Kontakt

Einordnung: Google Enhanced Conversions aus Datenschutz-rechtlicher Sicht

veröffentlicht am:

Inhaltsverzeichnis

Überblick

In Zusammenarbeit mit HÄRTING Rechtsanwälte PartGmbH beleuchten wir im folgenden Artikel die Nutzung von Google Enhanced Conversions aus datenschutzrechtlicher Sicht.

Website-Betreiber sehen sich immer mehr mit der Herausforderung konfrontiert, dass das Conversion-Tracking durch verkürzte Cookie-Laufzeiten (durch Tracking-Restriktionen von Webbrowsern zur Datenerfassung) erschwert wird oder sich Customer Journeys über verschiedene Endgeräte ziehen. Eine Möglichkeit, dem entgegenzuwirken und somit die Datengrundlage zu verbessern, bieten die Funktionen zu sogenannten Enhanced Conversions. Hiermit können Anzeigeninteraktionen nachträglich zu Conversions zugeordnet und andernfalls nicht gemessene Conversions entsprechenden Marketingaktivitäten zugeordnet werden. Neben der technischen Implementierung sollte zusätzlich ein besonderes Augenmerk auf die datenschutzkonforme Implementierung dieser Funktionen gerichtet werden.

Beschreibung

Enhanced Conversions können Website-Betreiber dabei unterstützen,Tracking-Lücken bei der Attribution von Conversions zu schließen und die Qualität der Conversion-Daten zu verbessern. Das hilft, die Erfolge von Marketing-Kampagnen besser zu bewerten sowie Werbebudgets effizienter einzusetzen.

Beim Enhanced Conversions-Verfahren wird das bestehende Google Ads-Tracking des Website-Betreibers um eigens erhobene personenbezogene Daten von Website-Besuchern (sogenannte First Party-Daten), die diese bei verschiedenen Website-Interaktionen angeben (Kategorien „Käufe“ und „Leads“), erweitert. Das können Daten wie die E-Mail-Adresse, der Name oder die Telefonnummer sein. Dabei handelt es sich grundsätzlich immer um sogenannte Events, wo der jeweilige Website-Besucher seine personenbezogenen Daten eigenständig in entsprechende Formularmasken einträgt, so z.B. bei Käufen in einem Onlineshop, im Rahmen von Kontaktformularen oder bei Newsletter Anmeldungen.

Die Daten werden – vorausgesetzt der Website-Besucher hat seine Einwilligung über das Consent-Management-Tool erteilt – durch den Einweg-Hash-Algorithmus SHA256 in Hashwerte umgewandelt (d.h. pseudonymisiert) und an Google übermittelt. Google gleicht die erhaltenen Hashwerte dann mit angemeldeten Google-Konten ab, um die Conversions von Google Ads-Anzeigen anschließend zuzuordnen und zu ergänzen. Das Enhanced Conversions-Verfahren funktioniert nur bei denjenigen Website-Besuchern, die parallel auch bei Google-Diensten in ihrem Konto eingeloggt sind und dort die entsprechende Einwilligung erteilt haben.

Die Vorteile von Google Enhanced Conversions für Website-Betreibern auf einen Blick:

  • Schließung von Tracking-Lücken, die aufgrund verloren gegangener Click-IDs oder durch zwischenzeitlich wieder gelöschte Cookies infolge von Intelligent Tracking Prevention (bzw. ähnlicher Tracking Preventions anderer Browser) entstehen

  • Verbesserung der Attribution von Conversion-Daten

  • Ermöglichung der Conversion-Messung über verschiedene Endgeräte und/oder Browser (z.B. Anzeigenklick mit Smartphone und Kauf via Tablet)

  • Bessere, robustere Datenqualität und Datengrundlage für Marketing-Maßnahmen im Google Ökosystem (z.B. Smart Bidding)

Voraussetzungen für den korrekten Einsatz

Technische Implementierung

Die Nutzung von Enhanced Conversions erfordert zunächst eine ordnungsgemäße technische Einrichtung, um sicherzustellen, dass First Party-Daten korrekt erfasst und dem Hashverfahren unterzogen werden können. 

Grundsätzlich empfehlen wir, Nutzerdaten im Rahmen von Enhanced Conversions manuell über den Google Tag Manager oder das nativ verbaute Google Ads Conversion Tracking Code Snippet zu übergeben und nicht die automatische Erfassung über das Google Tag zu nutzen. Dies erfordert zwar einen initialen Aufwand, dafür ist aber sichergestellt, wann welche Daten übergeben werden und vor allem können die nachfolgenden Voraussetzungen besser erfüllt werden.

 

Neben der technischen Implementierung ist auch ein datenschutzkonformes Setup der Google Enhanced Conversions für eine wirkungsvolle und rechtssichere Nutzung erforderlich.

 

Datenschutzkonforme Implementierung

Weitere Datenschutz-Compliance
Die weitere Datenschutz-Compliance sollte Themen wie Speicherdauer von eingesetzten Cookies und gespeicherten Daten, Dokumentation von Einstellungen/Konfigurationen, Protokollierung von Interaktionen mit dem Consent-Management-Tool sowie das Führen von Verarbeitungsverzeichnissen nach Art. 30 Abs. 1 DSGVO in den Blick nehmen. Google speichert die über Enhanced Conversions erhaltenen verhashten personenbezogenen Daten maximal 20 Tage. Die Daten unterliegen dem Auftragsverarbeitungsvertrag mit Google und den von Google definierten Privacy commitments und Privacy protections (vgl. unter https://support.google.com/adspolicy/answer/9755941?hl=de). Die Nutzung der Daten zu eigenen Zwecken durch Google ist auf einige wenige Fälle beschränkt (beispielsweise die Spam- und Betrugserkennung).

  1. Einwilligungserfordernis nach DSGVO und TDDDG
    Um Enhanced Conversions rechtssicher einsetzen zu können, sind zwei verschiedene Einwilligungen erforderlich. Zum einen wird eine Einwilligung nach § 25 Abs. 1 TDDDG für die Speicherung von Cookies und vergleichbaren Technologien (Schutz der sogenannten Endgeräteintegrität aus dem ePrivacy-Recht) und nach Art. 6 Abs. 1 S. 1 lit. a DSGVO (für die Verarbeitung personenbezogener Daten) benötigt. Beide Einwilligungen sind über das eingesetzte Consent-Management-Tool durch den Website-Betreiber einzuholen.

    Auch aus den Veröffentlichungen der Aufsichtsbehörden (beispielsweise der Orientierungshilfe Telemedien der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder oder den Leitlinien des Europäischen Datenschutzausschusses) geht klar hervor, dass bei Berücksichtigung der genannten gesetzlichen Einwilligungsanforderungen die Nutzung von Tracking-Technologien wie Enhanced Conversions ohne Bedenken möglich ist.

    Das Einwilligungserfordernis aus dem Digital Markets Act (Art. 5 Abs. 2) trifft nur Google als sogenannte Torwächter. Die Umsetzung erfolgt bei Google über den sogenannten Consent Mode, d.h. eine Weiterleitung von Einwilligungssignalen der Website-Besucher an Google durch die jeweiligen Website-Betreiber. Seit dem Consent Mode v2 kann die Einwilligung für durch Nutzer bereitgestellte personenbezogene Daten (wie sie beispielsweise  für Enhanced Conversions erforderlich sind) über den entsprechenden Parameter “ad_user_data” an Google übergeben werden.

  2. Umsetzung des Einwilligungserfordernisses
    Die Einwilligung der Website-Besucher erfordert der Freiwilligkeit als Grundlage klare und umfassende Informationen. Über das Consent-Management-Tool sind den Website-Besuchern im Rahmen der Beschreibungen zu einzelnen Cookies und den damit verbundenen Datenverarbeitungen entsprechende Informationen zur Speicherdauer, Zweck der Verarbeitung und den erfassten personenbezogenen Daten zu geben. Bei Enhanced Conversions besteht die Besonderheit, dass hierbei auch die erfassten First Party-Daten (also etwa Vor- und Nachname, E-Mail-Adresse oder Telefonnummer) in der Beschreibung zu nennen sind. Erleichtert wird die Umsetzung, wenn auf einen von Google zertifizierten Anbieter zurückgegriffen wird (wie z. B. Usercentrics). Dies hat auch den weiteren Vorteil, dass die Informationen innerhalb des Consent-Management-Tools zentral mit einer Aktualisierungsfunktion bereitgestellt werden und somit die Erstellung eigener Texte und Formulierungen überflüssig wird. Zudem kann im Beispiel von Usercentrics die Einwilligung für das Cookie-basierte Tracking und Enhanced Conversions separat voneinander erfolgen.

    Die Gestaltung des Consent-Management-Tools hat insgesamt den bekannten Anforderungen zu genügen: auf dem First Layer sollte eine im Grundsatz gleichwertige Möglichkeit für „Alles ablehnen“ vorhanden sein und Checkboxen (insbesondere auf dem Second Layer) dürften nicht vorausgewählt sein. Zudem ist auf die Feingranularität zu achten, d.h. eine individuelle Beschreibung je eingesetztem Dienst und die Möglichkeit, die Einwilligung individuell für einzelne Dienste (z.B. Einwilligung für Google-Tracking aber keine Einwilligung für entsprechende Verfahren von Meta) erteilen zu können.
     

  3. Datenschutzrechtliche Rollenbeziehung und weitere Vorgaben durch Google
    Google ordnet Enhanced Conversions sowie einzelne Funktionen des Ad Managers der Auftragsverarbeitung gem. Art. 28 DSGVO zu (vgl. unter https://business.safety.google/intl/de/adsservices/). Dementsprechend unterliegen die Datenverarbeitungen den Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte (abrufbar unter https://business.safety.google/adsprocessorterms/).

    Google selbst stellt weitere vertragliche Vorgaben auf, die Website-Betreiber beim Einsatz von Google Ads und Enhanced Conversions beachten müssen. Diese gehen einerseits Hand-in-Hand mit den gesetzlichen Anforderungen aus dem Datenschutzrecht, legen aber auch weitere Anforderungen fest. Google überprüft die Einhaltung der Vorgaben mithilfe automatisierten Prozessen und sanktioniert Zuwiderhandlungen mit Maßnahmen wie der Deaktivierung der Schaltung personalisierter Anzeigen, Einschränkungen beim Remarketing oder dem Verlust der Conversion-Tracking-Funktion.

    In Googles „Richtlinie zur Einwilligung der Nutzer in der EU“ (https://www.google.com/about/company/user-consent-policy/) und der begleitenden Hilfe (https://www.google.com/intl/de/about/company/user-consent-policy-help/) werden im Wesentlichen nur die gesetzlichen Anforderungen zur Einholung von Einwilligungen wiederholt, d.h. für den Einsatz von Cookies und die weiteren darauf aufbauenden Datenverarbeitungen (siehe bereits oben). Sie adressiert zudem das Erfordernis der adäquaten Umsetzung der datenschutzrechtlichen Betroffenenrechte (siehe dazu im Folgenden), insbesondere zu den Informationspflichten und der Möglichkeit zum Widerruf von Einwilligungen.

    Im Google Ads-Ökosystem sowie für den Bereich der personalisierten Anzeigen gibt es seitens Google weitere zusätzliche Vorgaben. Website-Betreiber sind verpflichtet, einen Link zur Google-Datenschutzerklärung (Übersichtsseite unter https://business.safety.google/privacy/; möglich ist auch, https://policies.google.com/technologies/partner-sites und https://policies.google.com/privacy jeweils einzeln zu verlinken) auf ihrer Website (im Rahmen des verwendeten Consent-Management-Tools sowie der eigenen Datenschutzinformation) vorzuhalten.

    Google sieht für Nutzung des Google Ads-Ökosystems weitere Vorgaben in seinem Vertragswerk und den darin einbezogenen Richtlinien vor. Dies betrifft vornehmlich unzulässige Inhalte und Praktiken (eine Übersicht ist unter https://support.google.com/adspolicy/answer/6008942?hl=de verfügbar). Für den Einsatz von Enhanced Conversions gilt auch die Richtlinie für Kundendaten (https://support.google.com/adspolicy/answer/7475709?sjid=9092419700182921051-EU). Die Inhalte überschneiden bzw. wiederholen sich dabei zum Teil. Insbesondere bei Anzeigen mit sensiblerem Informationsgehalt (z.B. zu Gesundheitsthemen, Alkohol, Glückspiel, Finanzprodukte oder Sexuellen Interessen) sind im Einzelfall die Vorgaben von Google auf Zulässigkeit hin zu prüfen. Auch für weitere von Google bereitgestellte Funktionen (beispielsweise Remarketing oder Customer Match), die oftmals gemeinsam mit den Enhanced Conversions eingesetzt werden, enthalten die Richtlinien spezielle Vorgaben.

  4. Umsetzung der Betroffenenrechte
    Die Umsetzung eines Widerrufs einer erteilten Einwilligung läuft bei Enhanced Conversions wie folgt ab: Google löscht die verhashten personenbezogenen Daten nach 20 Tagen. Anschließend liegen nur noch aggregierte (nicht-mehr-personenbezogene) Daten vor, sodass ein Widerruf oder ein Löschbegehren nicht mehr greifen kann. Möchte ein Betroffener seine Einwilligung vor dem Ablauf dieser 20 Tage widerrufen, stellt Google in der Kontoverwaltung ein besonderes Formular bereit. In der Regel muss dabei ein bestimmter Conversion-Datensatz, welchem der Betroffene zugeordnet werden kann (regelmäßig ein Tag), insgesamt gelöscht werden.

    In der Datenschutzinformation nach Art. 13 DSGVO sind innerhalb des Abschnitts zu Google Ads ergänzende Angaben zum Enhanced Conversion-Verfahren zu machen. Die Ausführungen können sich dabei auf die Funktionsweise (Erhebung von First-Party-Daten sowie das von Google angewandte Hash-Verfahren zum Abgleich mit Konteninformationen) und die damit verfolgten Zwecke (Verbesserung der Conversion-Messung) beschränken. Die weiteren Pflichtinformationen (Angaben zu Google, Rechtsgrundlagen oder Übermittlungen in Drittländer) können insgesamt mit Hinblick auf den Einsatz und die Nutzung von Google Ads angegeben werden. In der Datenschutzinformation sollte der Website-Betreiber auch den Hinweis bereitstellen, dass verschiedene individuelle Einstellungsmöglichkeiten über das „Mein Anzeigen-Center“ im Google Konto zur Deaktivierung personalisierter Werbung und erlaubten Datennutzung durch Google möglich sind. Auf die Seite, wie Google personenbezogene Daten verarbeitet (https://business.safety.google/privacy/), muss nach Google-Vorgaben verlinkt werden.
     

Fazit

Google Enhanced Conversions bieten Website-Betreibern eine effektive Möglichkeit, bestehende Tracking-Lücken zu schließen und die Datenqualität im Conversion-Tracking deutlich zu verbessern. Durch die Nutzung von First Party-Daten und den Abgleich mit Google-Konten können Conversions auch dann erfasst werden, wenn herkömmliche Cookie-basierte Verfahren an ihre Grenzen stoßen – etwa durch Browser-Restriktionen oder geräteübergreifende Customer Journeys.

Damit das Verfahren sein volles Potenzial entfalten kann, sind zwei Faktoren entscheidend: eine saubere technische Implementierung und ein konsequent datenschutzkonformes Setup. Besonderer Fokus ist beim datenschutzkonformen Setup auf folgende Punkte zu legen:

  • Einsatz eines adäquaten Consent-Management-Tools (CMP) und darin transparente Informationen zu Zweck, Speicherdauer und Art der erhobenen First Party-Daten im Enhanced Conversion-Verfahren.

  • Umsetzung der Einwilligungserfordernisse aus Art. 6 Abs. 1 S. 1 lit. a DSGVO (Verarbeitung personenbezogener Daten) und § 25 Abs. 1 TDDDG (Setzen und Auslesen von Cookies oder vergleichbaren Technologien auf dem Endgerät).

  • Aufnahme von Beschreibungen zur Enhanced Conversions-Datenverarbeitung in die Datenschutzerklärung (Art. 13 DSGVO) und dabei auch Umsetzung der Vorgaben von Google (u.a. Verlinkung zur Google-Datenschutzerklärung).

Richtig umgesetzt, ermöglichen Enhanced Conversions nicht nur präzisere Analysen und eine bessere Steuerung von Werbebudgets, sondern tragen auch dazu bei, Marketing-Maßnahmen insgesamt effizienter und zukunftssicherer zu gestalten.

Du bist an der Implementierung von Enhanced Conversions interessiert oder hast Fragen dazu? Unser Team steht Dir jederzeit für Fragen zu Verfügung! Kontaktiere uns gerne direkt über unser Kontaktformular.

Robin Läckes
Product Lead Data
Autor:innen Profil

Robin ist auf Automatisierung und Tracking spezialisiert und berät unsere Kunden hinsichtlich einer geeigneten Datenstrategie vom Tracking bis zur Aktivierung von First Party Daten.

Seine Leidenschaft ist es, die Datenqualität unserer Kunden zu optimieren und ihnen so einen echten Mehrwert zu bieten.
 

Autor:innen Profil

Schlagwörter:

Ähnliche Artikel
Zum Artikel
Data Analytics

Einordnung: Google Enhanced Conversions aus Datenschutz-rechtlicher Sicht

Enhanced Conversions bietet eine effektive Möglichkeit, bestehende Tracking-Lücken zu schließen und die Datenqualität im Conversion-Tracking deutlich zu verbessern. Unter welchen Voraussetzungen der Einsatz auch datenschutzkonform ist, erfährst Du hier.

Zum Artikel
Branchenlösungen

Performance Marketing für Finance, Versicherung & Immobilien

Strategische Marketinglösungen für Finanzdienstleister, Versicherungen und Immobilienunternehmen, die Entscheidungsprozesse beschleunigen, qualifizierte Leads generieren und langfristige Geschäftsbeziehungen sichern.

Zum Artikel
SEO

KI-Sichtbarkeit: Vergleich der AI Tools von ahrefs, Otterly.ai und Sistrix

Vergleiche, wie sichtbar deine Marke in KI-Systemen ist: Wir testen die Tools von ahrefs, Otterly.ai und Sistrix – und zeigen, welche Stärken und Schwächen die Tools im Monitoring von ChatGPT, Gemini & Co. haben.

Kontakt
Projektanfrage

Wir freuen uns auf Ihre Anfrage und beraten Sie gerne individuell zu Ihren Themen.

Oliver Zenglein, Geschäftsführer

Oliver Zenglein Geschäftsführer

Zum Kontaktformular