Was ist Google DoubleClick?
Google DoubleClick ist ein Tool für Vermarkter, Werbetreibende und Werbenetzwerke, um personalisierte Werbung an User auszuspielen. DoubleClick ermöglicht es dabei, Anzeigen und Kampagnen zu planen, durchzuführen, zu verwalten und auszuwerten. Dies geschieht auf der Basis von Daten, die Google über Tracking gewinnt. Google DoubleClick ermöglicht es Unternehmen so, ihre Webseite zu monetarisieren. Worauf müssen Werbetreibende bei Google DoubleClick datenschutzrechtlich achten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenDarum ist Google DoubleClick datenschutzrechtlich problematisch
Google DoubleClick setzt ein spezielles Cookie-Script ein. Dies zeichnet unter anderem
- die Zahl von Seitenaufrufen,
- das Surfverhalten der Nutzer auf der Seite,
- die IP-Adresse der User,
- zuvor besuchte Seiten und
- für die Suche verwendete Keywords
auf. Dabei ist nicht klar, welche dieser Daten bei Google landen. Die Datenschutzbestimmungen von Google gewähren nur einen kleinen Einblick in die Datenübermittlung. Sie verraten nicht eindeutig, welche Informationen der User an Google gehen.
Klar ist: Google ordnet die gesammelten Informationen Usern zu. Wenn diese über einen Account bei Google verfügen, verknüpft die Suchmaschine die gewonnenen Daten mit den im Google-Konto verfügbaren Informationen. Für Webseitenbetreiber heißt das: Verwenden sie Google DoubleClick, erheben sie von Nutzern personenbezogene Daten, ohne dafür ihre Zustimmung zu haben. Und: Sie leiten diese Daten ohne Erlaubnis an Google in die USA weiter. Dort genießen die Daten nicht mehr den Schutz der Datenschutz-Grundverordnung (DSGVO). Unternehmen müssen daher verschiedene datenschutzrechtliche Maßnahmen ergreifen.
Wie können Webseitenbetreiber Google DoubleClick datenschutzkonform verwenden?
Um Google DoubleClick rechtskonform zu verwenden, müssen Unternehmen auf diese datenschutzrechtlichen Pflichten achten:
User-Einwilligung einholen
DoubleClick erhebt bereits Nutzerdaten, sobald User eine Webseite betreten. Unternehmen müssen daher vorher die Einwilligung der User in die Datenerhebung einholen. Das können sie über einen Cookie-Hinweis vornehmen. Dabei darf die Einverständniserklärung nicht vorangekreuzt sein. Nutzer müssen aktiv ein Häkchen setzen können, um ihre Einwilligung in die Datenerhebung auszusprechen. Rechtssicher umsetzen können Unternehmen einen Cookie-Hinweis mit einem entsprechenden Cookie Consent Tool.
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen erheben über Google DoubleClick personenbezogene Daten und geben diese an die Suchmaschine weiter. Diese verarbeitet die Daten weisungsgebunden, damit Werbetreibende zielgerichtet Anzeigen ausspielen können. Dafür müssen sie mit Google einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen. Das gibt Art. 28 DSGVO vor. Der Vertrag muss festhalten,
- welche Userdaten Google speichert und verarbeitet,
- wie lange die Suchmaschine die Daten speichert,
- warum sie die Daten speichert und verarbeitet und
- welche Rechte und Pflichten beide Seiten haben.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen,
- dass und wie sie Google DoubleClick verwenden,
- wie Dritte – z. B. Google – Werbeanzeigen ausspielen können,
- wie sie Cookies von DoubleClick verwenden, um Werbeanzeigen auf Basis von bisherigen Visits auszuspielen und
- wie User den Einsatz von Cookies durch Google deaktivieren können.
Standardvertragsklauseln abschließen
Werbetreibende sammeln über Google DoubleClick personenbezogene Daten und geben diese an den Anbieter in den USA weiter. Dafür müssen sie mit Google Standardvertragsklauseln abschließen. Denn: Diese gelten als Ersatz für die derzeit fehlende gesetzliche Grundlage für den Datentransfer in die USA.
Neben den Standardvertragsklauseln müssen Werbetreibende eine Risikoabschätzung vornehmen. Das heißt: Sie müssen überprüfen und offenlegen, wie die Datenübermittlung in die USA abläuft und welche organisatorischen und technischen Maßnahmen Google für den Datenschutz ergreift. Die Risikoabschätzung sollte dabei zeigen,
- welche Art von Daten bei dem Datentransfer betroffen sind,
- welche Rechtsvorschriften in den USA gelten und
- ob Werbetreibende weitere Maßnahmen ergreifen können, um Nutzerdaten zu schützen.
Was Vermarkter bei den aktuellen Standardvertragsklauseln beachten müssen, zeigen wir in unserem Beitrag „Neue Standardvertragsklauseln: Das müssen Sie jetzt tun“.
Rechtsprechung zu Google DoubleClick
Für Google DoubleClick ist diese Rechtsprechung relevant:
Landgericht Hamburg zur Erwähnung von Google Analytics in Datenschutzerklärung
Das Landgericht (LG) Hamburg hat am 09.08.2016 entschieden: Webseitenbetreiber dürfen nur Google Analytics verwenden, wenn sie in ihrer Datenschutzerklärung informieren, warum und wie sie das Tool einsetzen und Userdaten speichern (Az. 406 HKO 120/16). Google DoubleClick sammelt wie Analytics personenbezogene Daten von Nutzern. Das Urteil ist daher auch für DoubleClick relevant.
Europäischer Gerichtshof zur Verwendung von Cookies
Der Europäische Gerichtshof (EuGH) entschied am 01.10.2019, dass Seitenbetreiber grundsätzlich das Einverständnis der User brauchen, wenn sie Cookies nutzen wollen. Um das Einverständnis einzuholen, müssen Seitenbetreiber User aktiv einwilligen lassen. Das kann beispielsweise über das Setzen eines Häkchens sein (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Der Bundesgerichtshof (BGH) kam am 28.05.2020 zu dem Ergebnis: Seitenbetreiber dürfen nur mit Erlaubnis der Nutzer Tracking Cookies verwenden. Die Richter verweisen darauf, dass das Kästchen für die Einwilligung nicht vormarkiert sein darf (I ZR 7/16).
Datenschutzbehörde Hamburg zum AV-Vertrag
Ein deutsches Versandunternehmen hatte einen Postdienstleister aus Spanien beauftragt. In diesem Rahmen verarbeitete der Dienstleister personenbezogene Daten des Versandunternehmens. Dafür hatten die beiden Parteien jedoch keinen AV-Vertrag geschlossen. Das wertete die Datenschutzbehörde Hamburg als einen Verstoß gegen die DSGVO. Sie sprach daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro gegen das deutsche Unternehmen aus.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußball-Bundesligaclub VfB Stuttgart hatte zwischen 2016 und 2018 mehrere Dienstleister beauftragt, Mitgliederdaten weisungsgebunden zu verarbeiten. Einen AV-Vertrag hatte der Verein mit den Dritten dafür jedoch nicht abgeschlossen. Das rief die Datenschutzbehörde Baden-Württemberg auf den Plan. Sie verhängte gegen das Unternehmen im März 2021 ein Bußgeld in Höhe von 300.000 Euro.
Aktuelles zu Googles Analysediensten
Anfang 2022 stuften zwei europäische Datenschutzbehörden Google Analytics als rechtlich unzulässig ein:
Datenschutzbehörde Österreich zu Google Analytics
Google Analytics gibt personenbezogene Daten an den Anbieter in den USA weiter. Die Daten sind dort nicht ausreichend geschützt. Denn: US-amerikanische Behörden können auf die Daten zugreifen, ohne dass User etwas dagegen tun können. Google Analytics hält daher nicht die allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO ein. Zu diesem Schluss kam im Januar 2022 die österreichische Datenschutzbehörde. Die Einschätzung gilt zwar nur für einen spezifischen Fall in Österreich für Google Analytics. Es ist jedoch wahrscheinlich, dass auch deutsche Datenschutzbehörden Googles Trackingdienste ähnlich bewerten werden.
Datenschutzbehörde Frankreich zu Google Analytics
Seitenbetreiber verstoßen mit Google Analytics gegen die Vorgaben der Datenübermittlung der DSGVO. Zu diesem Ergebnis kam die französische Datenschutzbehörde CNIL Anfang Februar 2022. Google nutzt zwar Maßnahmen wie Standardvertragsklauseln, um den Datentransfer in die USA zu sichern. Diese sind jedoch nicht ausreichend. Denn: US-Behörden wie Geheimdienste können weiter uneingeschränkt Userdaten einsehen. CNIL stufte Google Analytics damit ähnlich ein wie die österreichische Datenschutzbehörde.