Marketingtipp

Ratgeber Online-Marketing

Google-Tools: So binden Sie Google Maps, Google Fonts und Analytics datenschutzgerecht auf Ihrer Website ein

Abmahnen und abkassieren! Mit dieser Masche machen Abzocker im Internet viel Geld und den Betreibern von Websites das Leben schwer. Kein Wunder! Denn viele Unternehmen machen es Abzockern erschreckend einfach. Denn viele Websites nutzen Dienste von Google. Das Problem: Diese für das Online-Marketing durchaus nützlichen Tools funken Besucherdaten ungefragt an Google. Genau das verstößt gegen die Datenschutz-Grundverordnung (DSGVO). Hier erfahren Sie, warum Google-Maps, Google-Fonts und Google Analytics ein Problem sind und wie Sie sich gegen die Gefahr einer Abmahnung besser schützen können.

Hintergrund: Die Datenschutz-Grundverordnung (DSGVO) entfaltet seit Mai 2018 ihre volle Wirkung. Seitdem müssen Unternehmen die neuen Regeln zwingend beherzigen. Das betrifft nicht nur, aber auch die Internetauftritte von Unternehmen. Dabei reicht es nicht aus, nur die Datenschutzerklärungen auf der Website zu überarbeiten. Auch technische Änderungen sind nötig. Insbesondere modernere Websites setzen Tools von Dritten wie Google ein, die eine Angriffsfläche für Abzocker bieten, die sich auf das Abmahnen von Website-Betreibern spezialisiert haben.

Gerade die technischen Problemzonen sind für die Betreiber von Websites gefährlich. Denn die technisch manifestierten Verstöße gegen Datenschutz können Abmahnungsabzocker ohne großen Aufwand vollautomatisiert orten. Diese Arbeit erledigen spezielle Suchprogramme, die das Internet nach Websites mit bestimmten technischen Bestandteilen oder Merkmalen im Quellcode durchforsten. Auffällig sind bestimmte Skripte und Tracking-Cookies, die bei Programmierern dafür bekannt sind, dass sie personenbezogene Daten der Website-Besucher ohne deren Zustimmung an Dritte schicken, z.B. an Google in den USA. Den meisten Betreibern der Websites ist das nicht einmal klar. Selbst viele Website-Designer stehen ratlos auf dem Schlauch.

Wenn auch Ihre Website mindestens einen der folgenden Google-Dienste einsetzt, sollten Sie mit Ihrem Web-Designer oder Programmierer möglichst unverzüglich über eine technische Lösung für die datenschutzrechtlichen Problemzonen sprechen:

  1. Google Maps: Zustimmung zur verräterischen Standortkarte einholen
  2. Google Analytics: Nur noch mit Opt-In möglich
  3. Google Fonts: Schriften die Überseeverbindung zu Google kappen

Rechtliche Klarstellung: Dieser Artikel ist keine Rechtsberatung. Ich bin kein Rechtsanwalt und übernehme folglich auch keine Gewähr, dass ich die hier dargestellten rechtlichen Problemzonen in jeder Hinsicht einwandfrei einschätze. Gleichwohl basiert dieser Artikel auf einer sorgfältigen Recherche und auf Gesprächen mit fachlich versierten Rechtsanwälten. Das Ergebnis meiner Recherche möchte ich hier im Sinne einer nützlichen Hilfe auch anderen Betreibern von Websites zur Verfügung stellen, die sich ebenfalls um eine präventive Abwehr von Abmahnungen bemühen.

Zu 1: Google Maps: Zustimmung zur verräterischen Standortkarte einholen

Der Nutzen: Mit Hilfe von Googles Kartendienst zeigen Unternehmen den Besuchern ihrer Websites ihren Standort an. Das ist für die virtuellen Besucher praktisch und bedient ein Ziel im Online-Marketing. Denn die potenziellen Kunden können sich auf dem Smartphone den Anfahrtsweg (Route) vom eigenen Standort bis zum Firmensitz des Website-Betreibers anzeigen lassen und direkt dorthin fahren. So werden aus virtuellen Website-Besuchern echte Kunden, Mandanten oder Patienten.

Das Problem: Eine Website, die Google Maps eingebunden hat, funkt die IP-Adresse des Besuchers sofort zu Google nach Amerika. Die IP-Adresse des Website-Besuchers zählt zu seinen personenbezogenen Daten. Diese dürfen aber ohne seine Zustimmung nicht einfach an Dritte gesendet werden, hier: an Google in den USA.

Technische Lösungen: Entweder (a) Google Maps eliminieren oder (b) Opt-in-Schalter anbieten.

a) Die einfachste Lösung des Problems ist es, Google Maps ganz von der Website zu verbannen. Der Nachteil: Ihre Website-Besucher müssen auf den Service verzichten, den Weg zu Ihrem Unternehmen direkt auf Ihrer Website mit Google Maps zu finden. Das ist vor allem dann ein Verlust an Nutzen für den Besucher (Usability) und ein Nachteil beim Online-Marketing, wenn Ihre Website darauf abzielt, die virtuellen Besucher auch im echten Leben zu Ihrem Unternehmen, Ladenlokal, Restaurant, Ihrer Arztpraxis oder Kanzlei zu führen.

b) Die zweite Lösungsvariante funktioniert mit einer Opt-in-Lösung für Google Maps. Das geht so: Sie bieten den Besuchern Ihrer Website die Standortkarte in Google Maps nur in Verbindung mit einer Zustimmung zu diesem Dienst an. Wichtig: Die Frage nach der Zustimmung des Besuchers muss eine echte Opt-in-Lösung sein! Es reicht also nicht, den Website-Besucher darauf hinzuweisen, dass bei Nutzung der Website personenbezogene Daten an Google übertragen werden, und er dieser Übertragung automatisch zustimmen würde, indem er die Website weiter nutze.

Opt-in heißt: Sie bieten dem Besucher an, sich bewusst für Google Maps zu entscheiden. Dafür darf die Unterseite, auf der die Standortkarte zu sehen sein soll, beim ersten Aufruf im Browser des Besuchers gerade nicht sofort Google Maps laden. Der Opt-In-Schalter muss technisch den Aufruf von Google Maps verhindern. Denn nur so lässt sich die sofortige Datenübertragung an Google vermeiden. Die Google Maps Karte darf auf der Website also erst dann geladen werden, wenn der Besucher der Datenübertragung an Google zustimmt und den Opt-In-Schalter aktiviert. Nun bekommt er auch die Google Maps Karte mit Ihrem Standort zu sehen.

Diese technische Lösung der Problemzone Google Maps lässt sich leicht realisieren. Der Programmieraufwand hält sich in Grenzen. Wer seine Website mit Wordpress, Joomla oder einem anderen gängigen Content Management Systeme (CMS) betreibt, sucht am besten nach passenden Plugins, Komponenten oder Modulen für die DSGVO-konforme Einbindung von Google Maps. Wo Sie alternative Angebote finden, sollten Sie genau prüfen, wie und ob diese richtig funktionieren.

Bei diesen Plugin wird im Rahmen, in dem nach der Zustimmung eines Besuchers die Google Maps Karte erscheinen soll, zunächst ein Hintergrundbild oder eine graue Fläche angezeigt. Besser ist eine Anfahrtsskizze als Platzhalter, auf der Ihr Standort schon zu sehen ist. Eine solche Anfahrtsskizze können Sie sich von einem Grafiker gestalten lassen. Oder Sie nutzen das Online-Tool www.castamap.de und basteln sich selbst einen passenden Stadtplanausschnitt. Diesen können Sie für einen geringen Preis als Fotodatei oder als Vektordatei (besser, weil skalierbar) herunterladen.

Wie eine Opt-in-Lösung für Google Maps aussehen kann, sehen Sie zum Beispiel auf den folgenden Websites, die wir mit dem CMS „Joomla“ für Kunden gestaltet haben:

www.datenschutzrecht-henkel.de (siehe Foto rechts)

www.quinta-it-systeme.de

2. Google-Analytics: Nur mit Genehmigung einschalten und dann nur mit anonymisierten IP-Adressen

Der Nutzen: Mit Google Analytics können Sie den Traffic auf Ihrer Website analysieren. Das ist im Online-Marketing geradezu ein Muss. Denn es dient Ihnen dazu, dass Sie Ihre Website besser auf die Interessen der Besucher optimieren können. Sie erfahren zum Beispiel, wie viele Menschen Ihre Website besuchen, wie diese auf Ihre Website gekommen sind, ob durch die organische Platzierung nach einer Stichwortsuche, über eine AdWords-Anzeige oder z.B. einen Link auf einer anderen Website. Oder Google Analytics zeigt Ihnen, wie viele und welche Unterseiten Ihr virtuellen Besucher im Durchschnitt lesen und wie lange sie sich mit diesen Inhalten Ihrer Website aufhalten. Das sind alles brauchbare Informationen, die Sie für eine wichtige Aufgabe im Online-Marketing nutzen können: die ständige Verbesserung und Anpassung Ihrer Website an die Interessen, den Bedarf und die Bedürfnisse Ihrer virtuellen Besucher.

Das Problem: Wenn Sie Google Analytics für die Optimierung Ihrer Website nutzen wollen, müssen Sie in den Quellcode Ihrer Website ein Skript einbauen, das Ihre Website mit Ihrem Konto bei Google Analytics verknüpft. Dieses Skript setzt beim jedem neuen Besucher Ihrer Website mehrere Cookies. Mit diesen Cookies kann Google Analytics für Sie das Besucherverhalten auf Ihrer Website aufzeichnen (Tracking). Doch solche Cookies sind datenschutzrechlich nur erlaubt, wenn der Besucher Ihrer Website diesen Cookies vorher zugestimmt hat. Denn diese Cookies sind keine Session-Cookies, die für den Betrieb der Website zwingend nötig sind.

Das Skript, das Sie über ihr Property in ihrem Google Analytics Konto unter "Verwaltung" abrufen können, reicht nicht für den datenschutzkonformen Betrieb Ihrer Website. Genau hier liegt ein Problem. Denn Google Analytics generiert für Website-Betreiber eine Art Standard-Skript, das mit Blick auf den Datenschutz in mehrfacher Hinsicht ein Problem ist und offene Flanken für Abmahnungsabzocker schafft:

  1. Zum einen stellt das Skript nicht sicher, dass die IP-Adressen der Website-Besucher anonymisiert werden.
  2. Zum zweiten stellt Google Analytics mit dem Basis-Skript keinen Opt-In Schalter zur Verfügung, über den die Besucher Ihrer Website das Tracking mit Google Analytics erst genehmigen müssten.

Fazit: Wenn Sie nur das Basis-Skript von Google Analytics auf Ihrer Website einsetzen, werden bei jedem Besuch eines Internetusers personenbezogene Daten an Google übertragen. Hier haben Sie den Schwarzen Peter in der Hand. Und den sollten Sie unbedingt so schnell wie möglich wieder loswerden.

Lösungsansatz: Wer Analytics für eine Website nutzen möchte, der sollte diese Kriterien erfüllen:

1. Opt-In-Abfrage: Frgen Sie jeden Besucher Ihrer Website, ob er das Tracking mit Analytics zulässt. Anders ausgedrückt: Stellen Sie sicher, dass das Analytics-Skript nur und erst dann läuft, wenn ein neuer Besucher dem Tracking zugestimmt hat.

2. Volständige Information: Informieren Sie die Besucher Ihrer Website - z.B. in den Datenschutzhinweisen auf Ihrer Website - konkret darüber, welche Cookies Sie auf der Website nach seiner Zusitmmung einsetzen wollen. Das gilt nicht nur für die Cookies, die für Analytics gesetzt werden sollen! Nur so genannte Session-Cookies, die für den technischen Betrieb der Website nötig sind und nach einer Sitzung wieder gelöscht werden, sind ohne Opt-In erlaubt. Die Information über andere Cookies, also z.B. Marketing-, Tracking- und Werbe-Cookies, muss diese Informationen enthalten: Name des Cookies, Anbieter des Cookies, Zweck des Cookies und die Dauer, die es aktiv bleibt.

3. Opt-Out-Angebot: Geben Sie dem Besucher Ihrer Website die Möglichkeit, seine Erlaubnis für das Tracking zurückzuziehen und in eine Ablehnung zu ändern.

4. Anonymisierung: Wenn ein Besucher das Analyitcs-Tracking zulässt, dann sollte das so erfolgen, dass seine IP-Adresse anonymisiert wird. Hierfür muss man das Skript von Analytics um eine wichtige Anweisung ergänzen. Wie Sie die Anonymisierung der IP-Adressen technisch sicherstellen können, erklärt Google auf dieser Seite:
zur Skript-Erweiterung „IP Anonymization“

Macht Analytics dann überhaupt noch Sinn?

Gute Frage! Wenn nur noch wenige User Analytics zulassen, erhalten Sie durch das Tracking Zugriffszahlen, die Ihnen überhaupt keine brauchbaren Hinweise mehr geben. Dann kann man das Tracking mit Analytics gleich ganz bleiben lassen und spart sich den Aufwand mit den Maßnahmen zur datenschutzkonformen Einbindung von Analytics.

Die bisherige Erfahrung zeigt, dass deutlich weniger Besucher das Tracking genehmigen, wenn Sie die Besucher nicht zur Entscheidung zwingen. Tatsächlich können Sie die Besucher Ihrer Website durch entsprechende Platzierung des Cookies optisch dazu bringen, eine Entscheidung zu treffen und zum Tracking entweder "ja" oder "nein" zu sagen. Oder Sie verknüpfen die weitere Nutzung der Website regelrecht damit, dass der Besucher sich entscheidet.

In vielen Fällen könenn die Besucher den Cookie-Hinweis mit Opt-In übergehen und surfen einfach weiter. Doch in diesem Fall dürfen die Tracking-Cookies NICHT arbeiten! Wenn Sie der Meinung sein sollten, dass Sie den Besuchern mitteilen können, sie würden automatisch zustimmen, indem diese Ihre Website weiter nutzen, dann sind Sie ganz definitiv auf dem Holzweg! Die meisten Cookie-Hinweise, die in den letzten Jahren in Aktion waren, waren nach dieser Denkweise gestrickt. Diese Dinger sieht man immer noch auf vielen Websites (Stand: April 2020). Doch eines sollte Ihnen klar sein: Mit so einem Cookie-Hinweis sind SIE als Betreiber einer Website nicht auf der sicheren Seite. Im Gegenteil!

Nun können Sie hingehen und die Besucher Ihrer Website optisch drängen, eine Entscheidung zu treffen. Dafür pflanzen Sie ihren Cookie-Hinweis auf Ihrer Website bei jedem neuen Besucher einfach mitten auf den Bildschirm. Um Ihre Website lesen und nutzen zu können, muss der Besucher den Cookie-Hinweis erst einmal wegklicken, also auf den Button "Genehmigen" oder "Ablehnen" klicken.

Das ist lästig. Nicht jeder Besucher macht das Spiel mit. Je nachdem, was für eine Website Sie betreiben, werden mehr oder weniger Besucher abspringen und Ihre Website wieder velassen, wenn Sie diese mit einem Cookie-Hinweis zur Entscheidung zu zwingen versuchen. Diese Gefahr besteht.

Es kann natürlich sein, dass sich im Laufe der Zeit die Gewohnheiten ändern. Dass wir irgendwann als User daran gewohnt sind, dass wir auf einer Website erst einmal einen Cookie-Hinweis überwinden und weg-klicken müssen, um das Informationsangebot der Website nutzen zu können. Diese Gewohnheit wird sich einstellen, wenn eine große Anzahl von Websites ihre Cookie-Hinweise mit Opt-In-Button und Ablehnungs-Button so präsentieren, dass ihre Besucher an der Entscheidung nicht vorbei kommen. Die Anzahl von Websites, die so verfahren, nimmt subjektiv gesehen offenbar zu (Stand 04/2020). Doch noch sehe ich bei kleineren Websites, die vor allem Informationen anbieten, die man auch auf anderen Websites finden kann, die Gefahr, dass die Besucher bei einem solchen Door-Keeper sofort wieder abspringen und zu einem konkurrierenden Informationsangebot wechseln.

3. Google-Fonts: Schriften die Überseeverbindung zu Google kappen

Die Situation: Viele Websites definieren für das Frontend (das ist das, was die Besucher Ihrer Website auf ihrem eigenen Bildschirm zu sehen bekommen) Schriften von Google. Diese Google Fonts sind in den letzten Jahren so etwas wie der Standard beim Bau von Websites geworden. Viele Templates für Wordpress, Joomla und andere Content Management Systeme (CMS) bauen diese Schriften ein. Für Ihr Online-Marketing sind sie nicht wirklich nötig. Es lohnt sich also, die eigene Website einmal daraufhin abzuklopfen, ob sie ebenfalls Google Fonts einsetzt und ob sie diese Schriften von einem Google Server laden muss.

Das Problem: Die meisten Websites, die Google Fonts einsetzen, laden diese Schriften von einem Google Server. Leider werden auch bei dieser Einbindung der Schriften personenbezogene Daten der Besucher an Google übertragen. Genau das ist datenschutzrechtlich ein Problem.

Technische Lösungen: Die Google Fonts sind für eine Website nicht zwingend. Auch mit Blick auf Ihre Marketingziele sind sie ohne weiteres verzichtbar und ersetzbar. Es gibt durchaus auch andere Schriften, mit denen eine Website schick aussieht. Insofern können Sie Ihren Web-Designer bitten, dass er die Google Fonts durch andere kostenlos nutzbare Schriften ersetzt.

Oder Sie installieren die Google Fonts auf Ihrem eigenen Server und weisen Ihre Website dann an, die Schriften von Ihrem Server zu laden. Damit vermeiden Sie ebenfalls, dass durch das bloße Laden von Schriften personenbezogene Daten an einen Google Server verschickt werden.

Achten Sie darauf, dass Sie die Schrifttypen, die Sie einsetzen wollen, auch wirklich nutzen dürfen. Google hat einige Schriften unter der Apache Lizenz quelloffen zur Verfügung gestellt. Diese Schriften kann man ohne Lizenzgebühren nutzen.

Eine sehr gute Anleitung, wie Sie Google Schriften auf Ihrem Server installieren können, finden Sie im Blog des Hosting-Anbieters Mittwald: zur Anleitung für die lokale Einbindung von Google Fonts

Online-Marketing - kommposition, Agentur für Online-Marketing in Berlin

Sie wollen sofort über Ihr Online-Marketing sprechen?

Wenn Sie mit mir sofort über Ihr Online-Marketing sprechen wollen, können Sie mich gerne spontan anrufen. So erreichen Sie mich telefonisch: 0160 966 514 06. Oder Sie nutzen unser Kontaktformular und schicken mir Ihre Frage per Mail.

Rüdiger von Schönfels, Marketingberater
Rüdiger von Schönfels
Beispiel: Einbindung von Google Maps auf der Website von Rechtsanwalt Frank Henkel über eine statische Anfahrtsskizze mit Opt-in-Button für Googles Kartendienst
Beispiel: Einbindung von Google Maps auf der Website von Rechtsanwalt Frank Henkel über eine statische Anfahrtsskizze mit Opt-in-Button für Googles Kartendienst

Zurück