Auswirkungen der DSGVO auf Suchmaschinenwerbung – ist SEA datenschutzkonform?

Nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind viele Unternehmen verunsichert, ob Leadgenerierung mittels Search Engine Advertising (SEA) datenschutzkonform ist.

In diesem Beitrag erläutern wir was SEA genau ist, weshalb SEA datenschutzkonform ist und durch welche Maßnahmen auch die unterstützenden Tools von Google datenschutzkonform verwendet werden können.

SEA was ist das?

SEA zu Deutsch Suchmaschinenwerbung, bezeichnet die bezahlte Platzierung von Werbeanzeigen auf Suchmaschinenseiten. Da Google in Deutschland einen Marktanteil von über 90% hat, wird oft auch lediglich von Google Ad Anzeigen (früher Google AdWords) gesprochen.

Bei den Google Ad Anzeigen gibt es neben Textanzeigen auch Display- und Shoppinganzeigen. Für die reine Einblendung der Werbeanzeige fallen für den Werbetreibenden noch keine Kosten an, erst wenn ein Interessent auf eine der Anzeigen klickt und somit auf die hinterlegte Zielseite gelangt, fallen sogenannte Kosten pro Klick (CPC) an.

Auswirkungen der DSGVO auf Werbung mittels SEA

In der DSGVO wird der Umgang mit personenbezogenen Daten geregelt. Sobald ein Unternehmen auf irgendeine Art und Weise personenbezogene Daten, die den Nutzern direkt oder indirekt zugeordnet werden können, wie z.B. Name, Anschrift, E-Mail- Adresse, Kontodaten oder Geburtstag sammelt und verarbeitet, findet die DSGVO Anwendung.

Beim Google-Dienst „Google Ads“ verwaltet Google als Verantwortlicher eigene Nutzerdaten, d.h. die datenschutzrechtliche Beziehung besteht lediglich zwischen der betroffenen Person und Google. Als Werbetreibender, welcher Google Ads nutzt, profitiert man somit von der großen Datenmenge, die Google bereitstellt, ohne selbst personenbezogene Daten zu sammeln oder zu verarbeiten. Da Google die Daten nicht mit den Nutzern von Google Ads teilt, hat die DSGVO keine Auswirkung auf die Suchmaschinenwerbung.

Unterstützende Google Produkte datenschutzkonform verwenden

Oft wird Google Analytics als ergänzendes Analysetool auf der Website eines Werbetreibenden implementiert, um tiefergehende Informationen, z.B. über die Besucher, die durch Google Ads auf die Website gelangt sind, zu erhalten. Es ist von Google prinzipiell untersagt personenbezogene Daten in Analytics zu speichern, allerdings wertet Google hierbei die IP-Adresse nicht als personenbezogene Daten. Um Google Analytics datenschutzkonform zu verwenden, muss daher die IP-Adresse anonymisiert werden. Die IP-Anonymisierung kann hierbei im Google Tag Manager, im Google Analytics Universal Code, Google Analytics Classic Code sowie im gTag aktiviert werden.

Obwohl nach vorherrschender Rechtsmeinung bei der Verwendung von Google Analytics keine vorherige Zustimmung des Nutzers notwendig ist, da das Tracking der Website-Nutzung als „berechtigtes Interesse“ im Sinne der DSGVO gilt, sollten folgende Maßnahmen ergriffen werden, damit der Einsatz von Google Analytics rechtskonform ist:

  • Vertrag mit Google zur Auftragsverarbeitung abschließen
  • Qualifizierte Datenschutzerklärung bereitstellen
  • Speicherdauer von nutzerbezogenen Daten befristen
  • Individuelle Löschung von erhobenen Daten ermöglichen
  • Effektive Opt-out-Möglichkeit anbieten
  • Keine persönlichen Identifikationsmerkmale erfassen
  • Löschung von unrechtmäßig erhobenen vergangenen Daten

In Google Analytics gibt es die Möglichkeit, erweiterte „Datenerfassung für Werbefunktionen“ zu aktivieren. In den Standardeinstellungen werden Google Analytics Daten nicht mit personenbezogenen Daten aus anderen Quellen zusammengeführt, was bedeutet, dass Google kein Google-Profil den getrackten Websitebesuchern zuordnen kann. Werden die Zusatzfunktionen „Remarketing“ oder „Funktionen für Werbeberichte“ jedoch aktiviert, so werden die Nutzerprofile zusammengeführt. Daher sind diese Funktionen aus Datenschutzsicht kritischer zu betrachten. Da es hierzu aber noch keine konkrete Rechtsprechung gibt, setzen viele Unternehmen weiterhin, ohne vorherige Zustimmung der Nutzer, Remarketing ein, um Wettbewerbsnachteile zu vermeiden. Um auch hier gänzlich rechtskonform zu handeln, sollte man vorab die Zustimmung der Nutzer einholen und die sich daraus ergebende Einschränkungen für die Suchmaschinenwerbung in Kauf nehmen.

Um den Erfolg der Suchmaschinenwerbung zu messen, wird oftmals das Google Ads Conversion Tracking verwendet. Hierbei wir ein Conversion-Tracking-Tag oder ein Code- Snippet auf der Website eingebunden, welches ausgelöst wird, wenn das Ziel der Suchmaschinenwerbung, z.B. der Kauf eines Produktes, die Anmeldung zum Newsletter oder das Absenden eines Kontaktformulars, erfolgt ist. Die Verwendung des Conversion- Trackings ist datenschutzkonform, da hierbei keine personenbezogenen Daten erhoben werden. Es muss jedoch auf die Verwendung in der Datenschutzerklärung hingewiesen werden.

Der Google Tag Manager, welcher zur Einbindung von Tracking- und Remarketing- Codes verwendet wird, speichert selbst keine Daten. Daher müssen bei dessen Verwendung weder Maßnahmen ergriffen werden, um die Verwendung datenschutzkonform zu machen, noch muss in der Datenschutzerklärung auf die Verwendung des Tools hingewiesen werden.

Weitere Punkte, die im Zusammenhang mit der DSGVO beachtet werden müssen

  • SSL-Verschlüsselung der Website ist seit der DSGVO Pflicht, ebenso müssen Kontaktformulare SSL-verschlüsselt werden.
  • Die Datenschutzerklärung muss explizit auf die Erhebung personenbezogener Daten, z.B. bei Erstellung von Kundenkonten und bei Bestellungen (Onlineshops) aber auch bei Versand von Werbemails und Newslettern, eingehen. Hierbei muss dargelegt werden, welche personenbezogenen Daten, für welchen Zweck, wie lange gespeichert werden.
  • Bei der Verwendung von Cookies muss dies durch den Einsatz eines Cookie-Banners auf der Website erkennbar sein sowie hierzu ein Hinweis in der Datenschutzerklärung hinterlegt werden. Dabei ist inzwischen explizit ein Opt-In des Nutzers notwendig. Das heißt, dass die unterschiedlichen Cookies, durch z.B. das Setzen eines Häkchens, in einer Box vom Nutzer wissentlich erlaubt sein müssen.

Fazit

Suchmaschinenwerbung mit Google Ads kann datenschutzkonform eingesetzt werden, wenn keine personenbezogenen Daten erfasst und verarbeitet werden. Wird in Betracht gezogen erweiterte Funktionen wie Remarketing zu verwenden, sollte im Vorfeld eine Einwilligung er Nutzer eingeholt werden.

Dieser Artikel soll einen Einblick in die datenschutzkonforme Anwendung von Suchmaschinenwerbung geben und erhebt keinen Anspruch auf Vollständigkeit und Aktualität, da sich hier täglich Neuerungen ergeben. Die im Artikel enthaltenen Empfehlungen ersetzen keine Rechtsberatung. Bei Fragen zum Datenschutz stehen Ihnen unsere Kollegen, die Experten der Creditreform Compliance Services GmbH, sehr gerne mit Rat und Tat zur Seite.

Bei der technischen Umsetzung der DSGVO auf Ihrer Website oder der datenschutzkonformen Erstellung von Suchmaschinenwerbung, ist Digitalraum Ihr richtiger Ansprechpartner.

Autorin:
Anja Brinner, Consultant, Digitalraum GmbH