Erweiterte Conversions bei Google Ads und die DSGVO

Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter.

Was hat es mit den erweiterten Conversions genau auf sich?

Angenommen Sie verkaufen in Ihrem Online-Shop handgemachte Naturseifen. Um noch mehr zu verkaufen, schalten Sie Anzeigen bei Google. Wenn nun jemand nach einem Klick auf Ihrer Anzeige in Ihrem Shop kauft, dann wird dies auf der Bestellbestätigungsseite durch ein Trackingpixel von Google Ads erfasst. So können Sie nachvollziehen, ob sich Ihre Investitionen in Anzeigen von Google lohnen.

Leider ist es aber nicht möglich, alle Käufe zu erfassen. Beispielsweise immer dann, wenn ein Besucher Ihrer Website Marketing-Cookies ablehnt. In diesem Fall darf nämlich auch kein Tracking von Google ausgeführt werden. Oder auch dann, wenn jemand z.B. zwei Tage nach dem Klick auf Ihre Anzeige seine Browser-Cookies löscht und erst dann kauft.

Gerade für den letzten Fall sind die erweiterten Conversions eine spannende Lösung. Hierbei werden über den Trackingpixel nicht nur der Umsatz und die Transaktions-ID, sondern auch personenbezogene Daten wie E-Mail-Adressen, Namen und Telefonnummern an Google übertragen. Google gleicht diese Daten anschließend mit bestehenden Google-Nutzerkonten abgeglichen. Gibt es einen Match, dann kann ein Kauf auch dann erfasst und nachvollzogen werden, wenn dieser Nutzer seine Cookies bereits längs gelöscht hat.

Wie viel Prozent an Käufen können nur mit den erweiterten Conversions erfasst werden?

Mit den erweiterten Conversions kann Google einige Käufe auch dann einem voraus gegangenen Anzeigenklick zuzuordnen, wenn zwischenzeitlich die Cookies im Browser gelöscht wurden. Dies betrifft erfahrungsgemäß etwas 3 bis 5 % aller Käufe.

Ist die Übertragung dieser personenbezogenen Daten an Google sicher?

Die Daten werden gehasht, bevor sie an Google übertragen werden. Hashen bedeutet: Die Daten werden für die Übertragung an Google nicht im klassischen Sinne verschlüsselt, sondern in einem randomisierten, also zufällig generierten, Code umwandelt. Hierzu findet der als vergleichsweise sicher geltende Einweg-Hash-Algorithmus SHA256 Einsatz.

Google nutzt die Hash-Daten um herauszufinden, ob jemand während des Kaufs mit einem Google Konto angemeldet war. Falls ja, dann kann er als Käufer auch ohne vorhandene Cookies identifiziert werden. Es handelt sich also entgegen der weitverbreiteten Annahme nicht um eine Anonymisierung, sondern um eine Pseudonymisierung. Somit handelt es sich nach der Ansicht einiger Experten zwar nicht mehr um personenbezogene, wohl aber noch um personenbeziehbare Daten. (Siehe z.B. dr-dsgvo.de/anonymisierung-von-daten-und-datenschutz-was-bedeutet-das-und-welche-rechtsgrundlagen-sind-relevant/ und www.dr-datenschutz.de/facebook-custom-audiences-vereinbar-mit-dem-datenschutz/ )

Stellt die Nutzung der „Erweiterten Conversions“ einen Verstoß gegen die DSGVO dar?

Hier gibt es unterschiedliche Auffassungen. Google selbst betrachtet die Lösung als „datenschutzkonform, weil Hash-Technologie auf selbst erhobene Kundendaten angewendet wird.“ (siehe support.google.com/google-ads/answer/9888656) Fakt ist jedoch, dass die übertragenen, wenn auch gehashten Daten von Google einem Nutzer zugeordnet werden können. Sie bleiben damit zumindest personenbeziehbar.

Fazit

Leider gibt es dazu nach meinem Kenntnisstand noch kein abschließendes Gerichtsurteil. Somit bleibt es letztlich stets eine Abwägung zwischen dem potentiellen rechtlichen Risiko und dem möglichen ökonomischen Gewinn durch eine Effizienzsteigerung Ihrer Google Ads-Kampagnen. Sollten Sie sich für den Einsatz entscheiden, dann empfiehlt sich ein expliziter Hinweis auf die Übertragung personenbezüglicher Daten an Google in Ihrer Datenschutzerklärung.

Quelle u.a:
Offizielle Erläuterung von Google zu den erweiterten Conversions:
support.google.com/google-ads/answer/9888656