Dass Google Analytics mittlerweile mit Hinblick auf das EuGH-Urteil vom 01.10.19 (C‑673/17) und das lang ersehnte BGH-„Abschluss“-Urteil nur auf eine Einwilligung zu stützen ist, ist mittlerweile vielen Verantwortlichen bekannt.
Aber wie sieht die Rechtslage bei anderen Google-Angeboten aus. Google bietet mittlerweile – auch durch Firmenübernahmen – viele Dienste, die wir hier beleuchten eine Handlungsempfehlung ausgeben möchten.
Google WebFonts
Bei dem Einsatz von Google WebFonts kann zwischen zwei Varianten unterschieden werden. Zum einen können die WebFonts – also die Schriftarten – direkt von den Servern von Google geladen werden. Dadurch werden bei einem Webseitenbesuch Schriftarten angezeigt, die nicht auf dem eigenen Webserver, sondern bei Google gehostet werden. Dies hat zwar praktische Vorteile, allerdings ist dieses Verfahren datenschutzrechtlich kritisch zu betrachten, da bei jedem Aufruf der Webseite auch eine Verbindung zu den Google-Server aufgebaut wird und dabei personenbezogene Daten der Besucher übermittelt werden. Wir raten daher die Schriftarten herunterzuladen und via des eigenen Webservers auszuspielen, so werden keine personenbezogenen Daten an Externe übermittelt.
Google reCAPTCHA
Für den Einsatz von Google reCAPTCHA kommen je nach Webseite oder Version des reCAPTCHAs entweder Cookies zum Einsatz oder keine. Nach teilweise vertretender Meinung ist der Einsatz von Google reCAPTCHA mit Cookies nicht ohne eine Opt-In-Einwilligung möglich, da es sich hierbei um nicht unbedingt technisch notwendige Cookies handelt. Für das neuere reCAPTCHA v3 werden keine Bilder mehr angezeigt, sondern es läuft im Hintergrund ein auf Javascript basierendes Tool im Hintergrund und analysiert Nutzerverhalten dabei und übermittelt sie an Google, so dass Besucher sich überhaupt nicht bewusst sind, dass sie derzeit von den CAPTCHA-Komponenten überwacht und bewertet werden. Aus diesem Grund sollte für die dritte Version ebenfalls eine Opt-In-Einwilligung eingeholt werden.
Google Maps
Auch eine Einbindung von Google Maps baut unter Umständen schon beim Aufruf der jeweiligen Webseite eine Verbindung zu Google-Servern auf und übermittelt dabei personenbezogene Daten. Dabei ist auch hier ohne eine Einwilligung nicht an eine Einbindung zu denken. Diese Einwilligung muss allerdings nicht unbedingt im Cookie-Consent-Manager untergebracht werden, sondern kann auch durch eine sogenannte Zwei-Klick-Lösung umgesetzt werden.
YouTube
Bei eingebundenen YouTube-Videos stellt sich die Situation genauso dar, wie bei der Einbindung von Google Maps. Hier sollte eine Einbindung nicht bewirken, dass bereits personenbezogene Daten übermittelt werden, wenn die Webseite bloß aufgerufen wird. Ferner sollte bei einer Einbindung durch den sogenannten „erweiterten Datenschutzmodus“ der Datenschutz verbessert werden.
DoubleClick
Da es sich bei DoubleClick um Tracking, sogenanntes Behavioral Targeting handelt, ist für den Einsatz von DoubleClick genau wie für Analytics auch eine Opt-In-Einwilligung notwendig. Die Anforderungen an diese Einwilligung muss die Freiwilligkeit, die Informiertheit, die (einfache) Widerrufbarkeit, die Transparenz erfüllen und vorab, granular und explizit eingeholt wurde.
AdSense
Beim Einsatz von AdSense wird seitens Google ein Cookie gesetzt und die IP-Adresse an Google übermittelt. Die Möglichkeit einer Anonymisierung – wie etwa bei Google Analytics – besteht hier nicht. Auch hier wird daher eine Opt-In-Einwilligung notwendig.