Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Google Meet ist der Videokonferenzdienst von Google, verfügbar über Google Workspace und als eigenständiges Produkt für persönliche Konten. Wird Meet auf einer Website eingebettet oder über einen Google Kalender Link geladen, setzt der Browser Cookies aus dem Google Ökosystem und überträgt Daten an Google LLC in den USA. Als Drittanbieter unterliegt Meet der DSGVO Einwilligungspflicht auf Marketingseiten und erfordert vertragliche Garantien für die geschäftliche Nutzung.
Google Meet verhält sich je nach Ladekontext sehr unterschiedlich. Wird ein Meet Widget oder ein Meeting Link in eine Marketingseite, ein Hilfecenter oder einen Blog eingebettet, lädt der Browser Google Skripte und setzt Cookies aus dem Google Ökosystem, noch bevor ein Meeting startet. In diesem Fall agiert Google als Drittanbieter und Auftragsverarbeiter personenbezogener Daten wie IP Adresse, Gerätekennungen und Kontokennungen, während der Websitebetreiber zum Verantwortlichen wird, der eine gültige Einwilligung einholen muss. Wird Google Meet hingegen intern innerhalb eines Google Workspace Tenants genutzt, also von Mitarbeitenden, die einer geplanten Besprechung beitreten, verschiebt sich die Rechtsgrundlage in der Regel auf Vertragserfüllung oder berechtigtes Interesse, und der Workspace Auftragsverarbeitungszusatz regelt das Verhältnis zwischen Arbeitgeber und Google.
Meet besitzt kein einzelnes dediziertes Cookie, sondern nutzt das breite Set an Google Authentifizierungs- und Sicherheits-Cookies. Typisch beobachtet werden NID für Werbung und Präferenzen auf Google Domains, SID, HSID, SSID, APISID und SAPISID zur Authentifizierung in Google Diensten, sowie __Secure-3PSIDCC für die seitenübergreifende Sitzungskontinuität. Einige davon haben Lebensdauern von sechs Monaten bis zwei Jahren, sind als Secure und HttpOnly markiert und werden auf .google.com gesetzt, sodass sie zwischen allen Google Eigenschaften geteilt werden, die ein Nutzer besucht. Datenschutzrechtlich sind sie keine unbedingt erforderlichen Cookies im Sinne der ePrivacy Richtlinie, sodass sie eine vorherige Einwilligung erfordern, sobald sie von einer Nicht-Google Website ausgelöst werden.
Google LLC ist in den USA ansässig und nach dem EU-US Data Privacy Framework selbstzertifiziert, das die Europäische Kommission im Juli 2023 mit einem Angemessenheitsbeschluss anerkannt hat. Für Betroffene im Europäischen Wirtschaftsraum sind Übermittlungen der Google Meet Nutzungsdaten in die USA daher durch einen Angemessenheitsmechanismus abgedeckt. Als zusätzliche Absicherung bietet Google im Workspace Auftragsverarbeitungszusatz Standardvertragsklauseln an. Verantwortliche sollten im Verzeichnis der Verarbeitungstätigkeiten dokumentieren, dass der Transfer vorrangig auf dem DPF und ergänzend auf SCCs beruht, und sie sollten künftige Anfechtungen des Angemessenheitsbeschlusses vor dem Gerichtshof der Europäischen Union beobachten.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Auf öffentlichen Websites, die Google Meet einbetten, ist das empfohlene Muster das Klick zum Laden Pattern. Die Seite zeigt zunächst einen statischen Platzhalter, der erklärt, dass das Laden des Meeting Widgets Google Cookies setzt und Daten in die USA überträgt. Erst nachdem die besuchende Person eine ausdrückliche Zustimmungsschaltfläche betätigt, injiziert die Website das Meet iframe oder das Google Kalender Skript. Die Consent Management Platform muss das Einwilligungsereignis mit Zeitstempel, Richtlinienversion und Cookie Geltungsbereich speichern. Derselbe Einwilligungsdatensatz sollte wiederverwendet werden, wenn die besuchende Person innerhalb des Aufbewahrungsfensters zurückkehrt, sodass das Banner nicht bei jedem Seitenaufruf erneut erscheint.
Eine Datenschutz Folgenabschätzung wird verpflichtend, wenn Google Meet zur Aufzeichnung von Meetings in großem Umfang eingesetzt wird, wenn Meetings besondere Kategorien personenbezogener Daten wie Gesundheitsinformationen, gewerkschaftliche Aktivitäten oder Rechtsfragen behandeln, wenn Minderjährige beteiligt sind oder wenn Aufzeichnungen in Google Drive gespeichert und grenzüberschreitend geteilt werden. Die DSFA beschreibt den Lebenszyklus der Aufzeichnung von der Erstellung bis zur Löschung, die Zugriffskontrollen am Speicherort, die Aufbewahrungsdauer und die Rechte der Teilnehmenden auf Kopie, Berichtigung oder Löschung. Bleibt das Restrisiko nach Mitigation hoch, muss die verantwortliche Stelle gemäß Art. 36 DSGVO die Aufsichtsbehörde konsultieren, bevor die Verarbeitung startet.
Den Google Workspace Auftragsverarbeitungszusatz mit DPF Verweisen unterzeichnen, Google LLC im öffentlichen Verzeichnis der Unterauftragsverarbeiter eintragen, die Rechtsgrundlage für jeden Meet Anwendungsfall dokumentieren, Google Meet als granularen Schalter im Cookie Banner anbieten, den Einbettungscode an den Einwilligungsstatus koppeln, die Aufbewahrung von Aufzeichnungen auf das erforderliche Minimum konfigurieren, einschränken, wer aufzeichnen und wer extern beitreten darf, Mitarbeitende zu rechtmäßigen Aufzeichnungsansagen schulen, und das gesamte Setup mindestens einmal jährlich oder bei jeder wesentlichen Änderung der Google Bedingungen überprüfen.
Websites using Google Meet must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist empfohlen, wenn Google Meet zur Aufzeichnung von Meetings genutzt wird, wenn besondere Kategorien personenbezogener Daten (Gesundheit, Rechtsberatung, HR Fälle) verarbeitet werden, bei großflächiger interner Kommunikation oder bei Einbettung auf stark frequentierten öffentlichen Seiten. Dokumentiert werden die Rolle von Google als Auftragsverarbeiter, das DPF Übermittlungsmechanismus, die Aufbewahrung von Aufzeichnungen und die Zugriffskontrollen.
Sample consent text
Wir verwenden Google Meet, um auf dieser Seite Videokonferenzen anzubieten. Das Laden des Meet Widgets setzt Google Cookies und überträgt Daten an Google LLC in den USA im Rahmen des EU-US Data Privacy Framework. Mit Klick auf Akzeptieren stimmen Sie dieser Verarbeitung gemäß Art. 6 Abs. 1 lit. a DSGVO zu.
Third-party domains contacted
meet.google.comwww.google.comapis.google.comssl.gstatic.comfonts.googleapis.comfonts.gstatic.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| NID | third_party | 6 months | Stores Google preferences and personalised advertising settings, set on .google.com when any Google property loads, used by Meet alongside other Google services. |
| SID | third_party | 2 years | Authentication cookie that signs the user into Google services. Set on .google.com, marked Secure and HttpOnly, used by Meet to identify the participant. |
| HSID | third_party | 2 years | Security cookie that protects Google accounts against forged authentication requests, used together with SID and SSID during Meet sign in flows. |
| SAPISID | third_party | 2 years | Cross domain authorisation cookie that allows Google APIs to recognise the signed in user, used by the Meet web client to call backend services. |
| APISID | third_party | 2 years | Companion authorisation cookie used with SAPISID to enable signed requests from Meet to other Google services such as Calendar and Drive. |
| __Secure-3PSIDCC | third_party | 1 year | Cross site session continuity cookie used by Google to keep the user signed in across third party embeds. Marked Secure, relevant when Meet is loaded from an external website. |
Google Meet verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Google Meet besitzt kein einzelnes dediziertes Cookie. Stattdessen nutzt Meet Cookies des Google Ökosystems, die beim Laden der Seite oder des Widgets auf .google.com gesetzt werden. Häufig sind NID für Präferenzen und Werbung, SID, HSID, SSID, APISID und SAPISID für Anmeldung und Sicherheit in Google Diensten, sowie __Secure-3PSIDCC für die seitenübergreifende Sitzungskontinuität. Die Lebensdauern reichen typischerweise von sechs Monaten bis zwei Jahren und die meisten Cookies sind Secure und HttpOnly. Nach ePrivacy sind sie nicht unbedingt erforderlich, daher ist eine vorherige Einwilligung nötig, sobald Meet von einer Nicht-Google Website geladen wird.
Ja. Wird das Meet Widget, ein iframe zu meet.google.com oder eine Google Kalender Einbettung auf einer öffentlichen Website geladen, setzt Google Cookies und verarbeitet personenbezogene Daten wie die Besucher IP und Gerätekennungen, noch bevor ein Meeting beginnt. Diese Verarbeitung ist nicht unbedingt erforderlich im Sinne der ePrivacy Richtlinie und benötigt daher eine vorherige, informierte, freiwillige und spezifische Einwilligung nach DSGVO. Das Klick zum Laden Muster, bei dem die Einbettung durch eine ausdrückliche Zustimmungsschaltfläche freigeschaltet wird, gilt als Best Practice und wird von den meisten Aufsichtsbehörden bevorzugt.
Die Rechtsgrundlage hängt vom Anwendungsfall ab. Für Google Meet auf einer Marketing- oder öffentlichen Webseite ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO die richtige Grundlage, weil die Cookies und die Datenweitergabe nicht unbedingt erforderlich sind. Wenn ein Nutzer einer von einem Workspace Kunden gehosteten Besprechung beitritt, gilt im Allgemeinen die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung zur Erbringung des angefragten Kommunikationsdienstes erforderlich ist. Für interne Mitarbeitende kombinieren Arbeitgeber Vertrag und berechtigtes Interesse, dokumentiert im Verzeichnis von Verarbeitungstätigkeiten und gestützt auf den Workspace Auftragsverarbeitungszusatz.
Ja. Google Meet wird von Google LLC in den USA betrieben, und obwohl Google Rechenzentren in Europa unterhält, sind regelmäßig Personal und Systeme in den USA in die Verarbeitung eingebunden. Google ist nach dem EU-US Data Privacy Framework selbstzertifiziert, das die Europäische Kommission im Juli 2023 als angemessenes Schutzniveau anerkannt hat. Als zusätzliche Absicherung sind Standardvertragsklauseln im Workspace Auftragsverarbeitungszusatz enthalten. Verantwortliche sollten diesen Transfer im Verzeichnis nach Art. 30 dokumentieren und künftige rechtliche Entwicklungen beobachten.
Eine Datenschutz Folgenabschätzung ist dringend empfohlen, oft sogar verpflichtend, wenn Google Meet zur Aufzeichnung von Meetings im großen Umfang eingesetzt wird, wenn Meetings besondere Kategorien wie Gesundheit, gewerkschaftliche Aktivitäten oder Rechtsberatung betreffen, wenn Minderjährige beteiligt sind oder wenn Aufzeichnungen in Google Drive gespeichert und grenzüberschreitend geteilt werden. Die DSFA sollte den Lebenszyklus der Aufzeichnung, die Rechtsgrundlage, die Zugriffskontrollen, die Aufbewahrungsdauer und die Betroffenenrechte abdecken. Bleibt das Restrisiko nach Mitigation hoch, muss die verantwortliche Stelle nach Art. 36 DSGVO ihre Aufsichtsbehörde vor Start konsultieren.
Den Google Workspace Auftragsverarbeitungszusatz unterzeichnen, Google LLC im Verzeichnis der Unterauftragsverarbeiter listen, für jeden Meet Anwendungsfall die richtige Rechtsgrundlage festlegen und Google Meet als granularen Schalter im Cookie Banner anbieten. Für Einbettungen einen Klick zum Laden Platzhalter verwenden, sodass das Meet iframe erst nach ausdrücklicher Einwilligung injiziert wird. Die Aufbewahrung von Aufzeichnungen auf das nötige Minimum konfigurieren, einschränken, wer aufzeichnen und wer extern beitreten darf, Mitarbeitende zu rechtmäßigen Aufzeichnungsansagen schulen, alles im Verzeichnis dokumentieren und das Setup mindestens jährlich oder bei Änderungen der Google Bedingungen überprüfen.
Europäische oder selbst gehostete Alternativen sind Jitsi Meet, das in der EU selbst gehostet werden kann und US Transfers vollständig vermeidet, OpenTalk und BigBlueButton für Bildung und Webinare, Whereby mit regionalem EU Speicher, sowie Zoom mit aktivierter EU Region für Gesundheits- und öffentliche Kunden. Microsoft Teams ist ebenfalls verbreitet, wirft aber ähnliche Fragen zu US Transfers auf wie Google Meet. Die richtige Wahl hängt von der Anbindung an bestehende Identitätssysteme, dem Aufbewahrungsbedarf, den Aufzeichnungsanforderungen und der Sensibilität der Besprechungen ab.
Listen Sie Google Meet in Ihrer Cookie Richtlinie als Drittanbieter Videokonferenzdienst von Google LLC, beschreiben Sie die Kategorien der gesetzten Cookies wie Authentifizierung, Sicherheit und Präferenzen und geben Sie deren typische Laufzeiten an. Erklären Sie, dass das Laden des Meet Widgets personenbezogene Daten in die USA im Rahmen des EU-US Data Privacy Framework überträgt. Verweisen Sie auf die Rechtsgrundlage (Einwilligung für öffentliche Einbettungen, Vertrag für Beitritt zu Meetings) und verlinken Sie auf die Google Datenschutzerklärung und die DPF Zertifizierungsseite. Dokumentieren Sie schließlich den granularen Einwilligungsschalter, der das Laden der Einbettung steuert.