Was macht Google Ads?
Google Ads – ehemals Google AdWords – ist ein Werbeprogramm, über das Unternehmen zielgerichtet Anzeigen schalten können. Dazu können sie in den Netzwerken von Google – wie Google Search, Google Shopping, Google Maps sowie auf anderen Webseiten Werbung passend zum Inhalt der jeweiligen Webseite einblenden lassen. Auf diese Weise erreichen Unternehmen mit einer Anzeige viele potenzielle Kunden im Netz.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist Google Ads datenschutzrechtlich relevant?
Damit Unternehmen den Erfolg ihrer Ads-Kampagne messen können, setzt Google einen Cookie auf ihre Webseite. Dieser liest und speichert die IP-Adresse sowie die Interaktionen der Nutzer, die über eine Anzeige auf die Seite der Unternehmen gekommen sind.
Datenschützer gehen davon aus, dass das Zusammenspiel von IP und Seitenaktivität ein personenbezogenes Profil der User erstellen lässt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten beachten.
Google Ads datenschutzkonform einsetzen
Um über Google Ads datenschutzkonform Anzeigen zu schalten, müssen Seitenbetreiber diese Pflichten beachten:
Einwilligung in Cookies einholen
Unternehmen benötigen eine Einwilligung der Nutzer, um Daten zu ihrem Verhalten auf der Webseite erheben zu dürfen. Das gibt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) seit dem 01.12.2021 vor. Rechtskonform geht das mit einem Cookie Consent Tool. Dies holt ausdrücklich die Einwilligung von Nutzern ein und passt dementsprechend die Datenströme bei ihrem Webseitenbesuch an. Diese 6 Cookie Consent Tools sind dafür besonders gängig.
Vertrag zur Auftragsverarbeitung abschließen
Google verwendet auf der Seite von Unternehmen einen Cookie, um das Userverhalten auszuwerten. Auf diese Weise geben Unternehmen Daten zur Verarbeitung an die Suchmaschine weiter. Dafür müssen sie mit Google einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht ergibt sich aus Art. 28 Datenschutz-Grundverordnung (DSGVO). Der Vertrag muss aufführen,
- welche Userdaten Google speichert und verarbeitet,
- wie lange es die Daten speichert,
- warum es die Daten speichert und verarbeitet und
- welche Rechte und Pflichten beide Seiten haben.
Warum die Auftragsverarbeitung für Unternehmen relevant ist, haben wir in unserem Beitrag „DSGVO Auftragsverarbeitung: Was ist das und was geht mich das an?“ ausführlich erklärt.
Datenschutzerklärung aktualisieren
Unternehmen müssen User in ihrer Datenschutzerklärung umfassend über die Datenerhebung und die Datenverarbeitung durch Google informieren. Sie müssen dabei angeben,
- dass ihre Webseite Cookies zur Auswertung der Google Ads nutzt,
- was Google mit ihren Daten macht,
- dass ihre Seite IP-Adressen von Usern speichert,
- dass sie die Daten aus dem Cookie an Google in die USA weiterleiten,
- und dass Nutzer der Datenerhebung jederzeit widersprechen können.
Um Nutzern einen besseren Einblick in die Datenverarbeitung durch Google zu geben, sollten Seitenbetreiber zudem auf die Datenschutzbestimmungen von Google verweisen.
Standardvertragsklauseln prüfen
Seitenbetreiber müssen für den Datentransfer in die USA Standardvertragsklauseln mit Google abschließen. Die EU-Kommission hat kürzlich neue Klauseln herausgegeben. Sollten Seitenbetreiber die neuen Klauseln noch nicht verwenden, müssen sie diese abschließen. Dafür haben Seitenbetreiber noch bis zum 27. Dezember 2022 Zeit.
Daneben müssen sie auch eine Risikoabschätzung durchführen. Diese soll offenlegen, wie die Datenübermittlung in die USA aussieht und welche Maßnahmen Google vornimmt, um die Daten dabei zu schützen. So soll die Risikoabschätzung beispielsweise zeigen,
- welche Art von Daten Google durch die Datenübermittlung erhält,
- welche Rechtsvorschriften zum Datenschutz in den USA gelten und
- ob Seitenbetreiber weitere Maßnahmen ergreifen können, um die Userdaten zusätzlich zu schützen.
Was Unternehmen bei den aktuellen EU-Standardvertragsklauseln sonst noch beachten müssen, zeigen wir in unserem Artikel „Neue Standardvertragsklauseln: Das müssen Sie jetzt tun“.
Rechtsprechung zu Google Ads
Google erhebt und speichert personenbezogene Daten über einen Cookie auf der Seite von Unternehmen. Dafür liegt diese Rechtsprechung vor:
Bundesgerichtshof zur Erhebung von IP-Adressen
Der Bundesgerichtshof (BGH) kam am 16.05.2017 zu dem Schluss: Dynamische IP-Adressen sind personenbezogene Daten. Unternehmen dürfen diese nur ohne Nutzereinwilligung erheben und über den Nutzungsvorgang hinaus speichern, wenn das die generelle Funktionsfähigkeit der Dienste erfordert. Der Europäische Gerichtshof (EuGH) hatte IP-Adressen zuvor als personenbezogen eingestuft, wenn Strafverfolger die Mittel haben, den Namen einer Person hinter der IP zu bestimmen (Urteil vom 19.10.2016, Az. C-582/14). Dem BGH reicht es dagegen aus, wenn es grundsätzlich theoretisch möglich ist, die Person hinter der IP-Adresse zu bestimmen (Az. VI ZR 135/13).
EuGH zur Verwendung von Cookies
Der EuGH entschied am 01.10.2019: Seitenbetreiber benötigen eine Nutzereinwilligung, wenn sie Cookies auf ihrer Seite verwenden. Dabei muss es sich um eine ausdrückliche Einwilligung der User handeln. Für die Praxis heißt das: User müssen aktiv die Checkbox im Cookie Banner bzw. im Cookie Consent Tool ankreuzen (Az. C-673/17).
BGH zur Verwendung von Cookies
Der BGH kam zum gleichen Schluss wie der EuGH: Seitenbetreiber dürfen Tracking und Marketing Cookies nur verwenden, wenn sie über eine aktive Einwilligung von Nutzern verfügen (Urteil vom 28.05.2020, I ZR 7/16).
Aktuelles zu Cookies und Google Ads
Der Branchenverband IAB Europe nutzt für den Einsatz von Cookies das Transparency & Consent Framework. Die belgische Datenschutzbehörde stellte jetzt jedoch fest: Das Framework ist nicht mit der DSGVO vereinbar. Der Grund: Der mit der Schnittstelle verbundene Cookie Banner ist zu allgemein formuliert. Er macht nicht eindeutig klar, was mit den Nutzerdaten passiert. Die Datenschutzbehörde sprach daher ein Bußgeld in Höhe 250.000 Euro gegen IAB Europe aus. Der Verband muss jetzt einen Aktionsplan vorlegen, wie er die Mängel beseitigen will.