Datenschutzerklärung für Google Optimize

(1 Bewertung, 5.00 von 5)

Was macht Google Optimize?

Google Optimize ist ein Tool, mit dem Unternehmen verschiedene Varianten ihrer Webseite testen können (A/B-Tests). Seitenbetreiber prüfen so zum Beispiel, wie Überschriften, Calls-to-Action, Bilder und Layouts bei Usern ankommen. Auf diese Weise können Unternehmen die Performance ihrer Seite verbessern. Was müssen sie beachten, um Google Optimize datenschutzkonform zu verwenden?

Der Punkt "Google Optimize" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

  

Warum ist Google Optimize datenschutzrechtlich relevant?

Google Optimize sammelt und speichert umfassende Daten zum Verhalten der Webseitenbesucher. Dazu zählen unter anderem personenbezogene Daten wie IP-Adressen, die Google in die USA weiterleitet. Um das Tool datenschutzkonform zu nutzen, müssen Unternehmen daher Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) beachten.

Google Optimize datenschutzkonform verwenden

Um die Pflichten des deutschen Datenschutzes einzuhalten, müssen Unternehmen diese Maßnahmen ergreifen:

Nutzer-Einwilligung einholen

Um Nutzerdaten zu erheben, setzt Google Optimize einen Cookie in den Browser von Usern. Dafür benötigen Unternehmen eine Einwilligung. Sie können diese zum Beispiel über ein Cookie Consent Tool einholen. Das Tool fragt die Erlaubnis so ab, dass User diese informiert, freiwillig und aktiv erteilen.

Vertrag zur Auftragsdatenverarbeitung abschließen

Webseitenbetreiber erheben über Google Optimize personenbezogene Daten und geben diese zur weisungsgebundenen Verarbeitung an den Anbieter weiter. Dafür schreibt Art. 28 DSGVO vor: Sie müssen mit Google einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Der Vertrag bestimmt,

  • welche Nutzerdaten Google Optimize speichert,
  • wie lange das Tool die Daten speichert,
  • zu welchem Zweck es die Daten verarbeitet und
  • welche sonstigen Rechte und Pflichten beide Parteien haben.

IP-Anonymisierung vornehmen

Um die über Google Optimize ermittelten Userdaten auswerten zu können, müssen Seitenbetreiber das Tool mit Google Analytics verbinden. In Google Analytics sollten Seitenbetreiber die IP-Adresse von Nutzern anonymisieren. Das können sie über die Funktion „anonymizeIp“ vornehmen. Auf diese Weise erheben sie nicht die vollständige IP-Adresse. Das heißt: Sie können darüber keinen konkreten Personenbezug mehr herstellen. Es handelt sich dann nicht mehr um personenbezogene Daten.

Alte Daten regelmäßig löschen

Unternehmen sollten die über Google Optimize erhobenen Daten nur so lange aufbewahren, wie sie diese benötigen. Das bedeutet: Erfüllen die Daten keinen Zweck mehr (zum Beispiel nach Auswertung eines A/B-Tests), sollten sie diese löschen.

Datenschutzerklärung aktualisieren

Seitenbetreiber müssen in ihrer Datenschutzerklärung darüber informieren, dass sie

  • über Google Optimize (personenbezogene) Daten erheben, speichern und verarbeiten,
  • diese Daten an Google in den USA weitergeben,
  • dafür mit Google einen AV-Vertrag geschlossen haben und
  • die IPs anonymisiert haben.

Zudem sollten Seitenbetreiber User darauf hinweisen, dass sie der Datenerhebung jederzeit widersprechen können.

Standardvertragsklauseln abschließen

Um Nutzerdaten in die USA zu versenden zu dürfen, benötigen Unternehmen eine rechtliche Grundlage. Diese besteht derzeit in Form von Standardvertragsklauseln. Seitenbetreiber müssen diese mit Google abschließen. Dem kommen sie automatisch nach, wenn sie bei Google dem „Zusatz zur Datenverarbeitung“ zustimmen.

Zusätzlich müssen Seitenbetreiber eine Risikoabschätzung durchführen. Diese legt offen,

  • welche Art von Daten sie an Google in den USA weitergeben,
  • welche Rechtsvorschriften in den USA gelten und
  • ob sie weitere Maßnahmen ergreifen können, um die über Google Optimize erhobenen Daten zu schützen.

Rechtsprechung zu Google Optimize

Für Google Optimize liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Um das Tool zu verwenden, müssen Seitenbetreiber dies jedoch mit Google Analytics verbinden. Daher ist die folgende Rechtsprechung relevant:

Landgericht Hamburg zum Hinweis auf Google Analytics in Datenschutzerklärung

Webseitenbetreiber dürfen Google Analytics (und damit auch Google Optimize) nur verwenden, wenn sie darüber in ihrer Datenschutzerklärung informieren. Dabei müssen sie ausführlich erklären, dass und wie sie über das Tool Nutzerdaten erheben und speichern (Beschluss vom 10.03.2016, Az. 312 O 127/16). Das bestätigte das Gericht in einem Urteil am 09.08.2016 (Az. 406 HKO 120/16). Dabei betonte es noch einmal: Seitenbetreiber erfüllen nicht die Anforderungen des deutschen Datenschutzes, wenn sie Nutzer nicht über den Einsatz von Google Analytics in ihrer Datenschutzerklärung informieren.

Europäischer Gerichtshof zur Verwendung von Cookies

Seitenbetreiber benötigen grundsätzlich eine Einwilligung der Nutzer, wenn sie Cookies verwenden wollen. Dabei darf das Kästchen für die Erlaubnis nicht vorangekreuzt sein. Das entschied der Europäische Gerichtshof (EuGH) am 01.10.2019 (Az. C-673/17).

Bundesgerichtshof zur Verwendung von Cookies

Der Bundesgerichtshof (BGH) kam zum gleichen Schluss wie der EuGH: Seitenbetreiber dürfen nur dann Tracking Cookies einsetzen, wenn sie dafür die Einwilligung der Nutzer haben. Das Kästchen für das Einverständnis darf dabei nicht vormarkiert sein. (Urteil vom 28.05.2020, I ZR 7/16).

Datenschutzbehörde Österreich zu Google Analytics

Im Januar 2022 kam die österreichische Datenschutzbehörde zu dem Schluss: Webseitenbetreiber, die Google Analytics nutzen, verstoßen gegen die DSGVO. Denn: Die Software erfüllt nicht die allgemeinen Grundsätze der Datenübermittlung aus Art. 44 DSGVO. Das ist darauf zurückzuführen, dass Google Analytics persönliche Nutzerdaten an Google in den USA weiterleitet. Dort herrscht ein niedrigeres Datenschutzniveau als in der EU. Behörden können dort auf die Daten zugreifen, ohne dass User dem widersprechen können. Zwar bezog sich die Entscheidung der Datenschutzbehörde auf einen Fall in Österreich und ist daher nicht für deutsche Unternehmen relevant. Es ist jedoch wahrscheinlich, dass deutsche Datenschutzbehörden zu einem ähnlichen Ergebnis kommen würden.

Datenschutzbehörde Frankreich zu Google Analytics

Im Februar 2022 kam die französische Datenschutzbehörde CNIL zu einem ähnlichen Ergebnis wie die österreichische Aufsicht. Sie stellte fest: Webseitenbetreiber verstoßen mit Google Analytics gegen die Vorgaben der Datenübermittlung der DSGVO. Standardvertragsklauseln reichen nicht aus, um einen Zugriff der Behörden auf Userdaten zu rechtfertigen.

Europäischer Gerichtshof zum Privacy Shield

Der Privacy Shield stellt keine wirksame rechtliche Grundlage dar, um Daten in die USA zu versenden. Denn: Die USA nutzt aktive Überwachungsprogramme, die nicht auf das erforderliche Maß beschränkt sind. Nutzer haben keine Möglichkeit, sich gegen den Missbrauch ihrer Daten in den USA zu wehren. Das stellte der EuGH im Juli 2020 fest (Az. C-311/18).

Datenschutzbehörde Hamburg zum AV-Vertrag

Schließen Unternehmen keinen AV-Vertrag mit Dienstleistern, die für sie Daten weisungsgebunden verarbeiten, müssen sie mit einem Bußgeld rechnen. Das bestätigte die Datenschutzbehörde Hamburg im Dezember 2018, als sie ein deutsches Versandunternehmen mit einem Bußgeld von 5.000 Euro belegte. Das Unternehmen hatte es versäumt, mit einem spanischen Dienstleister einen AV-Vertrag aufzusetzen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Die Datenschutzbehörde Baden-Württemberg sprach im März 2021 ein Bußgeld in Höhe von 300.000 Euro gegen den Fußballclub VfB Stuttgart aus. Dieser hatte mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, ohne dafür einen AV-Vertrag zu schließen. Das wertete die Datenschutzbehörde als schweren Verstoß gegen die DSGVO.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6155 Bewertungen, 4.39 von 5)