Google Sign-In klingt praktisch – ein Klick, kein neues Passwort. Datenschutztechnisch bringt der Dienst aber einiges mit: Sobald er auf deiner Seite eingebunden ist, baut deine Website eine Verbindung zu Google auf, noch bevor ein Besucher irgendetwas anklickt. Wer sich dann anmeldet, übergibt Google-Profildaten an deine Website – und Google verarbeitet dabei Daten auf Servern in den USA. Das macht Google Sign-In zu einem Dienst, der klare Pflichten mitbringt: Einwilligung, Datenschutzerklärung, und ein Cookie-Banner, der die Verbindung erst nach Zustimmung freigibt.
Überblick
Was ist Google Sign-In?
Google Sign-In ist ein Anmeldedienst von Google, über den sich Benutzer mit ihrem bestehenden Google-Konto auf einer Website registrieren oder einloggen können. Statt ein neues Konto anzulegen, klicken sie auf einen „Mit Google anmelden“-Button und bestätigen die Weitergabe ihrer Profildaten. Technisch lädt deine Website dafür eine Bibliothek von Google, die den Button anzeigt und die Anmeldung abwickelt.
Google Sign-In und Datenschutz im Überblick
| Cookies | Google Sign-In setzt funktionale Cookies, keine Tracking- oder Marketing-Cookies. |
| Externe Verbindungen | Die Seite baut beim Laden eine Verbindung zu Google auf – Einwilligung erforderlich. |
| Datenschutzerklärung | Eintrag zu Google Sign-In mit Datenarten, Zweck und Drittlandtransfer erforderlich. |
| Drittlandtransfer | Google verarbeitet Daten auf Servern weltweit, auch in den USA. |
| Auftragsverarbeitung | Google Sign-In ist nicht als Auftragsverarbeitungs-Dienst eingestuft – kein AVV erforderlich. |
| Eingaben durch Besucher | Bei Anmeldung werden Google-Konto-ID, E-Mail, Name und Profilbild übertragen. |
Datenverarbeitung
Welche Daten verarbeitet Google Sign-In?
Google Sign-In verarbeitet Daten in zwei Phasen.
In der ersten Phase – sobald deine Website lädt und die Google-Bibliothek eingebunden ist – übermittelt der Browser des Besuchers automatisch seine IP-Adresse und die aufgerufene URL an Google. Das passiert im Hintergrund, ohne dass der Besucher auf den Login-Button geklickt hat.
In der zweiten Phase – wenn sich jemand aktiv über Google anmeldet – übergibt Google an deine Website ein sogenanntes ID-Token. Darin stecken die Profildaten, die der Besucher bei der Anmeldung freigegeben hat: eine eindeutige Google-Konto-ID, E-Mail-Adresse, Bestätigung, ob die E-Mail-Adresse verifiziert ist, Vor- und Nachname sowie die URL des Profilbilds.
Du als Website-Betreiber erhältst diese Daten und bist dafür verantwortlich, wie du damit umgehst.
Cookies
Setzt Google Sign-In Tracking-Cookies?
Google Sign-In setzt keine Tracking- oder Marketing-Cookies. Die Bibliothek verwendet zwei funktionale Cookies: g_state speichert den Anmeldestatus für das One-Tap-Login-Fenster und g_csrf_token ist ein Sicherheits-Cookie, das Angriffe auf das Anmeldeformular verhindert.
Beide Cookies haben keinen Statistik- oder Werbezweck. Trotzdem gilt: Weil Google Sign-In eine externe Verbindung zu Google aufbaut, muss dein Cookie-Banner diesen Dienst blockieren, bis der Besucher zugestimmt hat – unabhängig davon, ob dabei Tracking-Cookies gesetzt werden oder nicht.
Externe Verbindungen
Verbindet sich Google Sign-In mit externen Servern?
Google Sign-In verbindet sich beim Laden der Seite mit accounts.google.com. Von dort lädt deine Website die Bibliothek accounts.google.com/gsi/client, die den Anmelde-Button und das One-Tap-Fenster bereitstellt. Bei älteren Implementierungen kann die Verbindung auch über apis.google.com laufen.
Diese Verbindung startet automatisch – nicht erst, wenn jemand auf den Button klickt. Damit ist es eine externe Verbindung, die ohne vorherige Zustimmung des Besuchers nicht erlaubt ist. Dein Cookie-Banner muss das Einbinden der Google-Bibliothek blockieren, bis der Besucher eingewilligt hat.
Google Sign-In auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Daten geben Besucher bei Google Sign-In ein?
Besucher geben bei Google Sign-In keine klassischen Formulardaten ein. Stattdessen wählen sie ihr Google-Konto aus und stimmen der Weitergabe ihrer Profildaten zu.
Mit dieser Zustimmung überträgt Google an deine Website: die eindeutige Google-Konto-ID, die E-Mail-Adresse, den Verifizierungsstatus der E-Mail, Vor- und Nachname sowie die URL des Profilbilds. Diese Daten landen direkt in deinem WordPress oder deiner Datenbank – du bist als Website-Betreiber für deren Verarbeitung und Speicherung verantwortlich.
Drittlandtransfer
Werden Daten bei Google Sign-In in die USA übertragen?
Google Sign-In überträgt Daten in die USA und auf Server weltweit. Google betreibt nach eigenen Angaben Server in verschiedenen Ländern und verarbeitet Informationen auch außerhalb des Wohnsitzlandes des Nutzers.
Konkret bedeutet das: Sobald ein Besucher deine Website aufruft und die Google-Bibliothek lädt, fließen IP-Adresse und URL an Google-Server – und bei einer Anmeldung kommen Profildaten hinzu. Für deine Datenschutzerklärung musst du diesen Transfer in die USA benennen.
Auftragsverarbeitung
Brauche ich für Google Sign-In einen Vertrag zur Auftragsverarbeitung?
Für Google Sign-In ist kein Vertrag zur Auftragsverarbeitung mit Google nötig.
Google Sign-In ist nicht als Auftragsverarbeitungs-Dienst bei Google aufgeführt. Google tritt hier nicht als Dienstleister in deinem Auftrag auf, sondern verarbeitet die Daten als eigenverantwortlicher Anbieter. Einen gesonderten Vertrag dafür gibt es von Google für diesen Dienst nicht und du musst keinen abschließen.
Datenschutzerklärung
Was muss Google Sign-In in der Datenschutzerklärung enthalten?
Google Sign-In muss in deiner Datenschutzerklärung beschrieben werden. Folgende Angaben sind erforderlich:
- Zweck: Anmeldung und Registrierung von Nutzern über Google-Konto.
- Rechtsgrundlage: Einwilligung des Besuchers.
- Verarbeitete Daten: IP-Adresse, aufgerufene URL, Google-Konto-ID, E-Mail-Adresse, Name, Profilbild-URL.
- Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
- Drittlandtransfer: Google verarbeitet Daten auf Servern weltweit, auch in den USA.
- Speicherdauer: Abhängig von deiner eigenen Nutzerverwaltung in WordPress; Google-seitige Speicherung nach Google-Datenschutzrichtlinie.
Verlinke in deiner Datenschutzerklärung außerdem auf die Datenschutzrichtlinie von Google: https://policies.google.com/privacy.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Google Sign-In?
Die einfachste Alternative ist der WordPress-Standardlogin ohne Social-Login-Funktion. Besucher registrieren sich direkt auf deiner Website mit E-Mail und Passwort – ohne dass dabei eine Verbindung zu Google entsteht.
Wenn du Besuchern den Login noch einfacher machen willst, gibt es das Plugin Magic Login: Statt eines Passworts bekommt der Benutzer einen Einmal-Link per E-Mail und ist damit angemeldet. Keine externe Verbindung, keine Google-Abhängigkeit, alles bleibt in deinem WordPress.
Fehler
Typische Fehler bei Google Sign-In und Datenschutz
Der häufigste Fehler: Google Sign-In ist im Cookie-Banner nicht als blockierungspflichtiger Dienst eingetragen. Die Google-Bibliothek lädt dann beim ersten Seitenaufruf – ohne Zustimmung. Das ist ein Datenschutzproblem, weil dabei IP-Adresse und URL automatisch an Google übertragen werden.
Ein zweiter häufiger Fehler ist eine fehlende oder unvollständige Datenschutzerklärung: Google Sign-In wird gar nicht erwähnt oder nur als „Google-Dienst“ ohne Angabe der verarbeiteten Daten und des US-Transfers.
Außerdem wird manchmal übersehen, dass die Einbindung der Bibliothek über apis.google.com und accounts.google.com beide blockiert werden müssen, wenn noch ältere Implementierungen im Einsatz sind.
DSGVO-Check
Wie erkennst du, ob Google Sign-In auf deiner Website aktiv ist?
Google Sign-In verrät sich über externe Verbindungen, die deine Website zu Google aufbaut. Du kannst im Browser prüfen, ob beim Laden deiner Seite Verbindungen zu diesen Domains entstehen:
accounts.google.com/gsi/client– das ist die aktuelle Google Sign-In-Bibliothekapis.google.com/js/api.js– das ist eine ältere Variante der Bibliothek
Im Browser-Entwicklerwerkzeug (Tab „Netzwerk“) oder in einem Datenschutz-Scan kannst du prüfen, ob deine Website beim ersten Laden – also noch bevor jemand auf einen Button klickt – Verbindungen zu diesen Adressen aufbaut. Wenn ja, ist Google Sign-In aktiv und muss von deinem Cookie-Banner blockiert werden.
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.