit, die Nutzung des Dienstes auf der Website zu verfolgen und Ihrem Google Konto zuzuweisen. Ob die Nutzung des Dienstes kostenlos ist oder nicht, hängt von verschiedenen Faktoren ab: Einerseits kommt es darauf an, wie oft die Karte aufgerufen wird und wie die Karte eingebunden ist. Grundsätzlich gilt: wird die Karte weniger als 200.000 mal pro Monat aufgerufen, bleibt es für den Seitenbetreiber kostenlos.
Es sei denn, Sie sind sowas wie DHL oder DPD 😊. Denn werden über die Website oder App Standorte von Personen oder Objekte nachverfolgt, dann ist die Einbindung der Google Maps API in jedem Fall kostenpflichtig.
So ganz trivial ist die Einbindung des Dienstes dennoch nicht. Man sollte sich schon ganz gut mit HTML und Javascript auskennen, um das Tool funktionsfähig einzubinden.
Die Einbindung der Google Karte ist allerdings aus datenschutzrechtlicher Sicht ein Problem. Denn bereits beim Öffnen der Seite, in der die Karte eingebunden ist, wird die IP-Adresse des Nutzers nach Amerika übertragen. Außerdem werden Cookies auf dem Rechner des Nutzers gesetzt, die von Google zu Zwecken der individualisierten Werbung gesetzt werden.
Wie wir ja wissen, stellt die IP-Adresse ein personenbezogenes Datum dar und die Übertragung nach Amerika – also in ein Drittland – ist spätestens seit dem Schrems II Urteil nur noch mit Hilfe der Standardvertragsklauseln möglich – die Google für die Nutzung von Maps aber gar nicht anbietet.
Was kann also die Lösung sein?
Wie immer gibt es mehrere Lösungen. Das einfachste ist, Google Maps komplett aus der Website zu löschen. Aber: Ich höre schon den Aufschrei! Den gewohnten Service möchte man seinen Kunden und Besuchern natürlich trotzdem gern zur Verfügung stellen. Eine mögliche Alternative kann da z. B. einer Karte des Projekts OpenStreetMap.org sein. Diese Karte wird als Open Database Licence (ODbL) angeboten. Hier ist auch die gewerbliche Nutzung kostenlos sofern der entsprechende Quellhinweis angebracht wird. Zum datenschutzkonformen Einbinden der OpenStreetMap haben wir einen Workaround geschrieben, den Sie hier anfordern können.
Wenn Löschen also keine Option ist, und die OpenStreet Map Karte nicht gefällt, dann ist ganz dringend eine sogenannte Opt-In Lösung umzusetzen. Das sieht dann so aus: Die Website öffnet, dort wo die Karte normalerweise zu sehen wäre, ist nur ein Platzhalter zu sehen (in Form einer grauen Fläche oder einer knappen Skizze, die Sie selbst erstellen können z. B. über castamap.de.
Gleichzeitig liest der Nutzer einen Text, der darüber informiert, dass eben bei Anzeige der Karte seine IP an Google übertragen wird und er die Karte sieht sobald er auf den Button „Zustimmen“ klickt. Datenschutzkonform und zu 100% safe ist das allerdings immer noch nicht. Darum winkt das LDA Bayern mit der Antwort in der Datenschutz-FAQ einmal ganz heftig mit dem Zaunpfahl! Die strengen Voraussetzungen, von denen da die Rede sind, sind nicht einzuhalten. Fazit: Die Einbindung ist unzulässig.
Wir halten fest: Auch die Opt-In-Lösung rettet Sie nicht. Wie eine Opt-In Lösung eingebunden wird, weiß mit Sicherheit Ihre Webagentur. Für Nutzer von Content Management Systemen gibt es ggf. spezielle Tools oder Plugins.
Google Analytics
Bei der Einbindung des Analysetools Google-Analytics gilt ebenfalls das zuvor gesagte. Um diesen Dienst nutzen zu können, müssen Sie ebenfalls ein Google Konto anlegen, dann ein Script in den Quellcode Ihrer Website einbauen und – sie ahnen es sicher schon – wird Ihre Website mit Ihrem Google Konto verknüpft. Google bekommt auf diese Art mit, was genau auf Ihrer Website passiert, wer wie lange wo schaut, liest oder surft, mit welchem Browser, mit welcher Landeseinstellung und und und.
Damit das alles funktioniert und damit Google Ihre Kunden und Seiten Besucher auch in Zukunft zweifelsfrei wiedererkennt und Ihrer Zielgruppe maßgeschneiderte Google-Werbung ausliefern kann, setzt das Tool automatisch – also direkt wenn die Seite öffnet -Cookies. [Entschuldigung für diesen Bandwurmsatz – aber was Googel hier völlig selbstverständlich macht, geht mir unendlich auf die Nerven!]
Die Einbindung von Google Analytics muss darum einige Kriterien erfüllen:
- Sie brauchen eine Opt-In Lösung: Fragen Sie jeden Besucher der Website, ob das Tracking mit Google Analytics für ihn ok ist. Das heißt konkret: Analytics darf erst dann laufen, wenn Sie die Einwilligung des Nutzers haben!
- Klären Sie Ihre Nutzer auf: Klären Sie die Besucher der Website ganz genau auf, welche Cookies nach der Zustimmung eingesetzt werden. Das gilt übrigens für alle Cookies – nicht nur für die Analytics-Cookies!
- Opt-Out: Stellen Sie sicher, dass Nutzer die erteilte Einwilligung jederzeit genauso einfach zurückziehen können – in der Fachsprache heißt das Opt-Out.
- Analytics ja – aber bitte anonymisiert: Die IP-Adresse des Nutzers sollte lediglich anonym zu Google übertragen werden. Dazu ist das Script von Analytics um eine wichtige Anweisung ergänzen. Wie das genau geht erklärt Google in diesem Hilfetext „Script-Erweiterung – IP Anonymization“: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
Google Fonts
Viele Websiten verwenden die beliebten Google-Schriftarten. Google stellt schöne, ausgefallene, besondere Schriftarten zur Verfügung, die einer Website das „Gewisse etwas“ verleihen. Die Schriftarten sind physikalisch auf Google-Servern gespeichert und werden von der jeweiligen Website einfach nur „eingebunden“. Das heißt, über jeden Aufruf der Website wird Google schon mal per se informiert. Damit nicht genug – genauso wie bei den anderen Diensten wird die IP-Adresse des Nutzers an Google übertragen. Wie oben bereits erwähnt, darf das aus datenschutzrechtlicher Sicht nicht so sein.
Update: Lt. Urteil des Langerichts München Urteil vom 20.01.22., AZ. 3O17493/20) verletzt derjenige das Persönlichkeitsrecht seiner Nutzer, der Google Fonts ohne Einwilligung setzt.
Zum Glück läßt sich dieses Problem wirklich einfach lösen. Anstatt die einfachste Lösung zu wählen, die Google Fonts nur über eine HTML-Verlinkung im Quellcode einzubinden, kann man die meisten Schriftarten auch von Googel herunterladen und auf dem eigenen Webserver speichern. Achten Sie hier darauf, dass Ihre gewünschte Schrift unter der Apache Lizenz quelloffen zur Verfügung steht.
Eine gute Anleitung, wie Sie Google Schriften auf Ihrem Server installieren können finden Sie im Blog des Hosting-Anbieters Mittwald: https://www.mittwald.de/blog/mittwald/howtos/dem-datenschutz-zuliebe-wie-ihr-google-fonts-lokal-in-eure-webseiten-einbindet#Notwendig-dank-der-DSGVO–Google-Fonts-sollten-lokal-eingebunden-werden .
Grundsätzlich gilt das hier Beschriebene immer für die Einbindung externer Tools in eigene Dienste. Es sollte immer überprüft werden, ob personenbezogene Daten an den Anbieter übertragen werden und falls ja, welche. Alle externen Dienste müssen in der Datenschutzerklärung der Website auftauchen und möglichst leicht verständlich und genau beschreiben, was mit den personenbezogenen Daten der Nutzer geschieht.
Brauchen Sie Unterstützung oder überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!