Google Optimize taucht im Datenschutz-Scan auf – obwohl das Tool seit Oktober 2023 offiziell abgeschaltet ist. Das klingt paradox, hat aber eine einfache Erklärung: Der Einbindungscode wurde damals installiert und seitdem nicht entfernt. Das Skript lädt weiterhin, baut eine Verbindung zu Google-Servern auf und überträgt dabei die IP-Adresse deiner Besucher. Das Tool selbst tut nichts mehr – aber der Request passiert trotzdem.
Überblick
Was ist Google Optimize?
Google Optimize war ein kostenloses A/B-Testing-Tool von Google. Website-Betreiber konnten damit verschiedene Versionen einer Seite gegeneinander testen, um herauszufinden, welche Variante besser funktioniert. Das Tool war über ein JavaScript-Snippet in die Website eingebunden und arbeitete eng mit Google Analytics zusammen. Google hat Google Optimize zum 30. September 2023 endgültig abgeschaltet – seitdem läuft kein einziger Test mehr.
Google Optimize – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Das Optimize-Snippet setzte Tracking-Cookies – bei veralteten Einbindungen können diese noch im Browser landen. |
| Externe Verbindungen | 🔴 | Das Skript baut eine Verbindung zu Google-Servern auf, solange der Code auf der Website eingebunden ist. |
| Datenschutzerklärung | 🔴 | Solange der Code aktiv ist, muss Google als Datenempfänger benannt werden. |
| Drittlandtransfer | 🔴 | Google-Server liegen unter anderem in den USA. |
| Auftragsverarbeitung | 🔴 | Google verarbeitete Besucherdaten im Auftrag – ein AVV war und ist erforderlich, solange Code aktiv ist. |
| Benutzereingaben | 🟢 | Google Optimize hat selbst keine Formulare verarbeitet. |
Datenverarbeitung
Was passiert, wenn das Google-Optimize-Snippet noch auf der Website ist?
Beim Aufruf einer Seite, auf der das Optimize-Snippet noch eingebunden ist, wird das Skript von Google-Servern geladen. Dabei wird die IP-Adresse des Besuchers an Google übertragen – unabhängig davon, ob Google Optimize noch funktioniert oder nicht.
Das Skript versucht, eine Verbindung herzustellen, und genau diese Verbindung ist das Problem. Google hat das Tool abgeschaltet, der Request passiert aber trotzdem. Für deine Besucher bedeutet das: Ihre IP-Adresse landet bei Google, ohne dass sie dem zugestimmt haben und ohne dass dafür ein technischer Grund besteht.
Cookies
Setzt das Google-Optimize-Snippet noch Cookies?
Das Optimize-Snippet war so konzipiert, dass es Cookies wie _gaexp und _opt_awcid gesetzt hat, um Besucher Test-Varianten zuzuordnen. Ob diese Cookies nach dem Abschalten noch gesetzt werden, hängt vom jeweiligen Browser-Cache und der genauen Snippet-Version ab.
Sicher ist: Das Snippet hat in aktiver Zeit Tracking-Cookies gesetzt, die ohne Zustimmung nicht gesetzt werden durften. Solange der Code noch auf der Website eingebunden ist, besteht das Risiko, dass Cookie-Scanner diesen Code als problematisch melden – was korrekt ist.
Externe Verbindungen
Baut die Website noch Verbindungen zu Google auf?
Ja – das Optimize-Snippet lädt ein Skript von www.googleoptimize.com oder www.google-analytics.com. Diese Verbindung baut sich bei jedem Seitenaufruf auf, solange der Code im WordPress-Theme oder über ein Plugin eingebunden ist. Sie passiert ohne aktive Handlung des Besuchers, und es gibt keinen funktionalen Grund mehr dafür, weil das Tool selbst nicht mehr arbeitet. Das ist der Kern des Problems: Ein toter Dienst, der noch immer Daten überträgt.
Google Optimize auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Hat Google Optimize Formulardaten oder Eingaben verarbeitet?
Google Optimize hat selbst keine Formulardaten oder Benutzereingaben verarbeitet. Das Tool hat ausschließlich beobachtet, welche Seitenvariante ein Besucher zu sehen bekommt, und diese Information für Testergebnisse genutzt. Dieser Punkt ist für das abgeschaltete Tool nicht relevant – der Code tut inhaltlich nichts mehr.
Drittlandtransfer
Werden Daten durch das Snippet in die USA übertragen?
Google Optimize hat Daten an Google-Server übertragen, die sich unter anderem in den USA befinden. Dieser Transfer passiert technisch immer noch, solange das Snippet auf der Website eingebunden ist und das Skript von Google-Servern geladen wird. Die USA gelten datenschutzrechtlich als unsicheres Drittland außerhalb der EU. Auch wenn Google Optimize selbst keine Tests mehr durchführt, bleibt der IP-Übertrag beim Skript-Laden bestehen.
Auftragsverarbeitung
Braucht es für Google Optimize einen Auftragsverarbeitungsvertrag?
Google Optimize hat Besucherdaten im Auftrag des Website-Betreibers verarbeitet – dafür war ein Auftragsverarbeitungsvertrag (AVV) mit Google erforderlich. Da das Tool abgeschaltet wurde und kein Betrieb mehr stattfindet, ergibt ein neuer AVV-Abschluss keinen Sinn.
Die richtige Maßnahme ist die vollständige Entfernung des Codes. Solange der Code noch auf der Website aktiv ist und Verbindungen aufbaut, besteht formal weiterhin eine Datenverarbeitung – der einfachere und sauberere Weg ist die Code-Entfernung.
Datenschutzerklärung
Muss Google Optimize in der Datenschutzerklärung stehen?
Google Optimize muss so lange in der Datenschutzerklärung stehen, wie das Snippet auf der Website eingebunden ist und Verbindungen zu Google-Servern aufbaut. Sobald der Code vollständig entfernt ist, kann der Eintrag aus der Datenschutzerklärung gestrichen werden. Wer beides gleichzeitig macht – Code entfernen und Datenschutzerklärung aktualisieren – ist auf der sicheren Seite.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Google Optimize – A/B-Testing-Tool
Diese Website nutzt Google Optimize, ein A/B-Testing-Tool von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Optimize setzt Cookies und überträgt dabei Nutzungsdaten, einschließlich der IP-Adresse, an Google-Server, die sich unter anderem in den USA befinden. Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Die Datenübertragung in die USA erfolgt auf Basis der Standardvertragsklauseln der EU-Kommission. Zwischen dem Betreiber dieser Website und Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Weitere Informationen zu Datenschutz und Nutzungsbedingungen von Google findest du unter https://policies.google.com/privacy.
Alternative
Welche datenschutzfreundliche Alternative gibt es zu Google Optimize?
Da Google Optimize abgeschaltet wurde, gibt es keine Möglichkeit, das Tool weiter zu nutzen – eine Alternative ist also nicht optional, sondern notwendig. Für WordPress-Betreiber, die A/B-Tests machen wollen, gibt es Nelio A/B Testing, ein WordPress-Plugin, das aktiv gewartet wird und keine externe Verbindung zu Google benötigt.
Die kostenlose Basisversion ermöglicht einfache Seitenvergleiche direkt im WordPress-Backend. Wer keine A/B-Tests mehr benötigt oder das nie aktiv genutzt hat, muss schlicht gar nichts ersetzen – dann reicht es, den Code zu entfernen.
Fehler
Der häufigste Fehler: Code vergessen zu entfernen
Der mit Abstand häufigste Fehler ist, das Optimize-Snippet nach der Abschaltung nicht entfernt zu haben. Das passiert oft, weil das Tool nie aktiv genutzt wurde oder weil es über ein WordPress-Plugin oder direkt im Theme-Header eingebunden war – und dieser Eingriff in Vergessenheit geraten ist.
Ein weiterer Fehler: Den Eintrag aus der Datenschutzerklärung streichen, ohne den Code zu entfernen. Das schafft einen Widerspruch, der bei einer Prüfung auffällt.
Dritte Fehlfunktion: Der Code steckt im Google Tag Manager und wird dort übersehen, weil niemand regelmäßig prüft, welche Tags dort aktiv sind.
DSGVO-Check
Woran erkennst du, ob das Google-Optimize-Snippet noch aktiv ist?
Du kannst prüfen, ob deine Website noch Verbindungen zu www.googleoptimize.com oder optimize.google.com aufbaut. Öffne dafür im Browser die Entwicklertools (F12), gehe zum Tab „Netzwerk“ und lade die Seite neu. Filtere nach diesen Domains. Wenn du dort Einträge siehst, ist das Snippet noch aktiv.
Alternativ prüfe direkt im WordPress-Backend: Schau in deinen Theme-Optionen, in den Header-/Footer-Einstellungen deines Themes und im Google Tag Manager, ob dort Code mit „googleoptimize“ oder „optimize.js“ hinterlegt ist.
Quellen und weiterführende Links
- Google – offizielle Abschaltungsankündigung Google Optimize
- Google – Datenschutzerklärung
- WordPress.org – Nelio A/B Testing Plugin
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.