Google bereitet sich auf die DSGVO vor.

DSGVO Vorbeben: Googles sonderbare neue EU User Consent Policy

Google ist auch nicht viel früher dran als die kleinen Publisher und veröffentlicht tröpfchenweise immer mehr Informationen zum hauseigenen Umgang mit der DSGVO/GDPR. Die größten Überraschungen finden sich in der neuen EU Nutzer-Einverständnis-Bestimmungen, die ab 25. Mai die bisherigen Bestimmungen für Mitglieder des Europäischen Wirtschaftsraums (EU-Länder, Island, Liechtenstein, Norwegen) ersetzen. Wer Google-Services weiterhin AGB-konform verwenden möchte, kommt um ein explizites Cookie Opt-In zukünftig nicht mehr herum. Google geht sogar weiter als der Gesetzgeber und verlangt die Dokumentation des Opt-Ins – für Webseiten ohne Registrierung schwierig bis unmöglich umsetzbar.

Die neue User Consent Policy ersetzt die bestehenden Bestimmungen ab Samstag, den 25. Mai 2018. Leider ist zumindest mir noch ziemlich schleierhaft, worauf Google da eigentlich raus will. Verantwortungsdelegation scheint die primäre Motivation zu sein.

Die neue User Consent Policy – päpstlicher als die EU?

Ich habe mir erlaubt, die relevantesten Teile des bisher nur in Englisch verfügbaren Dokuments zu übersetzen und zu kommentieren.

Properties under your control

For Google products used on any site, app or other property that is under your control, or that of your affiliate or your client, the following duties apply for end users in the European Economic Area.

Für Google Produkte, die auf eigenen Webseiten, Apps oder sonstigen Propertys (was immer das sein soll) eingebunden sind, gelten die folgenden Regeln für Nutzer innerhalb der europäischen Union.

Das klingt für mich definitiv so, als wären *alle* Google Produkte gemeint: Also Analytics, Fonts, Charts, Maps, Tag Manager, Plus… die volle Bandbreite eben.

You must obtain end users‘ legally valid consent to:

  • the use of cookies or other local storage where legally required; and
  • the collection, sharing, and use of personal data for personalization of ads or other services.

Sie müssen ein rechtsgültiges Einverständnis des Users einholen:

  • für die Nutzung von Cookies oder anderen lokalen Datenspeicherungen, wo dies rechtlich vorgeschrieben ist; und
  • für das Sammeln, Teilen und die Nutzung persönlicher Daten für die Personalisierung von Werbung oder anderen Services.

Diese Passage nimmt die 2019 in Kraft tretende ePrivacy Richtlinie vorweg, bei der nach herrschender Rechtsmeinung die derzeitige Praxis der Aufklärung über die Nutzung von Cookies samt Opt-Out Möglichkeit nicht mehr ausreichen wird, sondern ein explizites Einverständnis des Nutzers verlangt wird.

Die einzigen mir bekannten Plugins, die derzeit ein solches explizites Einverständnis ermöglichen, sind Ginger EU Cookie Law (gratis) sowie Borlabs Cookie (€19 pro Seite, Unterscheidung zwischen verschiedenen Cookie-Typen, Opt-In Shortcodes).

FAZIT: Diese strikte Cookie-Zustimmung ist aktuell weder in Österreich noch in Deutschland gesetzlich vorgeschrieben, daher wird Googles entsprechender Passus („wo dies rechtlich vorgeschrieben ist“) voraussichtlich erst ab 2019 mit Inkrafttreten der ePrivacy Richtlinie schlagend.

Allerdings stellt Google für diesen Vorgang offenbar höhere Anforderungen als der Gesetzgeber.

When seeking consent you must:

  • retain records of consent given by end users; and
  • provide end users with clear instructions for revocation of consent.

You must clearly identify each party that may collect, receive, or use end users‘ personal data as a consequence of your use of a Google product. You must also provide end users with prominent and easily accessible information about that party’s use of end users‘ personal data.

Wen Sie dieses Einverständnis einholen, dann müssen Sie:

  • Aufzeichnungen über das erfolgte Einverständnis des Endnutzers aufbewahren; und
  • den Endnutzer klare Instruktionen für das Widerrufen dieses Einverständnisses zur Verfügung stellen.

Sie müssen klar und deutlich jeden beteiligte Dritten, der Daten sammelt, empfängt oder die persönlichen Daten des Endnutzers als Konsequenz Ihrer Verwendung eines Google Produkts nutzen könnte, bekannt geben. Sie müssen außerdem Endnutzer mit deutlich sichtbaren und leicht erreichbaren Informationen über die Nutzungsart der persönlichen Daten des Endnutzers durch besagte Dritte informieren.

Ja, das klingt gestelzt, aber ich habe mich bemüht, die deutsche Übersetzung möglichst nahe am Original zu halten. Fällt Ihnen was auf? Die derzeitigen technischen Lösungen (man setzt beim Nutzer ein lokales Cookie, das dem CMS das Opt-Out signalisiert) erfüllen in keiner Weise die Bedingung, das Einverständnis zu dokumentieren!

Wie geht das? Indem der Nutzer zuerst der Nutzung seiner persönlichen Daten durch Cookie Tracking widerspricht und anschließend im Zuge dieses Prozesses sein Opt-Out dokumentiert? Wohl kaum. Ich wüsste nicht, wie man dieses Prozess ohne Zwangs-Registrierung, bei der natürlich erst recht persönliche, zu speichernde Daten anfallen, implementieren sollte.

Der zweite Punkt fordert ja außerdem, dass der Nutzer jederzeit seine Entscheidung ändern können soll – bei Cookie-Lösungen durchaus möglich, aber wie soll das in Kombination mit der Dokumentation ohne entsprechende Einstellung im Nutzerprofil funktionieren?

Die Erläuterung ist auch nicht ohne, denn sie sagt folgendes aus: Der Webseitenbetreiber, der Google Services verwendet, müsste in vollster Konsequenz wissen, an welche Kooperationspartner Google möglicherweise Daten weitergibt.

FAZIT: Aus Googles Sicht macht die scharfe Formulierung durchaus Sinn, für Webseiten ohne Registrierung sind die Bestimmungen aber völlig realitätsfremd.

Die angedrohten Konsequenzen sind natürlich keine horrenden Geldstrafen wie bei DSGVO-Verstößen – noch ist Google zumindest nicht offiziell die Cyber-Regierung. Es droht „nur“ die Sperrung:

If you fail to comply with this policy, we may limit or suspend your use of the Google product and/or terminate your agreement.

Dass die neue EU User Consent Policy tatsächlich für so gut wie alle Google-Services gilt, verrät der letzte Absatz der zugehörigen Hilfe-Seite:

Does this policy apply just to ads?
No, this policy applies to the use of any Google products and services on your sites and apps that incorporate this policy. In addition to ads products, this policy is referenced in, for example, the Google Maps APIs Terms of Service and the YouTube API Services Terms of Service.

Typisch: Kaum kriegen wir die ganzen DSGVO-Troubles in den Griff, spuckt uns auch schon wieder Google mit unmöglich zu erfüllenden Auflagen in die Webmaster-Suppe. Da tröstet auch die heute ausgerollte neue Analytics-Funktion zur Einstellung der Datenspeicherdauer nicht drüber hinweg.

8 Antworten
    • Ritchie Pettauer
      Ritchie Pettauer sagt:

      Yo Markus,

      ja, das scheint mir auch die logische Reaktion! Maps kann man gut durch OSM (Open Streeet Maps) ersetzen, notfalls durch ein reprofreies statisches Bild von dort. Zum Recaptcha gibt’s genügend Alternativen, AdSense verwend ich sowieso nicht. Wenig Alternativen seh ich zu Youtube. Dem Privacy-Embed trau ich nicht, aber da kann man gut mit LazyLoad oder Load-on-Click Lösungen arbeiten. Auf die Webmaster Konsole möchte ich auch nicht verzichten, aber die ist sowieso kein DSGVO-Thema, weil ja nix eingebunden wird.

      Ich war schon knapp dran, mir Matomo am eigenen Server zu installieren. Aber die knackigen Features (die ich auch bei Analytics gerne nutze, wie Custom Reports) kosten bei Matomo nicht wenig. Und in GA bin ich verdammt gut „eingelernt“. Andererseits: Wenn 2019 die Privacy-Richtlinie einkickt und alle Cookie-Lösungen so funktionieren müssen wie Borlabs Cookie schon jetzt – also wenn die Nutzer eine echte Opt-Out Möglichkeiten haben – dann fällt ja sowieso mal die Hälfte der Besucher in der Auswertung weg. Und wird damit recht sinnlos… also mittelfristig wird da wohl auch kein Weg an einer self-hosted Lösung vorbeiführen.

      Antworten
  1. Markus Leiter sagt:

    Nicht zu vergessen die Google Fonts (so in Verwendung), die man auch besser am eigenen Server hostet. Über Matomo habe ich auch nachgedacht. Um Analytics tut’s mir auch leid, aber das ist so nicht zu halten, das ist klar.

    Antworten
  2. Michael sagt:

    Vielen Dank für die Info!
    Als das Thema DSGVO in letzter Zeit immer wichtiger wurde, habe ich mich bewusst gegen Google entschieden und bin froh, dass ich wohl mit Matomo auf das richtige Pferd gesetzt habe. So brauche ich wenigstens nicht schon wieder massiv nacharbeiten.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer sagt:

      Ja, mich ärgert bei Matomo allerdings, dass Custom Reports ein Premium Plugin sind. Ohne die komm ich nicht aus. Und in GA bin ich halt gut eingearbeitet… der Wechsel ist ärgerlicher, als es auf den ersten Blick scheint.

      Antworten
  3. Marcus sagt:

    In 12 Monaten fließt viel Wasser die Elbe runter.

    Erstmal abwarten, was die Amis bis nächsten Mai vielleicht wieder ändern an ihren Richtlinien.

    Die müssen sich ja auch bewusst sein bzw. werden, das sie das Marktmacht kosten wird, wenn es so bleibt

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer sagt:

      Ja, da bin ich auch neugierig – könnte allerdings von Google auch eine reine Feigenblattaktion sein, so nach dem Motto: Wann was ist, können wir behaupten, wir haben’s euch ja gesagt…

      Antworten

Hinterlassen Sie einen Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchten Sie neue Kommentare abonnieren?
Wann möchten Sie Ihre Benachrichtungen erhalten?