Gericht bestätigt Abmahnung wegen Google Ads und -Analytics

//

Liebe Leser und Datenschutz-Interessierte,

so reizvoll der Einsatz von Google Analytics und Google Ads für die Generierung neuer Kunden auch ist, kann er sich als datenschutzrechtlicher Querschläger erweisen. Dass der Einsatz von Google Analytics grundsätzlich nicht rechtskonform möglich ist, haben wir Ihnen bereits in einer unserer zurückliegenden Mandanteninformationen beschrieben.

Urteil zu Google Ads mit Conversion Tracking – Datenschutzkonform?

Nun hat das Landgericht Köln eine Abmahnung der Verbraucherzentrale gegen die Telekom wegen der Verwendung von Google Ads (mit Conversion-Tracking durch Google Analytics) bestätigt (AZ 33 O 376/22). Das Gericht beanstandete die Übermittlung von IP-Adressen in die USA, für die kein ausreichendes Datenschutzniveau besteht, und berief sich auf die „Schrems II“ Entscheidung des EuGH.

Einwilligung Cookie-Banner für Google Ads?

Eine „einfache“ Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reiche für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA, bzgl. der mit Google Ads bei aktiviertem Conversion-Tracking) verbundenen Datenverarbeitung, nicht aus, stellte das Gericht fest. Weitere Informationen hierzu finden Sie auch unter: Deutsche Telekom darf keine Daten in die USA übermitteln (beck.de).

Datenschutzkonforme Gestaltung Google Analytics / Google Ads – Tipps

Auch dieses Urteil bereitet – sobald es rechtskräftig wird – den Nährboden für potentielle Abmahnwellen gegen den Einsatz von Google Analytics und Google Ads. Damit Sie nicht in das Fadenkreuz etwaiger Abmahnbestrebungen geraten, sollten Sie die folgenden Schritte – in Abstimmung mit Ihrem Webseitenbetreuer und dem Datenschutzbeauftragten – umsetzen:

    • Google Analytics 4 nutzen: Wechseln Sie unbedingt zu Google Analytics 4 (neue Version). Ansonsten findet eine Kürzung der IP-Adresse in den USA statt und nicht schon in der EU. Aktivierung der IP-Adressenkürzung (falls noch nicht geschehen).
    • Cookie-Opt-In-Verfahren: Gestalten Sie Ihr Cookie-Opt-In-Verfahren rechtmäßig. Insbesondere sollte die Option „Abwählen“ oder „Ablehnen“ genauso groß und einfach anzuklicken sein wie die Option „Annehmen“ oder „Akzeptieren“. Zudem müssen alle wesentlichen Informationen (welche Datenarten genau betroffen sind; Übermittlung in ein Drittland; die getroffenen geeigneten Garantien; konkrete Risiken, die sich aus der Drittstaatenübermittlung ergeben) hier oder in der DS-Erklärung mitgeteilt werden.
    • Implementierung Server-Side-Tracking (falls möglich): Durch das sogenannte Server-Side-Tracking werden die IP-Adressen der Nutzer auf Ihrem Server noch vor der Übermittlung an Google durch eigene Nutzer-IDs ersetzt.

Nach Umsetzung dieser Punkte ist das Risiko, dass ein Gericht trotz der Kürzung der IP-Adresse einen Personenbezug feststellt, reduziert, wenngleich nicht gänzlich aus der Welt geschafft. Ihr externer Datenschutzbeauftragter hilft Ihnen bei der Umsetzung.

Bei Rückfragen oder Anregungen können Sie sich gerne jederzeit an uns wenden.

Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy

Wir beraten Sie gern

Sie haben Fragen zu unseren Leistungen oder benötigen eine persönliche und vertrauensvolle Beratung?
Nehmen Sie gerne mit uns Kontakt auf.

GDPC - Kevin Marschall und Stephan Blazy

Datenschutz ist einfacher mit den richtigen Weggefährten – kommen Sie gerne auf uns zu.

GDPC - externer Datenschutzbeauftragter

GDPC GbR
Dr. Kevin Marschall / Stephan Blazy
Ludwig-Erhard-Str. 12
34131 Kassel