Erweiterte Conversions bei Google Ads und die DSGVO
Die erweiterten Conversions (engl. „Enhanced Conversions“) von Google Ads sind ein spannendes Werkzeug. Sie helfen dabei, die über Ihre Anzeigen erzielten Käufe oder Buchungen noch besser zu erfassen und etwaige Trackinglücken zu schließen. Hierbei werden personenbezogene Daten von Käufern (Namen, E-Mail-Adressen etc.) verschlüsselt an Google übertragen. Doch ist es datenschutzrechtlich erlaubt, die erweiterten Conversions von Google zu nutzen? Oder stellt dies einen Verstoß gegen die DSGVO dar?
Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter.
Letztes Update: 29.07.2023
Angenommen Sie sind ein Anbieter von europaweit verfügbaren Mietwagen. Um noch mehr Buchungen zu erzielen, schalten Sie Anzeigen bei Google. Wenn nun jemand nach einem Klick auf Ihrer Anzeige in Ihrem Shop bucht, dann wird dies auf der Bestellbestätigungsseite durch ein Trackingpixel von Google Ads erfasst. So können Sie nachvollziehen, ob sich Ihre Investitionen in Anzeigen von Google lohnen. Leider ist es aber aus unterschiedlichsten Gründen nicht möglich, über das Trackingpixel von Google alle Käufe zu erfassen. Es entstehen Datenlücken. Um diese zu schließen, kommen die Erweiterten Conversions ins Spiel.
Beispiele: Wie funktionieren die „Erweiterten Conversions“?
1. Beispiel: Mobil gesucht, am Tablet gebucht
Feierabend. Kurz nach 18 Uhr. Maxi Mustermüller ist auf dem Weg nach Hause. Sie sitzt in der Straßenbahn und recherchiert bei Google nach Angeboten für Mietwagen in der Toskana. Hierbei klickt sie auf eine Ihrer Anzeigen.
Durch den Klick auf Ihre Anzeige wird auf dem Smartphone von Frau Mustermüller ein Cookie von Google Ads gesetzt. Über dieses Cookie könnte später die Buchungen erfasst und dem vorangegangenen Klick auf die Anzeige zugeordnet werden kann. Voraussetzung ist jedoch, dass Frau Mustermüller auch mit ihrem Smartphone bucht. Auf Ihrer Website findet sie nach wenigen Mausklicks auch bereits einen für sie genau passenden Mietwagen. Bevor sie diesen Mietwagen bei Ihnen bucht, möchte sie heute Abend aber erst mit ihrem Mann sprechen. Zuhause angekommen erzählt sie ihm beim Abendessen von dem Mietwagenangebot. Er ist auch sogleich einverstanden. Später im Wohnzimmer setzt sie sich gemütlich aufs Sofa, nimmt ihr Tablet und bucht den Mietwagen.
Das Handicap hierbei: Auf dem Tablet gibt es kein Cookie von Google Ads. Das gibt es nur auf ihrem Smartphone. Deshalb kann die Buchung nicht dem vorangegangenen Klick auf die Anzeige zugeordnet werden.
Anders sähe es aus, die „Erweiterten Conversions“ genutzt werden und Frau Mustermüller am Smartphone bei Google eingeloggt war als sie auf die Anzeige klickte. In diesem Fall würden auf der Buchungsbestätigungsseite über den Trackingpixel von Google Ads personenbezogene Daten von ihr (E-Mail-Adresse, Telefonnummer etc.) in verschlüsselter Form (als Hashwerte) an Google übertragen. Google vergleicht dies mit den ebenfalls anonymisierten Login-Daten und erkennt daraufhin, dass Frau Mustermüller vor der Buchung auf eine Ihrer Anzeige geklickt hat und weist diese Buchung Ihrer Anzeige bei Google Ads zu.
Dies wiederum hilft Ihnen dabei herauszufinden, welche Ihrer eingebuchten Keywords und verwendeten Anzeigen am besten funktionieren.
2. Beispiel: Cookies gelöscht
Max Mustermann plant eine private Kurzreise nach Belgien. Um vor Ort mobil zu sein und die Umgebung gut erkunden zu können, plant er sich am Flughafen in Brüssel einen Mietwagen zu leihen. Er möchte grundsätzlich nichts dem Zufall überlassen und den Mietwagen bereits vor dem Antritt der Reise gebucht haben. Deshalb sucht er an einem Samstagabend nun bei Google nach einem passenden Angebot und klickt dabei auf eine Ihrer Anzeigen.
Sie wissen es bereits: Durch den Klick auf Ihre Anzeige wird ein Cookie von Google Ads gesetzt. Über dieses Cookie könnte später die Buchungen erfasst und dem vorangegangenen Klick auf die Anzeige zugeordnet werden kann. Voraussetzung ist jedoch, dass das Cookie bei der Buchung noch vorhanden ist.
Herr Mustermann hat es sich zur Angewohnheit gemacht, vor jeder Entscheidung grundsätzlich nochmals eine Nacht darüber zu schlafen. So auch bei der Buchung des Mietwagens. Er bucht also erst am Sonntag.
Das Handicap hierbei: Herr Mustermann hat in seinem Browser eingestellt, dass sämtliche Cookies beim Schließen des Browsers automatisch gelöscht werden. Deshalb kann die Buchung nicht dem vorangegangenen Klick auf die Anzeige zugeordnet werden.
Anders sähe es aus, die „Erweiterten Conversions“ genutzt werden und Herr Mustermann in seinem Google-Konto eingeloggt war als er auf die Anzeige klickte. In diesem Fall würden auf der Buchungsbestätigungsseite über den Trackingpixel von Google Ads personenbezogene Daten von ihm (E-Mail-Adresse, Telefonummer etc.) verschlüsselt an Google übertragen. Google vergleicht dies mit den ebenfalls anonymisierten Login-Daten und erkennt daraufhin, dass Herr Mustermann vor der Buchung auf eine Ihrer Anzeige geklickt hat und weist diese Buchung Ihrer Anzeige bei Google Ads zu.
3. Beispiel: Intelligent Tracking Prevention (ITB) bei Safari-Browsern limitiert die Laufzeit von 3rd Party Cookies auf nur noch maximal 7 Tage
Apple möchte sich als Vorreiter im Datenschutz etablieren. Deshalb sorgt im Safari Browser eine Technologie namens „Intelligent Tracking Prevention“ (kurz: ITB) dafür, dass 3rd Party Cookies blockiert werden und 1st Party Cookies (zu denen i.d.R. auch das Cookie von Google Ads zählt) nur noch eine Laufzeit von maximal 7 Tagen haben.
Angenommen jemand klickt an einem Freitag auf eine Ihrer Anzeigen. Wenn er nun erste am Sonntag der darauffolgenden Woche bucht, sind bereits mehr als 7 Tage verstrichen. Das Cookie von Google Ads wäre bereits abgelaufen. Die Buchung könnte dem Klick auf die Anzeige nicht mehr zugeordnet werden. Auch hier helfen die „Erweiterten Conversion“ in einigen Fällen Abhilfe zu schaffen und den Umsatz dennoch richtig zuzuordnen.
Technischer Hintergrund kurz zusammengefasst: Safari prüft per ITB, ob sich die IP-Adresse der Cookie-setzenden Domäne von Ihrer Domäne unterscheidet. Falls dem so ist, wird die Laufzeit auch von First-Party Cookies auf 7 Tage verkürzt.
Wie viel Prozent an Käufen können nur mit den erweiterten Conversions erfasst werden?
Mit den erweiterten Conversions kann Google einige Käufe auch dann einem voraus gegangenen Anzeigenklick zuzuordnen, wenn zwischenzeitlich die Cookies im Browser gelöscht wurden. Dies betrifft erfahrungsgemäß etwas 3 bis 5 % aller Käufe.
Wird im Google Ads Reporting zwischen Erweiterte Conversions und regulären Conversions unterschieden?
Nein. Erweiterte Conversions werden nicht separat ausgewiesen, sondern genauso wie „reguläre“ Conversions behandelt.
Ist die Übertragung dieser personenbezogenen Daten an Google sicher?
Die Daten werden gehasht, bevor sie an Google übertragen werden. Hashen bedeutet: Die Daten werden für die Übertragung an Google nicht im klassischen Sinne verschlüsselt, sondern in einem randomisierten, also zufällig generierten, Code umwandelt. Hierzu findet der als vergleichsweise sicher geltende Einweg-Hash-Algorithmus SHA256 Einsatz.
Google nutzt die Hash-Daten um herauszufinden, ob jemand während des Kaufs mit einem Google Konto angemeldet war. Falls ja, dann kann er als Käufer auch ohne vorhandene Cookies identifiziert werden. Es handelt sich also entgegen der weitverbreiteten Annahme nicht um eine Anonymisierung, sondern um eine Pseudonymisierung. Somit handelt es sich nach der Ansicht einiger Experten zwar nicht mehr um personenbezogene, wohl aber noch um personenbeziehbare Daten. (Siehe z.B. dr-dsgvo.de/anonymisierung-von-daten-und-datenschutz-was-bedeutet-das-und-welche-rechtsgrundlagen-sind-relevant/ und www.dr-datenschutz.de/facebook-custom-audiences-vereinbar-mit-dem-datenschutz/ )
Stellt die Nutzung der „Erweiterten Conversions“ einen Verstoß gegen die DSGVO dar?
Hier gibt es unterschiedliche Auffassungen. Google selbst betrachtet die Lösung als „datenschutzkonform, weil Hash-Technologie auf selbst erhobene Kundendaten angewendet wird.“ (siehe support.google.com/google-ads/answer/9888656) Fakt ist jedoch, dass die übertragenen, wenn auch gehashten Daten von Google einem Nutzer zugeordnet werden können. Sie bleiben damit zumindest personenbeziehbar.
Fazit
Leider gibt es dazu nach meinem Kenntnisstand noch kein abschließendes Gerichtsurteil. Somit bleibt es letztlich stets eine Abwägung zwischen dem potentiellen rechtlichen Risiko und dem möglichen ökonomischen Gewinn durch eine Effizienzsteigerung Ihrer Google Ads-Kampagnen. Sollten Sie sich für den Einsatz entscheiden, dann empfiehlt sich ein expliziter Hinweis auf die Übertragung personenbezüglicher Daten an Google in Ihrer Datenschutzerklärung. Im Datenschutzgenerator von Dr. Schwenke gibt es beispielsweise einen solchen Passus.
Quelle u.a:
Offizielle Erläuterung von Google zu den erweiterten Conversions:
support.google.com/google-ads/answer/9888656