Google Forms und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Google Forms ein, verarbeitet er beim Aufruf der Webseite typischerweise IP-Adresse, Browser- und Endgeräte-Informationen, Google-Cookies sowie die im Formular eingegebenen Antworten zum Zweck der Funktionsbereitstellung des eingebetteten Formulars auf Basis einer Drittanbieter-Inhalte-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Diese Seite erläutert, welche Daten Google nach den öffentlich zugänglichen Anbieter-Angaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Google Forms

Google Forms ist ein Online-Werkzeug zur Erstellung von Formularen und Umfragen, das sowohl mit privatem (kostenfreiem) Google-Konto als auch im Rahmen von Google Workspace (kostenpflichtig, geschäftlich) genutzt werden kann. In Workspace ist Google Forms als sogenannter "Core Service" gelistet, also Bestandteil der Hauptdienste neben Gmail, Docs und Drive.

Für Webseitenbetreiber relevant ist vor allem die iFrame-Einbettung in die eigene Webseite. Im Forms-Editor lässt sich unter "Senden" über das <>-Symbol ein HTML-Snippet generieren, das im Wesentlichen aus einem <iframe src="https://docs.google.com/forms/d/e/[FormID]/viewform?embedded=true" ...> besteht. Beim Aufruf der einbettenden Webseite lädt der Browser des Besuchers das Formular direkt von docs.google.com nach. Dabei werden HTTP-Header (IP-Adresse, User-Agent, Referer, ggf. vorhandene Google-Cookies) an die Server des Anbieters übermittelt. Daneben besteht die Möglichkeit, das Formular ausschließlich per Direkt-Link (docs.google.com/forms/d/e/.../viewform) freizugeben; in diesem Fall liegt keine Einbettung in die eigene Webseite vor.

Diese Toolseite fokussiert sich auf den im Praxis-Einsatz häufigeren iFrame-Embed in die eigene Webseite.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Google Forms

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von Google Forms ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Google Forms – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine "präzise, transparente, verständliche und leicht zugängliche Form" verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) beschrieben; die konkret eingesetzten Dienstleister wie Google werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter von Google Forms

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieter-Angaben:

• Google Ireland Limited
• Anschrift: Gordon House, Barrow Street, Dublin 4, Irland
• Sitzland: Irland (EWR)
• Privacy Policy: https://policies.google.com/privacy
• Cookie-Hinweise: https://policies.google.com/technologies/cookies
• Cloud Data Processing Addendum (AVV): https://cloud.google.com/terms/data-processing-addendum

Die Konzernstruktur ist relevant: Mutter- und technische Betreibergesellschaft ist die Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Datenflüsse in die USA sind daher im Regelfall vorhanden. Google LLC ist nach öffentlich zugänglichen Angaben nach dem EU-U.S. Data Privacy Framework zertifiziert (Participant ID 5780); der aktuelle Status ist abrufbar unter https://www.dataprivacyframework.gov/s/participant-search.

Wichtige Differenzierung – Privatkonto vs. Workspace:

• Wird Google Forms über ein kostenfreies privates Google-Konto genutzt, schließt der Webseitenbetreiber keinen Auftragsverarbeitungsvertrag mit Google ab. Google verarbeitet die Daten dann nach den Bedingungen der allgemeinen Google-Datenschutzerklärung und tritt für seine eigenen Zwecke (z.B. Sicherheits- und Produktverbesserung) regelmäßig als eigenständig Verantwortlicher auf. Diese Konstellation ist datenschutzrechtlich kritisch zu sehen.
• Wird Google Forms über Google Workspace genutzt, kommt automatisch das Cloud Data Processing Addendum (CDPA) zur Anwendung, in dessen Rahmen Google für die Customer Data der Core Services (zu denen Forms gehört) als Auftragsverarbeiter handelt.

D. Datenverarbeitung mit Google Forms – Ablauf in Schritten

E. Von Google Forms erhobene Daten

Beim iFrame-Embed eines Google-Forms-Formulars verarbeitet Google nach den öffentlich zugänglichen Angaben insbesondere folgende Datenkategorien: technische Verbindungsdaten (IP-Adresse, User-Agent, Zeitstempel, Referer), Cookies aus der .google.com-Domain (z.B. NID für Präferenzen und ggf. Werbe-Personalisierung; SID/HSID zur Authentifizierung bei eingeloggten Nutzern), Browser- und Endgeräte-Informationen sowie die im Formular eingegebenen Antworten – also je nach Konfiguration Name, E-Mail-Adresse, Freitext, Auswahlen, hochgeladene Dateien.

Bei aktivierter Option "E-Mail-Adressen verifiziert erfassen" oder "auf eine Antwort begrenzen" erzwingt Google Forms einen Login des Besuchers; in diesem Fall wird zusätzlich die Google-Konto-ID an den Anbieter und an den Form-Ersteller übermittelt.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts (Embed-Endpunkt), Referer-URL der einbettenden Seite, Statuscode, übertragene Datenmenge.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmgröße und -auflösung.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeinde-Ebene.
• Nutzer-Inhalte: alle vom Besucher in das Formular eingegebenen Inhalte – Antworten, Auswahlen, hochgeladene Dateien.
• Nutzungskonto-Daten: bei Verwendung von Login-Optionen die Google-Konto-Kennung des Besuchers.
• Klickpfade und Interaktionsdaten: Navigation innerhalb des mehrseitigen Formulars, Klick- und Scroll-Verhalten innerhalb des iFrames.
• Conversion-Ereignisse: das Absenden eines Formulars als für den Webseitenbetreiber definierter Erfolgs-Event.

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Google Forms

Der Webseitenbetreiber nutzt Google Forms regelmäßig zur Bereitstellung eines Formulars zur Datenerfassung, also etwa für Anmeldungen, Bewerbungen, Umfragen, Bestellungen, Feedback-Bögen oder Support-Anfragen. Daneben werden die erhobenen Daten zur Auswertung der Antworten, zur Bearbeitung der Anliegen sowie ggf. zur internen Steuerung und Verbesserung verwendet.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Auslieferung und Funktionsfähigkeit des eingebetteten Google-Forms-Formulars (Anzeige, Eingabevalidierung, Absende-Logik), Fehlererkennung und Fehlervermeidung.
• Vertragsdurchführung: Nutzung der Formularangaben zur Vertragsanbahnung oder -abwicklung, sofern das Formular auf einen Vertragsschluss zielt (z.B. Buchung, Bestellung).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr, Erkennung missbräuchlicher Eingaben.
• Kommunikation: Nutzung der im Formular angegebenen Kontaktdaten zur Beantwortung des Anliegens des Nutzers oder zur weiteren Korrespondenz.
• Allgemeine Produktverbesserung: Auswertung aggregierter Antworten zur Optimierung interner Prozesse oder des Webangebots.

Bei Nutzung über ein privates Google-Konto kommen ergänzend Verarbeitungen durch Google selbst in Betracht (z.B. zu Sicherheits-, Produktverbesserungs- oder Personalisierungszwecken).

G. Rechtsgrundlagen für den Einsatz von Google Forms

Google Forms fällt in die Tool-Kategorie Drittanbieter-Inhalte (eingebettetes Formular eines externen Anbieters); aufgrund der von Google gesetzten Cookies und der Login-Mechanismen kommen in vielen Konfigurationen zugleich Authentifizierungs- und Tracking-Komponenten hinzu.

Als Rechtsgrundlagen für den Einsatz von Google Forms kommen in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) als Drittanbieter-Inhalte-Einwilligung: Da das iFrame-Embed beim Seitenaufruf Verbindungsdaten an Google überträgt und Google-Cookies setzt bzw. ausliest, ist eine Einwilligung über das Consent-Banner regelmäßig die rechtssicherere Variante. Verbreitet ist eine Zwei-Klick-Lösung, bei der das iFrame erst nach aktiver Einwilligung geladen wird.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): wenn das Formular dem Abschluss oder der Anbahnung eines konkreten Vertrags zwischen Webseitenbetreiber und Nutzer dient.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): mit den konkret verfolgten Interessen an Funktionsbereitstellung und Effizienz. Diese Grundlage ist bei einem rein funktionalen Embed möglich, wegen der von Google gesetzten Cookies und der Drittlandübermittlung jedoch im Einzelfall sorgfältig abzuwägen.

Die einschlägige Rechtsgrundlage hängt vom konkreten Einsatzzweck und der konkreten Konfiguration ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen. Beim Einsatz mit privatem Google-Konto fehlt die für eine Auftragsverarbeitung nach Art. 28 DSGVO notwendige Vertragsgrundlage; in dieser Konstellation ist die Verarbeitung personenbezogener Daten von Webseitenbesuchern durch Google Forms problematisch.

H. Besonderheiten und Hinweise zu Google Forms

• AVV/CDPA: Im Rahmen von Google Workspace kommt automatisch das Cloud Data Processing Addendum zur Anwendung; ein gesonderter AVV-Abschluss ist regelmäßig nicht erforderlich. Bei Nutzung über ein privates Google-Konto existiert kein AVV; eine Verarbeitung personenbezogener Daten Dritter über diese Variante ist datenschutzrechtlich kritisch.
• Drittlandtransfer: Eine Übermittlung in die USA findet nach Anbieter-Angaben statt. Google LLC ist nach öffentlich zugänglichen Angaben unter dem EU-U.S. Data Privacy Framework zertifiziert (Participant ID 5780), der aktuelle Status ist unter https://www.dataprivacyframework.gov/s/participant-search abrufbar. Ergänzend stützt Google Transfers nach eigenen Angaben auf Standardvertragsklauseln.
• Keine Self-hosted-Variante: Eine lokale Installation oder ein dedizierter EU-Hosting-Modus für Google Forms ist nach den öffentlich zugänglichen Anbieter-Angaben nicht verfügbar.
• Cookie-Verhalten: Google setzt bzw. liest Cookies aus der .google.com-Domain (u.a. NID, bei eingeloggten Nutzern SID/HSID). Diese Cookies sind domain-übergreifend für alle Google-Dienste sichtbar. Vor dem Setzen/Auslesen ist nach § 25 Abs. 1 TDDDG eine Einwilligung erforderlich, soweit die Cookies nicht für die Funktionserbringung unbedingt erforderlich sind.
• Login-Optionen: Optionen wie "E-Mail-Adressen verifiziert erfassen" oder "auf eine Antwort begrenzen" erzwingen einen Google-Login des Besuchers und führen zur Übermittlung der Google-Konto-ID. Diese Optionen sollten nur eingesetzt werden, wenn dies sachlich erforderlich und in der Datenschutzerklärung adressiert ist.
• Einstellungen für den Webseitenbetreiber: Pflichtangaben (Pflichtfelder), Zugriffsbeschränkungen sowie die genannten Login-Optionen sind im Forms-Backend konfigurierbar. Eine Deaktivierung des Google-eigenen Cookie-/Tracking-Verhaltens beim iFrame-Embed ist nicht vorgesehen.
• Einstellungen für den Webseitenbesucher: Über das Consent-Banner der einbettenden Webseite kann das Embed verweigert werden (insb. Zwei-Klick-Lösung); ergänzend stehen Browser-Cookie-Einstellungen sowie Werbe-Einstellungen unter https://adssettings.google.com/authenticated zur Verfügung.
• Joint Controller Agreement: Ein expliziter Vertrag über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO existiert für Google Forms nicht. Die rechtliche Einordnung des iFrame-Embeds (Auftragsverarbeitung im Workspace-Kontext bzw. eigenständige Verantwortlichkeit Googles bei Privatnutzung) ist in der Literatur umstritten; eine Zwei-Klick-Lösung mit Einwilligung adressiert die Risiken praktisch.

I. Häufige Fragen zu Google Forms und Datenschutz

J. Fazit zu Google Forms und Hinweise zur Datenschutzerklärung

Google Forms ist ein in der Praxis weit verbreitetes Drittanbieter-Werkzeug für Online-Formulare, das per iFrame in fremde Webseiten eingebunden wird. Beim Aufruf werden Verbindungsdaten an Google-Server übertragen und Google-Cookies gesetzt bzw. ausgelesen; Datenflüsse in die USA sind regelmäßig vorhanden. Webseitenbetreiber müssen daher eine Rechtsgrundlage bestimmen, das Cookie-Setzen über ein Consent-Banner adressieren und die Verarbeitung in der Datenschutzerklärung transparent darstellen. Bei Workspace-Nutzung greift das CDPA als AVV; bei Privatkonten fehlt eine entsprechende Vertragsgrundlage.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Google Forms einen eigenen Textbaustein aufzunehmen. Solche Tool-Bausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form verlangt.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) erklärt und im Anhang: Empfänger auf einzelne Dienstleister wie Google verweist. Das ist die Methodik des matterius-Generators.

Dieser Beitrag dient der allgemeinen Information zu Google Forms und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 6. Mai 2026.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com