Datenschutzerklärung für Google Ads

Warum ist Google Ads datenschutzrechtlich relevant? 

Damit Unternehmen den Erfolg ihrer Ads-Kampagne messen können, setzt Google einen Cookie auf ihre Webseite. Dieser liest und speichert die IP-Adresse sowie die Interaktionen der Nutzer, die über eine Anzeige auf die Seite der Unternehmen gekommen sind.  

Datenschützer gehen davon aus, dass das Zusammenspiel von IP und Seitenaktivität ein personenbezogenes Profil der User erstellen lässt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten beachten. 

Google Ads datenschutzkonform einsetzen 

Um über Google Ads datenschutzkonform Anzeigen zu schalten, müssen Seitenbetreiber diese Pflichten beachten: 

Einwilligung in Cookies einholen 

Unternehmen benötigen eine Einwilligung der Nutzer, um Daten zu ihrem Verhalten auf der Webseite erheben zu dürfen. Das gibt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) seit dem 01.12.2021 vor. Rechtskonform geht das mit einem Cookie Consent Tool. Dies holt ausdrücklich die Einwilligung von Nutzern ein und passt dementsprechend die Datenströme bei ihrem Webseitenbesuch an. Diese 6 Cookie Consent Tools sind dafür besonders gängig. 

Vertrag zur Auftragsverarbeitung abschließen 

Google verwendet auf der Seite von Unternehmen einen Cookie, um das Userverhalten auszuwerten. Auf diese Weise geben Unternehmen Daten zur Verarbeitung an die Suchmaschine weiter. Dafür müssen sie mit Google einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht ergibt sich aus Art. 28 Datenschutz-Grundverordnung (DSGVO). Der Vertrag muss aufführen, 

• welche Userdaten Google speichert und verarbeitet, 
• wie lange es die Daten speichert, 
• warum es die Daten speichert und verarbeitet und  
• welche Rechte und Pflichten beide Seiten haben. 

Warum die Auftragsverarbeitung für Unternehmen relevant ist, haben wir in unserem Beitrag „DSGVO Auftragsverarbeitung: Was ist das und was geht mich das an?“ ausführlich erklärt. 

Datenschutzerklärung aktualisieren 

Unternehmen müssen User in ihrer Datenschutzerklärung umfassend über die Datenerhebung und die Datenverarbeitung durch Google informieren. Sie müssen dabei angeben,   

• dass ihre Webseite Cookies zur Auswertung der Google Ads nutzt, 
• was Google mit ihren Daten macht, 
• dass ihre Seite IP-Adressen von Usern speichert, 
• dass sie die Daten aus dem Cookie an Google in die USA weiterleiten, 
• und dass Nutzer der Datenerhebung jederzeit widersprechen können. 

Um Nutzern einen besseren Einblick in die Datenverarbeitung durch Google zu geben, sollten Seitenbetreiber zudem auf die Datenschutzbestimmungen von Google verweisen.  

Standardvertragsklauseln prüfen 

Seitenbetreiber müssen für den Datentransfer in die USA Standardvertragsklauseln mit Google abschließen. Die EU-Kommission hat kürzlich neue Klauseln herausgegeben. Sollten Seitenbetreiber die neuen Klauseln noch nicht verwenden, müssen sie diese abschließen. Dafür haben Seitenbetreiber noch bis zum 27. Dezember 2022 Zeit. 

Daneben müssen sie auch eine Risikoabschätzung durchführen. Diese soll offenlegen, wie die Datenübermittlung in die USA aussieht und welche Maßnahmen Google vornimmt, um die Daten dabei zu schützen. So soll die Risikoabschätzung beispielsweise zeigen, 

• welche Art von Daten Google durch die Datenübermittlung erhält, 
• welche Rechtsvorschriften zum Datenschutz in den USA gelten und 
• ob Seitenbetreiber weitere Maßnahmen ergreifen können, um die Userdaten zusätzlich zu schützen. 

Was Unternehmen bei den aktuellen EU-Standardvertragsklauseln sonst noch beachten müssen, zeigen wir in unserem Artikel „Neue Standardvertragsklauseln: Das müssen Sie jetzt tun“. 

Rechtsprechung zu Google Ads 

Google erhebt und speichert personenbezogene Daten über einen Cookie auf der Seite von Unternehmen. Dafür liegt diese Rechtsprechung vor: 

Bundesgerichtshof zur Erhebung von IP-Adressen 

Der Bundesgerichtshof (BGH) kam am 16.05.2017 zu dem Schluss: Dynamische IP-Adressen sind personenbezogene Daten. Unternehmen dürfen diese nur ohne Nutzereinwilligung erheben und über den Nutzungsvorgang hinaus speichern, wenn das die generelle Funktionsfähigkeit der Dienste erfordert. Der Europäische Gerichtshof (EuGH) hatte IP-Adressen zuvor als personenbezogen eingestuft, wenn Strafverfolger die Mittel haben, den Namen einer Person hinter der IP zu bestimmen (Urteil vom 19.10.2016, Az. C-582/14). Dem BGH reicht es dagegen aus, wenn es grundsätzlich theoretisch möglich ist, die Person hinter der IP-Adresse zu bestimmen (Az. VI ZR 135/13). 

EuGH zur Verwendung von Cookies 

Der EuGH entschied am 01.10.2019: Seitenbetreiber benötigen eine Nutzereinwilligung, wenn sie Cookies auf ihrer Seite verwenden. Dabei muss es sich um eine ausdrückliche Einwilligung der User handeln. Für die Praxis heißt das: User müssen aktiv die Checkbox im Cookie Banner bzw. im Cookie Consent Tool ankreuzen (Az. C-673/17). 

BGH zur Verwendung von Cookies 

Der BGH kam zum gleichen Schluss wie der EuGH: Seitenbetreiber dürfen Tracking und Marketing Cookies nur verwenden, wenn sie über eine aktive Einwilligung von Nutzern verfügen (Urteil vom 28.05.2020, I ZR 7/16).  

Aktuelles zu Cookies und Google Ads 

Der Branchenverband IAB Europe nutzt für den Einsatz von Cookies das Transparency & Consent Framework. Die belgische Datenschutzbehörde stellte jetzt jedoch fest: Das Framework ist nicht mit der DSGVO vereinbar. Der Grund: Der mit der Schnittstelle verbundene Cookie Banner ist zu allgemein formuliert. Er macht nicht eindeutig klar, was mit den Nutzerdaten passiert. Die Datenschutzbehörde sprach daher ein Bußgeld in Höhe 250.000 Euro gegen IAB Europe aus. Der Verband muss jetzt einen Aktionsplan vorlegen, wie er die Mängel beseitigen will.