Anzeige

Warum Google-Dienste für Mehraufwand beim Datenschutz sorgen

Google bietet weit mehr als nur die bekannte Suchmaschine – neben der Office Lösung Google Workspace sind der E-Mail-Dienst Gmail und das Analysetool Google Analytics von Unternehmen genutzt besonders beliebt. Häufig wird jedoch (oft auch unbewusst) gegen Datenschutzbestimmungen verstoßen – Unternehmen sollten dringend die Nutzung der Google Dienste im Betrieb hinsichtlich des Datenschutzes überprüfen, um Verstöße und somit Bußgelder zu vermeiden.
Pexels Negative Space
Anzeige

Warum machen die Dienste von Google einen Mehraufwand beim Datenschutz nötig?

Google hat zwar weltweit Rechenzentren eingerichtet, die Speicherung bei der Übermittlung von Daten erfolgt jedoch weiterhin häufig in den USA und somit in einem Drittstaat. Die Übermittlung von Daten in einen Drittstaat ist jedoch nur unter Berücksichtigung eines angemessenen Datenschutzniveaus möglich.

Nach dem Kippen des Privacy Shields stehen hierbei nun die Standardvertragsklauseln im Fokus. Alle Informationen hierzu stehen in diesem Artikel „Datentransfer in Drittländer – Schrems II und die Standardvertragsklauseln“.

Auch wenn Dienste wie Google Drive zur Datenablage genutzt werden, handelt es sich um eine Auftragsverarbeitung und ein AV-Vertrag mit Google ist unumgänglich.

Part I: Google Analytics

Was muss bei der Nutzung von Google Analytics beachtet werden?

Google Analytics wird von vielen Unternehmen eingesetzt, um das Verhalten der Besucher auf ihrer Webseite nachvollziehen und entsprechend reagieren zu können. So kann neben den besuchten Seiten auch die Verweildauer wie auch die Erfolge sogenannter Call-to-Actions (z.B. Nutzung angebotener Downloads oder Newsletter-Anmeldungen) nachvollzogen werden.

Häufig kam es zu Zusammenstößen mit den Vertretern des Datenschutzes, insbesondere nach Wegfall des Privacy Shields. Länder wie Österreich, Frankreich oder Italien haben aufgrund einer Einschätzung ihrer Datenschutzbehörden die Nutzung von Google (Analytics) für unzulässig erklärt. Auch die 2021 verabschiedeten und bis Dezember 2022 umzusetzenden neuen Standardvertragsklauseln reichen als Rechtsgrundlage nicht aus.

Welche Daten werden von Google Analytics übertragen?

Bei der Kritik der Datenschützer geht es primär um die Übertragung von IP-Adressen, die eine eindeutige Identifizierung der Nutzer möglich macht. Auch wenn die seit geraumer Zeit mögliche Anonymisierung der Daten genutzt wird, werden so viele weitere Daten erhoben (z.B. Version des genutzten Browsers, Größe des Bildschirms oder Zeitzone und Sprache), so dass Nutzer immer noch rekonstruiert werden können.

Was bedeutet GA 3 und GA4?

GA3 ist die veraltete Version Universal Analytics, während GA4 die aktuelle Version Google Analytics 4 bezeichnet. Da bei GA3 der Datenschutz weit weniger beachtet wurde, muss das Programm aktualisiert werden. GA3 wird zudem Mitte des Jahres 2023 eingestellt. Vorteil von GA4 ist unter die Speicherung der IP-Adressen auf Servern in der EU.

Wie schließe ich einen AV-Vertrag mit Google?

Während die Verträge früher noch auf dem Postweg durch die Welt geschickt wurden, kann der AV-Vertrag mit Google heute elektronisch abgeschlossen werden. Hierzu können im Google Analytics Konto unter dem Punkt „Verwaltung“ die Kontoeinstellungen aufgerufen werden. Wenn der Inhaber des GA Kontos nun nach unten scrollt, kann er die Google Bedingungen nachvollziehen und über die Checkbox zustimmen. Speichern nicht vergessen!

Fazit

Weiterhin ist der Einsatz von Google Analytics in Deutschland nicht verboten, es sollten aber einige Punkte beachtet werden:

  • Prüfen, ob bereits Google Analytics 4 genutzt wird, ggf. updaten
  • IP-Anonymisierung (durch Einbindung des Trackingcodes von GA4 gegeben)
  • Cookie-Banner / Consent Tool auf der Webseite einbinden (nur nach der aktiven Bestätigung der Datenübertragung, bzw. -speicherung von Cookies) darf GA genutzt werden
  • Datenschutzerklärung stets aktuell halten
  • Ein Vertrag zur Auftragsdatenverarbeitung muss mit Google geschlossen werden
  • Werden Daten in Drittländer übermittelt, muss eine Risikobewertung durchgeführt werden (Transfer Impact Assessment)

Part II: Weitere Google Dienste

Google Maps

Zahlreiche Unternehmer binden auf ihrer Webseite Google Maps ein – sieht der Nutzer doch direkt, wohin sein Weg ihn führen wird. Doch hier heißt es aufgepasst: Bevor die Karte geladen und somit die Daten des Nutzers übertragen werden, muss die Einwilligung über einen Klick eingeholt werden. Auch in der Datenschutzerklärung muss nach Art. 13 der Informationspflicht nachgekommen und auf die Nutzung von Google Maps hingewiesen werden.

Da die Einbindung von Googles Maps nicht technisch notwendig ist, muss der entsprechende Haken im Cookie Banner manuell gesetzt werden. Alternativ kann eine separate Zwei-Klick-Lösung integriert werden. Dabei wird zunächst nur eine Grafik der Landkarte angezeigt und erst nach Einwilligung kommt Google Maps inklusive Datenübertragung ins Spiel. Deutsche Anbieter sind hier Shariff Wrapper und Embetty.

Wer seine Webseite mit WordPress gebaut hat, kann auch auf Plugins zurückgreifen, die die Aufgabe der Zwei-Klick-Lösung übernehmen. Als Beispiel sei hier Borlab Cookie genannt, das Plugin erkennt zudem auch, ob Analytics oder Matomo eingesetzt werden und bietet hier Hinweise inklusive oOptin-Lösung an.

Google Drive

Mit Google Drive bietet Google seinen Nutzern einen Cloud-Speicher an, in dem Fotos und Dateien abgelegt werden können. Es ist nicht bekannt, wo die Rechenzentren lokalisiert sind, in denen die Daten gespeichert werden. Ein Vorteil ist die Verschlüsselung der Daten beim Upload (AES 256 Bit) und die standardmäßige Nutzung der etablierten SSL Verschlüsselung inklusive Perfect Forward Secrecy (PFS). Dadurch kann der generierte SSL-Schlüssel kein zweites Mal für eine vergangene Sitzung genutzt werden. Wer seine Daten wieder aus dem Cloudspeicher löscht, kann nicht nachvollziehen, ob selbige wie von Google versprochen nach 180 Tagen aus deren System gelöscht werden.

Google Forms

Mit der Hilfe von Google Forms können Unternehmen Umfragen erstellen und auswerten und zusätzlich Veranstaltungs-Anmeldungen verwalten. Auf jeden Fall muss beim Einsatz von Google Forms in der Datenschutzerklärung darauf hingewiesen werden. Werden personenbezogene Daten erhoben, zum Beispiel bei einer Anmeldung, wird die Nutzung datenschutzrechtlich relevant. Um Verstöße gegen die DSGVO zu vermeiden, sollten die Nutzer durch den Cookie Banner über den Einsatz von Google Forms aufgeklärt werden.

Das Abschließen des AV-Vertrages mit Google ist dank der Erhebung personenbezogener Daten ebenso unabdingbar wie die Standard-Vertragsklauseln und die Ergänzung der Datenschutzerklärung.

Google Tag Manager

Der Google Tag Manager setzt lediglich Tags, die ein Auslesen von Daten von dritten Diensten ermöglicht, erfasst (laut Google) jedoch keine personenbezogenen Daten. Von daher ist streng genommen eine Aufnahme in die Datenschutzerklärung nicht erforderlich.  Wie bei vielen Sachverhalten die DSGVO und Google betreffend findet sich auch hier keine finale Freisprechung.

Was passiert, wenn ein Datenschutzverstoß entdeckt wird?

Wer sich bei der Nutzung von Google Analytics auf die alte Version verlässt oder veraltete Cookie-Banner einsetzt, riskiert eine Abmahnung oder auch ein Bußgeld. Wer einen Datenschutzverstoß entdeckt, sollte selbigen der zuständigen Datenschutzbehörde melden – diese muss den Vorwürfen nachgehen. Wer die DSGVO berücksichtigt und Google Analytics nur unter Beachtung der empfohlenen Maßnahmen nutzt, kann das Risiko einer Abmahnung nicht ausschließen, aber deutlich minimieren. Wer sich nach einer Alternative umsehen möchte, wird bei Programmen wie Matomo oder eTracker fündig.

Sie haben Fragen rund um die DSGVO, suchen einen externen Datenschutzbeauftragten oder eine Software für Ihr Datenschutzmanagement? Dann wenden Sie sich doch an unsere zertifizierten Datenschützer, wir helfen Ihnen gerne weiter!

Weitere Artikel zum Thema

AndreyPopov | iStockphoto
Nach über einem Jahr Pandemie ist der Wunsch nach Urlaub und Erholung besonders ausgeprägt und die Menschen sehnen sich danach, endlich wieder zu verreisen. Welche Auswirkungen dies auf das Online-Suchverhalten von Gästen und damit auch[...]
LuckyLife11, Pixabay
Nicht nur nach Corona-Infektionen sind Mitarbeiter zum Teil für viele Wochen arbeitsunfähig, auch ein Beinbruch oder andere Krankheiten können eine lange Auszeit bedingen. Wenn die Wiedereingliederung ansteht, stellt sich schnell die Frage nach den zu[...]
Maksim Goncharenok, Pexels
Regelmäßig testen Bund und Länder sowie teilnehmende Kreise, Städte und Gemeinden ihre Warnmittel. Neben bereits etablierten Kanälen wie Radio und Fernsehen, Warn-Apps und Anzeigetafeln wird am 8. Dezember erstmals jeder Handynutzer direkt über sein Endgerät[...]
Tranio
Das Immobilienvermittlungsunternehmen Tranio hat auf Grundlage der Anzahl von Google-Bewertungen und Instagram-Aktivitäten der Nutzer ein Ranking von Hotels in Deutschland erstellt*. Die Datenanalyse ermittelte aus 13.000 deutschen Gastgewerbebetrieben auf Google Maps die zehn Hotels, die[...]
Nicht verzweifeln, sondern jetzt mit der DSGVO auseinandersetzen.www_slon_pics | Pixabay
Der 25. Mai ist ein wichtiger Tag in ganz Europa. An diesem Tag tritt die neue Datenschutzgrundverordnung in Kraft. Übergangsfristen sind dann zu Ende, empfindliche Strafen drohen bei Verstößen gegen das neue Gesetz. Doch: Die[...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.