[rank_math_breadcrumb]

Google Bewer­tungen DSGVO-konform einbinden: So funktio­niert es wirklich

Inhalte

Die meisten Bewer­tungs-Widgets laden Daten direkt von Google- oder US-Servern in den Browser Ihrer Website­be­sucher. Dabei wird die IP-Adresse ohne Einwil­ligung übertragen, und genau das ist das Daten­schutz­problem. Die Lösung: Die Bewer­tungen werden server-seitig abgerufen und von einem Server in Deutschland ausge­liefert. Ihre Besucher haben keinen Kontakt zu Google. Wir haben dafür ein eigenes Google-Reviews-Widget entwi­ckelt, für unsere Kunden und als White-Label-Lösung für Agenturen.


Kaum ein Vertrau­ens­signal wirkt so stark wie echte Google Bewer­tungen. Wer auf einer Website sieht: 4,8 Sterne bei über 100 Bewer­tungen, der braucht keine langen Werbe­texte mehr. Deshalb wollen viele Unter­nehmen ihre Google Bewer­tungen auf der Website anzeigen.

Genau hier beginnt aber ein Problem, das die meisten Widget-Anbieter verschweigen: Die gängigen Lösungen sind aus Daten­schutz­sicht heikel. Sie laden Bewer­tungs­daten, Schriften oder Profil­bilder direkt von Google-Servern in den Browser Ihrer Besucher. Ohne deren Einwil­ligung. Und deutsche Gerichte haben zu genau diesem Muster bereits geurteilt.

In diesem Beitrag erklären wir, wo das recht­liche Risiko liegt, wie eine saubere technische Lösung aussieht und warum bei unserem Ansatz keine Besucher­daten in die USA fließen. Am Ende wissen Sie genau, worauf Sie achten müssen, wenn Sie Google Bewer­tungen DSGVO-konform einbinden möchten.

Warum lohnt es sich, Google Bewer­tungen auf der Website anzuzeigen?

Google Bewer­tungen sind unabhän­giger Social Proof: Sie stammen nicht von Ihnen, sondern von echten Kunden. Auf der eigenen Website sichtbar gemacht, senken sie die Hemmschwelle für Anfragen, verkürzen Kaufent­schei­dungen und heben Sie von Wettbe­werbern ab, die nur über sich selbst sprechen.

Besucher vertrauen Erfah­rungen anderer Kunden deutlich mehr als jedem Werbe­ver­sprechen. Eine sichtbare Sterne­be­wertung beant­wortet die wichtigste Frage neuer Inter­es­senten sofort: Kann ich diesem Unter­nehmen vertrauen?

Voraus­setzung ist natürlich, dass Ihr Bewer­tungs­profil gepflegt ist. Wie Sie syste­ma­tisch Bewer­tungen aufbauen und mit Kritik umgehen, haben wir in unserem Beitrag zum profes­sio­nellen Bewer­tungs­ma­nagement erklärt. Und falls unberech­tigte Bewer­tungen Ihr Profil belasten: Auch negative Google Bewer­tungen löschen zu lassen ist in vielen Fällen möglich.

Warum sind viele Bewer­tungs-Widgets nicht DSGVO-konform?

Das Problem ist nicht die Bewertung selbst, sondern der Weg der Daten. Bei den meisten Widgets stellt der Browser des Besuchers beim Seiten­aufruf eine direkte Verbindung zu Google- oder US-Anbieter-Servern her. Dabei wird automa­tisch die IP-Adresse übertragen, ein perso­nen­be­zo­genes Datum, ohne dass der Besucher einge­willigt hat.

Wie ernst deutsche Gerichte das nehmen, zeigt ein bekanntes Urteil: Das Landge­richt München I entschied am 20.01.2022 (Az. 3 O 17493/20), dass bereits das automa­tische Nachladen von Google Fonts eine Verletzung des Persön­lich­keits­rechts darstellt. Die Begründung: Beim Seiten­aufruf wurde die IP-Adresse des Besuchers ohne Einwil­ligung an einen Google-Server in den USA übertragen. Das Gericht sprach dem Besucher 100 Euro Schadens­ersatz zu.

Übertragen auf Bewer­tungs-Widgets bedeutet das: Wenn Ihr Widget bei jedem Seiten­aufruf Daten von Google oder einem US-Dienst nachlädt, passiert technisch genau dasselbe wie im Google-Fonts-Fall. Verschärfend kommt hinzu, dass der Europäische Gerichtshof in den USA kein angemes­senes Daten­schutz­niveau sieht (Schrems-II-Recht­spre­chung).

Viele glauben, ein Cookie-Banner löse das Problem. Das greift zu kurz. Erstens laden manche Widgets ihre Daten, bevor der Besucher überhaupt geklickt hat. Zweitens verschlechtert jede zusätz­liche Einwil­li­gungs­ab­frage die Nutzer­er­fahrung. Was in ein sauberes Consent-Management gehört und was nicht, haben wir in unserem Beitrag zu Cookie-Bannern und Consent-Management zusam­men­ge­fasst. Die elegantere Lösung ist eine Einbindung, die gar keine Einwil­ligung braucht, weil schlicht keine Daten an Dritte fließen.

Wie bindet man Google Bewer­tungen DSGVO-konform ein?

Der Schlüssel ist die server-seitige Einbindung: Ein eigener Server in Deutschland ruft die Bewer­tungen in regel­mä­ßigen Abständen bei Google ab und speichert sie zwischen. Der Browser des Website­be­su­chers lädt die Daten anschließend ausschließlich von diesem deutschen Server. Es entsteht zu keinem Zeitpunkt eine Verbindung zwischen Besucher und Google.

Das Prinzip in vier Schritten:

  1. Server-Abruf: Ein Server in Deutschland fragt die Bewer­tungen über die offizielle Google Places API ab. Bei diesem Abruf fließen keinerlei Daten Ihrer Website­be­sucher, denn der Besucher ist an diesem Vorgang gar nicht beteiligt.
  2. Zwischen­spei­cherung: Die Bewer­tungen werden auf dem Server gespei­chert und regel­mäßig aktua­li­siert.
  3. Auslie­ferung: Besucht jemand Ihre Website, lädt sein Browser das Widget und die Bewer­tungs­daten ausschließlich vom deutschen Server. Keine IP-Adresse, kein Besucher­datum verlässt Europa.
  4. Verzicht auf Google-Inhalte im Browser: Auch Profil­bilder der Rezen­senten werden nicht von Google-Servern nachge­laden. Sonst wäre die Kette wieder durch­brochen.

Dieser Aufbau nimmt dem Google-Fonts-Problem die Grundlage: Es gibt schlicht keine Daten­über­tragung an Google oder in die USA, in die jemand einwil­ligen müsste.

Wie funktio­niert unser Google-Reviews-Widget technisch?

Weil uns keine der verfüg­baren Lösungen überzeugt hat, haben wir als Agentur ein eigenes Google-Reviews-Widget entwi­ckelt. Ursprünglich für unsere eigenen Kunden­pro­jekte: Die bekannten US-Widget-Anbieter waren uns aus den oben genannten Gründen zu riskant, und wir wollten eine Lösung, hinter der wir zu 100 Prozent stehen können.

So funktio­niert sie:

  • Offizielle Schnitt­stelle: Wir nutzen die Google Places API, also den offizi­ellen, von Google vorge­se­henen Weg. Kein Scraping, keine Grauzone.
  • Hosting in Deutschland: Der Abruf und die Zwischen­spei­cherung laufen auf unseren Servern in Deutschland. Die Daten Ihrer Website­be­sucher werden ausschließlich von unseren Servern abgefragt und gehen zu keinem Zeitpunkt in die USA.
  • Automa­tische Aktua­li­sierung: Der Server holt die Bewer­tungen mehrmals täglich neu. Neue Rezen­sionen und die aktuelle Gesamt­be­wertung erscheinen von selbst auf Ihrer Website.
  • Keine Fremd-Requests im Browser: Keine Google-Schriften, keine Profil­bilder von Google-Servern, keine Tracking-Pixel. Rezen­senten werden mit Namen und einem neutralen Initialen-Avatar darge­stellt.
  • Flexible Darstellung: Die Bewer­tungen erscheinen wahlweise als Karussell, als Grid oder als kompaktes Badge mit Sternen und Bewer­tungs­anzahl, farblich an Ihr Corporate Design angepasst.
  • Eine Zeile HTML: Die Einbindung besteht aus einer einzigen Skript-Zeile. Das funktio­niert mit WordPress und Elementor genauso wie mit jedem anderen CMS oder Shopsystem.

Der Ansatz passt zu unserer grund­sätz­lichen Linie: So wie wir beim Website-Tracking auf die cookielose, in Deutschland gehostete Lösung etracker setzen, gilt auch beim Bewer­tungs-Widget: Daten­schutz ist kein Hindernis, sondern Teil einer sauberen techni­schen Lösung.

Wie sieht das Widget auf der Website aus?

Sie können zwischen drei Darstel­lungen wählen, je nachdem, wo die Bewer­tungen auf Ihrer Website erscheinen sollen. Alle folgenden Abbil­dungen zeigen das Widget mit Beispiel­daten einer Muster­firma.

Das Karussell eignet sich für die Start­seite oder eine Referenzen-Sektion. Besucher blättern durch die einzelnen Bewer­tungen, die Gesamt­be­wertung steht prominent darüber:

Das Grid zeigt mehrere Bewer­tungen gleich­zeitig, ideal für eine eigene Bewer­tungs-Unter­seite oder einen breiten Inhalts­be­reich:

Das Badge ist die kompakte Variante für Header, Footer oder Sidebar. Es zeigt nur die Gesamt­be­wertung mit Sternen und Anzahl und verlinkt auf Ihr Google-Profil:

Farben, Ecken und Akzente passen wir an Ihr Corporate Design an. Rezen­senten erscheinen bewusst mit Initialen-Avataren statt mit Profil­bildern von Google-Servern, aus genau den Daten­schutz­gründen, die wir oben beschrieben haben.

Und hinter den Kulissen? Verwaltet wird alles über ein aufge­räumtes Backend. Dort suchen wir Ihr Unter­nehmen einfach über den Firmen­namen, Google liefert die passende Zuordnung, und ab dann aktua­li­sieren sich die Bewer­tungen von selbst. Pro Kunde lassen sich Layout, Farbschema und die Mindest-Sternezahl einstellen (wenn Sie etwa nur Bewer­tungen ab 4 Sternen zeigen möchten). Der fertige Einbin­dungscode wird per Klick kopiert. Für Agenturen, die das Widget als White-Label-Lösung nutzen, ist genau dieses Backend die Arbeits­ober­fläche für alle ihre Kunden:

Was können die 5 Bewer­tungen der Google Places API und was nicht?

Die offizielle Google-Schnitt­stelle liefert das Gesamt­rating und die Gesamtzahl aller Bewer­tungen immer live und vollständig. Bei den einzelnen Rezen­si­ons­texten gibt Google jedoch maximal die 5 relevan­testen heraus. Mehr stellt Google über die Places API grund­sätzlich nicht bereit, das gilt für jeden Anbieter, der offiziell arbeitet.

Diese Grenze verschweigen viele Widget-Anbieter. Wir halten Ehrlichkeit an dieser Stelle für wichtiger als ein Verkaufs­ar­gument. Deshalb die klare Einordnung:

Für die Vertrau­ens­wirkung auf einer Unter­neh­mens­website ist die Grenze in der Praxis kaum relevant. Besucher lesen selten mehr als zwei, drei Rezen­sionen. Die eigent­liche Überzeu­gungs­arbeit leistet die Gesamt­be­wertung: 4,8 Sterne bei 214 Bewer­tungen wirken, egal ob darunter 5 oder 50 Texte stehen. Und genau diese Zahlen sind immer aktuell und vollständig.

Anbieter, die mit deutlich mehr Rezen­si­ons­texten werben, arbeiten in der Regel mit Scraping, also dem automa­ti­sierten Auslesen der Google-Maps-Oberfläche. Das verstößt gegen die Nutzungs­be­din­gungen von Google. Für seriöse Unter­neh­mens­web­sites ist das aus unserer Sicht kein tragfä­higes Fundament.

Was gehört in die Daten­schutz­er­klärung?

Auch bei der server-seitigen Einbindung zeigen Sie Namen von Rezen­senten auf Ihrer Website, also perso­nen­be­zogene Daten. Die Daten­schutz­er­klärung sollte deshalb eine kurze Passage zur Einbindung von Google Bewer­tungen über einen deutschen Server enthalten, gestützt auf berech­tigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Mit dem techni­schen Dienst­leister gehört zudem ein Auftrags­ver­ar­bei­tungs­vertrag geschlossen.

Die gute Nachricht: Der Aufwand ist überschaubar. Da keine Daten Ihrer Besucher an Google oder in Dritt­länder übertragen werden, entfallen die kompli­zierten Kapitel zu Dritt­land­transfers und Einwil­li­gungen. Es bleibt eine trans­pa­rente Infor­mation darüber, dass öffentlich einsehbare Google Bewer­tungen über einen Server in Deutschland darge­stellt werden (Rechts­grundlage: Art. 6 DSGVO).

Ein Detail für Technik-Inter­es­sierte: Wir verzichten bewusst darauf, die einge­bun­denen Bewer­tungen als struk­tu­rierte Daten (Review-Schema) auszu­zeichnen. Google wertet selbst einge­bundene Bewer­tungen von Dritt­platt­formen als unzulässige “self-serving reviews”, das kann Rankings schaden statt nutzen. Auch hier gilt: sauber statt kurzfristig clever.

Ein Hinweis der Vollstän­digkeit halber: Dieser Beitrag ersetzt keine Rechts­be­ratung. Die daten­schutz­recht­liche Bewertung hängt immer vom Einzelfall ab. Die hier beschriebene Archi­tektur schafft aber die techni­schen Voraus­set­zungen, auf denen eine saubere recht­liche Einordnung aufbauen kann.

Fazit: Vertrauen zeigen, ohne Daten­schutz zu opfern

Google Bewer­tungen gehören auf Ihre Website, aber nicht um den Preis, dass Besucher­daten ungefragt an Google oder in die USA fließen. Die technische Lösung ist bekannt und bewährt: server-seitiger Abruf über die offizielle Google Places API, Zwischen­spei­cherung und Auslie­ferung von einem Server in Deutschland, keine Fremd­in­halte im Browser Ihrer Besucher.

Genau so haben wir unser Google-Reviews-Widget gebaut. Wenn Sie Ihre Bewer­tungen daten­schutz­freundlich auf Ihrer Website zeigen möchten, richten wir das für Sie ein, inklusive Anpassung an Ihr Design und der passenden Passage für Ihre Daten­schutz­er­klärung. Und wenn Sie selbst eine Agentur führen: Das Widget gibt es auch als White-Label-Lösung, mit der Sie Ihren eigenen Kunden DSGVO-freund­liche Bewer­tungs-Widgets anbieten können, ohne selbst Infra­struktur zu betreiben.

Verein­baren Sie ein kosten­freies Erstge­spräch, wir zeigen Ihnen das Widget gerne live.

Häufige Fragen (FAQ)

Darf ich Google Bewer­tungen auf meiner Website anzeigen? Grund­sätzlich ja. Die Bewer­tungen sind öffentlich einsehbar und die Darstellung dient der legitimen Außen­dar­stellung Ihres Unter­nehmens. Entscheidend ist das Wie: Die Einbindung sollte so erfolgen, dass keine Daten Ihrer Website­be­sucher ohne Einwil­ligung an Google oder in Dritt­länder übertragen werden.

Brauche ich eine Cookie-Einwil­ligung für ein Bewer­tungs-Widget? Bei server-seitiger Einbindung nicht. Da der Browser des Besuchers keine Verbindung zu Google aufbaut, keine Cookies gesetzt und keine Daten an Dritte übertragen werden, gibt es nichts, worin der Besucher einwil­ligen müsste. Bei klassi­schen Widgets, die Daten direkt von Google- oder US-Servern laden, sieht das anders aus.

Warum werden nur 5 Bewer­tungen angezeigt? Das ist eine Vorgabe von Google: Die offizielle Places API liefert maximal die 5 relevan­testen Rezen­si­ons­texte pro Unter­neh­mens­profil. Das Gesamt­rating und die Gesamtzahl aller Bewer­tungen sind davon nicht betroffen und immer aktuell. Anbieter, die mehr Texte zeigen, nutzen in der Regel Scraping, was gegen die Google-Nutzungs­be­din­gungen verstößt.

Funktio­niert das Widget mit WordPress und Elementor? Ja. Die Einbindung besteht aus einer einzigen HTML-Zeile, die Sie in Elementor über ein HTML-Widget einfügen. Das funktio­niert genauso in jedem anderen CMS, Shopsystem oder auf stati­schen Websites.

Gibt es die Lösung auch als White-Label für Agenturen? Ja. Agenturen erhalten einen eigenen Zugang, über den sie Bewer­tungs-Widgets für ihre eigenen Kunden einrichten und verwalten können, gehostet in Deutschland, ohne eigene Infra­struktur. Sprechen Sie uns einfach an.

Felix Brauers
Felix Brauers
Inhaber & Webdesigner bei netzw3rk

Artikel teilen

Weitere Beiträge

Bei mit einem * gekennzeichneten Links handelt es sich um Empfehlungslinks. netzw3rk erhält für die Vermittlung eine Provision von dem jeweiligen Anbieter.