Google Ads ist datenschutzrechtlich relevant, sobald du den Dienst nicht nur als Anzeigenkonto nutzt, sondern Messung, Remarketing, Zielgruppen oder Google-Ads-Tags auf deiner Website einsetzt. Dann verarbeitet Google Online-Kennungen, Klickdaten, Conversion-Daten und je nach Funktion auch Kundendaten. Für deine Website heißt das: Cookie-Banner, Datenschutzerklärung, Drittlandtransfer und mögliche Auftragsverarbeitung hängen stark davon ab, welche Google-Ads-Funktionen du tatsächlich aktiv nutzt.
Überblick
Was ist Google Ads?
Google Ads ist die Werbeplattform von Google. Mit dem Dienst kannst du Anzeigen in der Google-Suche, auf YouTube, in Apps und auf Websites im Google-Werbenetzwerk schalten. Viele Website-Betreiber nutzen Google Ads außerdem, um Käufe, Anfragen oder andere Ziele auf der eigenen Website zu messen.
Google Ads und Datenschutz im Überblick
| Cookie-Banner | Ein Cookie-Banner ist erforderlich, wenn du Google-Ads-Tags, Conversion-Tracking, Remarketing, personalisierte Werbung oder ähnliche Messfunktionen auf deiner Website einsetzt. |
| Datenverarbeitung | Google Ads verarbeitet personenbezogene Daten und Online-Kennungen wie Cookie-IDs, IP-Adressen, Gerätekennungen, Klickdaten und je nach Funktion auch hochgeladene Kundendaten. |
| Datenschutzerklärung | Google Ads muss in die Datenschutzerklärung, sobald du den Dienst für Messung, Zielgruppen, Remarketing, Conversion-Tracking oder Datenabgleiche nutzt. |
| Drittlandtransfer | Ein Drittlandtransfer ist relevant, weil Google internationale Datenübertragungen für seine Werbe- und Messprodukte beschreibt. |
| Auftragsverarbeitung | Eine Auftragsverarbeitung betrifft bestimmte Google-Ads-Dienste wie Enhanced Conversions, Customer Match oder Store Sales Uploads. Für viele andere Google-Ads-Dienste gelten eigene Datenschutzbedingungen zwischen dir und Google. |
Datenverarbeitung
Welche Daten verarbeitet Google Ads?
Google Ads verarbeitet Daten, sobald deine Website Google-Ads-Messfunktionen nutzt oder Daten an Google Ads übermittelt. Dazu gehören Informationen darüber, welche Seite ein Besucher aufruft, ob er auf eine Anzeige geklickt hat und ob danach eine gewünschte Aktion auf deiner Website passiert, zum Beispiel eine Anfrage, ein Kauf oder eine Anmeldung.
Je nach Einrichtung können bei Google Ads diese Daten verarbeitet werden:
- IP-Adresse
- Cookie-IDs
- Gerätekennungen
- Browser- und Gerätedaten
- besuchte URL
- Klick- und Conversion-Daten
- E-Mail-Adressen, Telefonnummern oder Adressen bei Funktionen mit Kundendatenabgleich
Wichtig ist der Unterschied zwischen einem reinen Google-Ads-Konto und aktiven Google-Ads-Funktionen auf deiner Website. Ein Konto allein setzt auf deiner Website noch keine Cookies. Datenschutzrelevant wird es auf deiner Website durch den Google-Tag, Conversion-Tracking, Remarketing, dynamisches Remarketing, Enhanced Conversions oder ähnliche Funktionen.
Drittlandtransfer
Überträgt Google Ads Daten in Drittländer?
Google Ads kann Daten international verarbeiten und übertragen. Ein Drittland ist ein Land außerhalb der Europäischen Union. Bei Google ist das relevant, weil der Konzern weltweit arbeitet und für seine Werbe- und Messprodukte eigene Informationen zu internationalen Datenübertragungen bereitstellt.
Für Website-Betreiber bedeutet das: Wenn du Google Ads auf deiner Website für Messung, Remarketing oder Zielgruppen nutzt, solltest du in deiner Datenschutzerklärung erklären, dass Google Daten international verarbeitet. Google stellt dafür vertragliche und organisatorische Regelungen bereit, mit denen solche Übertragungen abgesichert werden sollen.
Cookie-Banner
Wann braucht Google Ads eine Zustimmung im Cookie-Banner?
Google Ads braucht eine Zustimmung im Cookie-Banner, wenn du über deine Website Google-Ads-Tags, Conversion-Tracking, Remarketing, dynamisches Remarketing, personalisierte Werbung oder vergleichbare Mess- und Werbefunktionen einsetzt. Der Google-Tag kann Cookies schreiben und lesen. Außerdem nutzt Google Einwilligungssignale, um zu steuern, ob werbebezogene Speicherung wie Cookies erlaubt ist.
Die Zustimmung muss vor dem Laden der Google-Ads-Funktionen erfolgen. Es reicht nicht, Google Ads nur in der Datenschutzerklärung zu erwähnen, wenn das Tag bereits beim ersten Seitenaufruf aktiv wird. Dein Cookie-Banner oder Tag-Manager muss die Google-Ads-Einbindung blockieren, bis der Besucher der Marketing- oder Werbekategorie zustimmt.
Kein Cookie-Banner nur wegen Google Ads brauchst du, wenn du ausschließlich ein Google-Ads-Konto besitzt und keine Google-Ads-Tags, keine Remarketing-Funktionen und keine Messfunktionen auf deiner Website eingebunden hast.
Datenschutzerklärung
Was muss zu Google Ads in die Datenschutzerklärung?
Google Ads gehört in die Datenschutzerklärung, sobald du den Dienst auf deiner Website für Anzeigenmessung, Remarketing, Conversion-Tracking, personalisierte Werbung oder Zielgruppenfunktionen nutzt. Besucher müssen verstehen, dass Google Daten erhält und wofür diese Daten verwendet werden.
Die Datenschutzerklärung sollte einfach erklären:
- dass du Google Ads für Werbung und Erfolgsmessung nutzt
- welche Daten Google dabei verarbeitet, zum Beispiel IP-Adresse, Cookie-IDs, Gerätekennungen, Seitenaufrufe und Conversion-Daten
- dass Google die Daten zur Auslieferung, Messung, Betrugsbekämpfung und Personalisierung von Anzeigen nutzen kann
- dass je nach Funktion Kundendaten wie E-Mail-Adressen oder Telefonnummern an Google übermittelt werden können
- dass Google Daten international verarbeiten kann
- wie Besucher ihre Zustimmung widerrufen oder Werbeeinstellungen ändern können
Wenn du Customer Match, Enhanced Conversions, Offline-Conversion-Importe oder Store-Sales-Uploads nutzt, muss deine Datenschutzerklärung deutlich machen, dass du nicht nur Website-Daten misst, sondern eigene Kundendaten mit Google abgleichst oder an Google übermittelst.
Auftragsverarbeitung
Brauchst du mit Google einen Auftragsverarbeitungsvertrag?
Bei Google Ads hängt die Auftragsverarbeitung von der konkret genutzten Funktion ab. Google behandelt viele Google-Ads-Programme als Dienste, bei denen Google selbst über bestimmte Zwecke und Mittel der Verarbeitung mitentscheidet. Für diese Bereiche geht es nicht um einen klassischen Auftragsverarbeitungsvertrag, sondern um eigene Datenschutzbedingungen zwischen dir und Google.
Eine Auftragsverarbeitung wird bei bestimmten Google-Ads-Diensten relevant. Dazu gehören laut Google unter anderem Ads Data Hub, Audience Partner API, Enhanced Conversions, Google Ads Customer Match und Google Ads Store Sales Uploads. Bei solchen Funktionen können personenbezogene Daten wie E-Mail-Adressen, Telefonnummern, Adressen, IP-Adressen, Cookie-IDs und andere Kennungen verarbeitet werden.
Praktisch heißt das: Du solltest in deinem Google-Ads-Konto und in den Google-Unternehmensbedingungen prüfen, welche Datenschutzbedingungen für deine aktivierten Google-Ads-Funktionen gelten. Besonders bei Enhanced Conversions, Customer Match und Offline-Daten-Uploads musst du die passenden Google-Bedingungen akzeptieren und dokumentieren.
Stolperfallen
Typische Fehler bei Google Ads auf Websites
Google Ads wird oft unterschätzt, weil viele Betreiber nur an das Anzeigenkonto denken. Das eigentliche Datenschutzthema entsteht aber meistens auf der Website: durch den Google-Tag, Conversion-Tracking, Remarketing und Zielgruppenfunktionen.
Ein häufiger Fehler ist ein Cookie-Banner, das Google Ads zwar erwähnt, die Tags aber nicht wirklich blockiert. Dann lädt die Messung schon vor der Zustimmung. Ebenfalls kritisch sind Remarketing und personalisierte Werbung, weil Google damit Besucher wiedererkennen und Zielgruppen bilden kann.
Ein weiterer Stolperstein sind Kundendatenabgleiche. Wenn du Customer Match, Enhanced Conversions oder Store-Sales-Uploads nutzt, fließen nicht nur technische Website-Daten, sondern eigene Kundendaten an Google. Das muss zu deiner Einwilligungslogik, deiner Datenschutzerklärung und deinen akzeptierten Google-Bedingungen passen.
Auch Verknüpfungen mit anderen Diensten können zusätzliche Baustellen erzeugen. Wenn du Google Ads mit Google Analytics, Google Tag Manager, einem Einwilligungstool (Cookie-Banner), einem Shopsystem, einem CRM-System, Call-Tracking oder Offline-Conversion-Importen verbindest, brauchst du für diese Dienste eine eigene datenschutzrechtliche Einordnung.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
