Google Calendar Embed und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Google Calendar Embed oder Google Appointment Schedules ein, verarbeitet er beim Aufruf der Seite typischerweise Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten sowie – bei aktiver Terminbuchung – Nutzer-Inhalte und Conversion-Ereignisse, um Kalenderinhalte einzubetten und die Online-Terminbuchung zu ermöglichen. Rechtsgrundlage ist regelmäßig eine Drittanbieter-Inhalte-Einwilligung, da die Inhalte direkt von Google-Servern geladen werden. Die folgende Seite erklärt, welche Datenflüsse bei Google Calendar entstehen und welche Pflichtangaben sich daraus für die Datenschutzerklärung ergeben.

A. Zweck und Funktionsweise von Google Calendar Embed

Google Calendar ist der Online-Kalenderdienst von Google. Für Webseitenbetreiber sind im Wesentlichen zwei Integrationsfunktionen relevant, die Inhalte von Google-Servern direkt in die eigene Webseite einbetten:

1. Google Calendar Embed: Über einen Einbettungscode (<iframe src="https://calendar.google.com/calendar/embed?src=...") wird ein öffentlich freigegebener Google-Kalender als Kalenderansicht in die eigene Webseite integriert. Besucher sehen Termine, Wochen- oder Monatsansichten und können den Kalender in ihren eigenen Google-Kalender übernehmen.
2. Google Appointment Schedules (Terminbuchung): Über einen von Google bereitgestellten Buchungs-Link bzw. -iframe (typische Pfade unter calendar.app.google bzw. calendar.google.com/calendar/u/0/appointments/...) können Webseitenbesucher Termine bei dem Webseitenbetreiber buchen. Die Buchungsmaske selbst läuft auf der Google-Domain.

Diese Toolseite konzentriert sich auf die Webseiten-Einbindung dieser beiden Funktionen. Andere Funktionen von Google Calendar – etwa die interne Kalendernutzung der Mitarbeiter, die Synchronisation mit Endgeräten oder die kalenderweite Termineinladung per E-Mail – sind nicht Gegenstand dieser Seite und unterliegen einer anderen rechtlichen Bewertung.

Technisch ist beiden Integrationsformen gemein, dass beim Aufruf der einbettenden Seite direkt eine Verbindung des Endgeräts des Besuchers zu Google-Servern hergestellt wird. Google erhält dadurch Daten, ohne dass der Webseitenbetreiber dies aktiv weiterleitet.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Google Calendar

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie Google Calendar insbesondere folgende Angaben: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Hinweise auf Übermittlungen in unsichere Drittländer und die Garantien (Art. 13 Abs. 1 lit. f DSGVO) sowie die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO). Werden Daten nicht direkt beim Betroffenen erhoben, sind zusätzlich die Kategorien der verarbeiteten Daten zu nennen (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den nachfolgenden Abschnitten für Google Calendar Embed und Appointment Schedules aufgeschlüsselt.

In der Praxis hat sich eingebürgert, jedes einzelne Tool mit einem eigenen, anwaltlich vorformulierten Textbaustein in die Datenschutzerklärung zu übernehmen. Dieser „Textbaustein-pro-Tool"-Ansatz produziert lange, sich wiederholende und schlecht pflegbare Datenschutzerklärungen und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) beschreibt und die konkret eingesetzten Dienstleister – darunter Google Calendar – lediglich in einem Anhang Empfänger auflistet. Genau diesen Ansatz verfolgt der matterius-Generator.

C. Anbieter von Google Calendar

Vertragspartner für Webseitenbetreiber im Europäischen Wirtschaftsraum ist nach den öffentlich zugänglichen Angaben von Google in der Regel:

• Google Ireland Limited
• Gordon House, Barrow Street, Dublin 4, Irland
• Sitzland: Irland (EU)

Mutter- und Konzerngesellschaft ist Google LLC mit Sitz in Mountain View, Kalifornien, USA. Ein Datentransfer in die USA ist beim Einsatz von Google-Diensten regelmäßig zu unterstellen. Google LLC ist nach den im EU-US Data Privacy Framework (Teilnehmerliste) öffentlich verfügbaren Angaben unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; der Webseitenbetreiber sollte den Zertifizierungsstatus vor dem Einsatz selbst prüfen. Ergänzend sieht Google in seinen Datenschutzbedingungen Standardvertragsklauseln (SCC) als Garantie nach Art. 46 DSGVO für Drittlandtransfers vor.

Die für Google insgesamt geltende Datenschutzerklärung findet sich unter https://policies.google.com/privacy. Hinweise zur Einbettung von Google Calendar bietet die Google-Calendar-Hilfe unter https://support.google.com/calendar/answer/41207.

D. Datenverarbeitung bei Google Calendar – Ablauf in Schritten

E. Erhobene Daten bei Google Calendar Embed

Beim Einsatz von Google Calendar Embed und Appointment Schedules werden nach den öffentlich zugänglichen Angaben von Google insbesondere folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit des Aufrufs, aufgerufene URL, Referrer, User-Agent (Browser, Betriebssystem, Gerät), grober Standort auf Stadt-/Regionsebene, Cookies bzw. ähnliche Kennungen, bei eingeloggten Google-Nutzern die Verknüpfung mit dem Google-Konto sowie – bei Terminbuchung über Appointment Schedules – die vom Nutzer eingegebenen Buchungsangaben (z. B. Name, E-Mail, Buchungsanlass, freie Notizen) und die Information, dass eine Buchung erfolgt ist (Conversion-Ereignis).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver bei jeder Anfrage erhält, z. B. IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräteinformationen sowie Statuscodes.
• Klickpfade: bei Appointment Schedules insbesondere aufgerufene Buchungsschritte, ausgewählte Termine und Schaltflächen-Klicks innerhalb der Buchungsmaske.
• Endgeräte-Daten: Angaben zum Endgerät, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung und Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion und ggf. installierte Erweiterungen.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter ungefährer Standort auf Stadt- oder Regionsebene.
• Nutzungskonto-Daten: bei Besuchern, die in ihrem Google-Konto eingeloggt sind, insbesondere Benutzerkennung und mit dem Konto verbundene Identifikatoren.
• Nutzer-Inhalte: bei Appointment Schedules die in das Buchungsformular eingegebenen Inhalte (Name, E-Mail, Telefon, Buchungsthema, Notizen, ggf. weitere Pflicht- oder Wahlfelder).
• Conversion-Ereignisse: insbesondere die erfolgreiche Terminbuchung über Appointment Schedules.

Zudem können von Google Cookies bzw. ähnliche Kennungen auf dem Endgerät des Besuchers gesetzt oder ausgelesen werden.

F. Nutzungszwecke beim Einsatz von Google Calendar

Der Webseitenbetreiber nutzt Google Calendar Embed in der Regel, um Termine, Veranstaltungen oder Sprechzeiten transparent darzustellen, und Appointment Schedules, um Webseitenbesuchern eine bequeme Online-Terminbuchung anzubieten. Die dabei verarbeiteten Daten dienen primär der Bereitstellung der Kalenderansicht bzw. der Buchungsfunktion sowie der Abwicklung der konkreten Terminbuchung.

Die typischerweise verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Auslieferung und Darstellung des eingebetteten Google-Calendar-Kalenders sowie Bereitstellung der Buchungsmaske von Appointment Schedules, einschließlich Fehlererkennung und Fehlervermeidung.
• Vertragsdurchführung: Vorbereitung, Durchführung und Abwicklung der über Appointment Schedules angebahnten oder gebuchten Terminleistung (z. B. Beratung, Sprechstunde, Service-Termin) einschließlich der zugehörigen Kommunikation.
• Sicherheit und Missbrauchsschutz: Erkennen, Verhindern und Beenden von Angriffen, Bot-Buchungen und sonstigem Missbrauch, Spam- und Betrugsabwehr.
• Kommunikation: Bestätigung, Erinnerung, Verschiebung oder Absage von Terminen gegenüber dem Nutzer.
• Allgemeine Produktverbesserung: anonymisierte Auswertung typischer Nutzungsmuster zur Verbesserung des Buchungsangebots durch den Webseitenbetreiber.
• Erfüllung von Aufbewahrungspflichten und Rechtsdurchsetzung: soweit Buchungen Vertragsbezug haben (z. B. kostenpflichtige Termine).

Darüber hinausgehende Zwecke, etwa nutzerindividuelles Marketing oder Werbeausspielung, verfolgt Google für seine eigenen Konten- und Werbeprodukte nach eigenen Angaben in seinen Datenschutzbedingungen; diese Verarbeitungen liegen in der Verantwortung von Google als eigenständigem Verantwortlichen.

G. Rechtsgrundlagen bei Google Calendar

In einem ersten Schritt ist Google Calendar Embed der Tool-Kategorie Drittanbieter-Inhalte (eingebettete Inhalte über iframe) zuzuordnen; Appointment Schedules tritt zugleich als Funktion zur Terminbuchung hinzu.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Drittanbieter-Inhalte-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG): Da der iframe direkt Verbindungen zu Google-Servern auslöst und Google in diesem Zusammenhang regelmäßig Cookies bzw. Zugriffe auf das Endgerät vornimmt, kommt regelmäßig eine Einwilligung des Webseitenbesuchers in Betracht – in der Praxis als Funktions- oder Drittanbieter-Inhalte-Einwilligung im Consent-Banner umgesetzt.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Soweit über Appointment Schedules ein Termin gebucht wird und dies der Anbahnung oder Erfüllung eines Vertrags dient, kommt zusätzlich Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage für die Buchungsdaten in Betracht.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Für nicht-tracking-bezogene Aspekte (z. B. Sicherheits- und Missbrauchsabwehr, einfache und zuverlässige Bereitstellung der Funktion) kann ein berechtigtes Interesse an Funktionsbereitstellung, Sicherheit, Missbrauchsschutz, Effizienz in Betracht kommen. Für reine Drittanbieter-Inhalte mit Endgerätzugriff ist diese Grundlage jedoch nach § 25 Abs. 1 TDDDG häufig nicht ausreichend.
• Marketing-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit eingeloggte Google-Nutzer Daten erzeugen, die Google für nutzerindividuelles Marketing nutzt, kommt zusätzlich eine Einwilligung in Betracht.

Welche Rechtsgrundlage einschlägig ist, hängt maßgeblich davon ab, ob der Webseitenbetreiber den iframe sofort lädt oder erst nach Einwilligung („Zwei-Klick-Lösung"), wie das Consent-Banner ausgestaltet ist und ob ein Vertragsbezug besteht. Die Einordnung ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Google Calendar

• Eigenständige Verantwortlichkeit von Google: Google handelt nach den öffentlich zugänglichen Angaben für die mit dem Embed bzw. der Appointment-Schedules-Buchung verbundenen Datenverarbeitungen typischerweise als eigenständig Verantwortlicher. Eine Joint-Controller-Konstellation (Art. 26 DSGVO) ist nicht ausgeschlossen und sollte vom Webseitenbetreiber im Einzelfall geprüft werden – insbesondere für die Phase der Anzeige und Buchung auf der eigenen Webseite. Anders als bei Meta-Business-Tools veröffentlicht Google für Calendar-Embed/Appointment Schedules nach öffentlich zugänglichen Angaben kein eigenes Joint-Controller-Addendum; eine eigenständige rechtliche Bewertung ist daher anzuraten.
• Drittlandtransfer / DPF: Google überträgt Daten in die USA. Google LLC ist nach den auf der DPF-Teilnehmerliste verfügbaren Angaben unter dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend sind in den Google-Datenschutzbedingungen Standardvertragsklauseln vorgesehen. Status und Reichweite sind vor dem Einsatz zu verifizieren: https://www.dataprivacyframework.gov/s/participant-search.
• AVV / DPA: Für die Einbettung eines öffentlichen Kalenders bzw. eines öffentlichen Buchungs-Links über die Standard-Google-Konten besteht typischerweise kein Auftragsverarbeitungsvertrag mit dem Webseitenbetreiber, da Google insoweit als eigenständig Verantwortlicher auftritt. Wird Appointment Schedules im Rahmen eines Google-Workspace-Vertrags genutzt, gelten die Workspace-Datenverarbeitungsbedingungen (Cloud Data Processing Addendum); diese sind dann maßgeblich.
• Empfänger im Anhang nennen: Google Ireland Limited (und damit verbunden Google LLC) sollte in der Datenschutzerklärung – bzw. nach dem themenorientierten Ansatz im Anhang Empfänger – als Empfänger der personenbezogenen Daten aufgeführt werden.
• Einstellungen für den Webseitenbetreiber: Vor dem Einbinden empfiehlt sich die Prüfung, ob der Kalender wirklich öffentlich freigegeben werden muss, ob personenbezogene Termininhalte (Namen Dritter, Kontaktdaten) im öffentlichen Kalender stehen, und ob bei Appointment Schedules nur erforderliche Pflichtfelder im Buchungsformular abgefragt werden (Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO).
• Opt-Out auf Google-Ebene: Webseitenbesucher können ihre Google-Werbe- und Personalisierungseinstellungen unter https://myadcenter.google.com/ bzw. https://myaccount.google.com/data-and-privacy selbst steuern.
• Konsent-Management: Da der iframe Drittanbieter-Verbindungen auslöst, sollte er erst nach Einwilligung geladen werden („Zwei-Klick-Lösung" oder vergleichbares Consent-Pattern).

I. FAQ zu Google Calendar und Datenschutz

J. Fazit zum Einsatz von Google Calendar und Call-to-Action

Google Calendar Embed und Appointment Schedules sind klassische Drittanbieter-Inhalte: Der iframe wird direkt von Google-Servern geladen, wodurch IP-Adresse, Endgeräte- und Browserdaten sowie ggf. Cookies und Kontodaten an Google – und damit auch an Google LLC in die USA – übertragen werden. Bei Appointment Schedules kommen Buchungseingaben (Nutzer-Inhalte) und das Conversion-Ereignis der erfolgreichen Buchung hinzu. Rechtsgrundlage ist regelmäßig eine Drittanbieter-Inhalte-Einwilligung; bei Vertragsbezug der Buchung tritt Art. 6 Abs. 1 lit. b DSGVO hinzu. Google handelt typischerweise als eigenständig Verantwortlicher; ob im Einzelfall eine Joint-Controller-Konstellation vorliegt, ist gesondert zu prüfen.

Für die Datenschutzerklärung ist es wenig sinnvoll, ausgerechnet Google Calendar mit einem eigenen vorformulierten Textbaustein zu erfassen. Solche Bausteine wiederholen sich, blähen die Datenschutzerklärung auf und stehen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz: Drittanbieter-Inhalte und Terminbuchung werden übergreifend erklärt, und im Anhang Empfänger wird Google Ireland Limited (mit Google LLC als verbundene US-Stelle) als konkret eingesetzter Dienstleister benannt. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com