Was macht Google Conversion-Tracking?
Kommen Nutzer über eine Google-Ads-Anzeige auf eine Webseite, setzt Google dort einen Cookie. Dieser Cookie bleibt 30 Tage bestehen. Webseitenbetreiber können so nachvollziehen,
- über welche Anzeige User auf ihre Seite gekommen sind,
- welche Seiten sie dort besuchen und
- ob es zu einer Conversion kommt.
In der Praxis heißt das: Webseitenbetreiber können über Google Conversion-Tracking überprüfen, wie viele ihrer Webseitenbesucher ein Produkt kaufen, einen Newsletter abonnieren oder sich registrieren. Das wiederum zeigt ihnen, wie viel ihnen die bei Google geschaltete Anzeige eingebracht hat.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenDarum ist Google Conversion-Tracking datenschutzrechtlich relevant
Der von Google gesetzte Cookie erstellt ein anonymes Profil der Webseitenbesucher, das verschiedene Daten zu ihrem Verhalten und zum User selbst führt. Anonymisieren Webseitenbetreiber die IP der Nutzer zudem nicht, verfügen sie auch über Informationen zu ihrer genauen Herkunft. Dabei handelt es sich um personenbezogene Daten. Das bedeutet: Webseitenbetreiber können diese Daten einer bestimmten Person zuordnen. Das dürfen sie jedoch nur unter bestimmten Voraussetzungen.
Google Conversion-Tracking datenschutzkonform nutzen
Um Google Conversion-Tracking gemäß den Vorgaben den Datenschutz-Grundverordnung und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) zu verwenden, müssen Seitenbetreiber diese Pflichten erfüllen:
Nutzer-Einwilligung einholen
Bevor Seitenbetreiber personenbezogene Daten über den von Google gesetzten Cookie sammeln, müssen sie die Einwilligung der User dafür einholen. Rechtlich sicher können sie das über ein Cookie Consent Tool vornehmen. Dies fragt nicht nur die Erlaubnis für den Cookie ab, sondern passt auch den Datenstrom entsprechend der gemachten Angaben an.
Vertrag zur Auftragsdatenverarbeitung abschließen
Immer wenn Seitenbetreiber personenbezogene Daten an einen Dritten weitergeben und dieser die Daten weisungsgebunden verarbeitet, müssen Seitenbetreiber mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Bei Google Conversion-Tracking beauftragen sie die Suchmaschine damit, personenbezogene Userdaten für sie zu sammeln und zu verarbeiten. Damit liegt eine Auftragsverarbeitung vor. Den AV-Vertrag können Seitenbetreiber online mit Google schließen. Dabei sollten sie darauf achten, dass der Vertrag erklärt,
- welche Nutzerdaten Google speichert,
- wie lange Google die Userdaten speichert,
- zu welchem Zweck Google die Daten verarbeitet und
- welche sonstigen Rechte und Pflichten beide Parteien haben.
Alles Wichtige zum AV-Vertrag haben wir in unserem Beitrag zur DSGVO Auftragsverarbeitung zusammengetragen.
IP-Anonymisierung vornehmen
Damit Seitenbetreiber beim Google Conversion-Tracking nicht vollständige IP-Adressen sammeln, sollten sie diese anonymisieren. Das können sie in Google Analytics über die Funktion „anonymizeIp()“ vornehmen. Diese löscht die letzten 8 Bit der IP-Adresse. Auf diese Weise können Seitenbetreiber zwar noch die ungefähre Region des Users, aber nicht mehr ihren genauen Ort einsehen.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung erwähnen,
- dass sie über Google Conversion-Tracking und den Cookie personenbezogene Daten erheben, verarbeiten und speichern,
- dass sie dafür mit Google einen AV-Vertrag geschlossen haben,
- dass sie die IP-Adressen der User anonymisiert haben und
- dass User der Datenerhebung über Google Conversion-Tracking jederzeit widersprechen können.
Standardvertragsklauseln prüfen
Seitenbetreiber geben personenbezogene Daten an Google in den USA weiter. Dabei müssen sie dafür sorgen, dass die Daten dort ein ähnliches Datenschutzniveau genießen wie hierzulande. Um das zu gewährleisten, können Seitenbetreiber Standardvertragsklauseln abschließen. Sollten sie diese mit Google bereits abgeschlossen haben, müssen sie überprüfen, ob diese noch aktuell sind. Denn: Die EU-Kommission hat kürzlich neue Standardvertragsklauseln herausgegeben. Seitenbetreiber müssen diese bis spätestens 27. Dezember 2022 verwenden.
Zusätzlich müssen Seitenbetreiber eine Risikoabschätzung vornehmen. Diese zeigt, wie die Datenübertragung zu Google in den USA funktioniert und wie die Suchmaschine die Daten schützt. Dabei legt die Risikoabschätzung zum Beispiel offen,
- welche Art von Daten Google durch den Datentransfer erhält,
- welche Datenschutzgesetze in den USA Anwendung finden und
- ob Seitenbetreiber weitere Maßnahmen ergreifen können, um die Daten zu schützen.
Sollten hierzu noch Fragen auftauchen, unser Beitrag „Neue Standardvertragsklauseln: Das müssen Sie jetzt tun“ erklärt im Detail, was Seitenbetreiber bei den neuen Standardvertragsklauseln der EU-Kommission beachten müssen.
Wichtig: Universal Analytics wird zum 01.06.2023 vollständig eingestellt! Das bedeutet, sollten Sie bis dato Universal Analytics nutzen, empfehlen wir Ihnen jetzt bereits die Umstellung auf Google Analytics 4.
Rechtsprechung zu Google Conversion-Tracking
Google Conversion-Tracking setzt einen Cookie in den Browser von Unternehmen. Der Cookie erhebt und speichert personenbezogene Daten wie das Userverhalten auf der Seite und die IP-Adresse. Dafür liegt diese Rechtsprechung vor:
Bundesgerichtshof zur Erhebung von IP-Adressen
Dynamische IP-Adressen sind personenbezogene Daten, sofern Seitenbetreiber theoretisch die hinter der IP stehende Person ermitteln können. Das stellte der Bundesgerichtshof (BGH) am 16.05.2017 fest (Az. VI ZR 135/13). Damit kamen die Richter zu einem ähnlichen Ergebnis wie der Europäische Gerichtshof (EuGH). Dieser hatte in seiner Entscheidung vorgegeben, dass IP-Adressen dann personenbezogene Daten sind, wenn Strafverfolger die hinter einer IP stehende Person zuordnen können. Es ist keine Voraussetzung, dass Seitenbetreiber die IP selbst zuordnen können (Urteil vom 19.10.2016, Az. C-582/14).
EuGH zur Verwendung von Cookies
Seitenbetreiber benötigen eine ausdrückliche Einwilligung von Usern, wenn sie Cookies auf ihrer Seite verwenden. Dafür darf die Checkbox im Cookie Banner nicht vorangekreuzt sein (Urteil vom 01.10.2019, Az. C-673/17).
BGH zur Verwendung von Cookies
Der BGH kam zum gleichen Ergebnis wie der EuGH: Unternehmen dürfen Cookies, die nicht nur einen technischen Zweck haben, nur mit einer ausdrücklichen Einwilligung der User einsetzen (Urteil vom 28.05.2020, I ZR 7/16).
Aktuelles zu Google Conversion-Tracking und Cookies
Unternehmen, die das Transparency & Consent Framework des Branchenverbandes IAB Europe verwenden, holen keine rechtskräftige Einwilligung von Usern in die Verwendung von Cookies ein. Das stellte jetzt die belgische Datenschutzbehörde fest. Der Grund: Der mit der Schnittstelle verbundene Cookie Banner macht nicht eindeutig klar, was mit den erhobenen Nutzerdaten passiert. IAB Europe muss daher eine Strafe von 250.000 Euro zahlen. Er muss einen Aktionsplan entwerfen, wie er die Mängel an dem Framework beseitigen will.