Google AdSense und personenbezogene Daten

Was ist Google AdSense?
Google AdSense ermöglicht Website-Betreibern Werbung auf ihrer Website als Online-Marketing-Maßnahme einzubinden. Es ist ein Teil einer Werbeplattform, welche zu Google gehört. Durch Google AdSense können Online-Shops, Blogs und Nachrichtendienste mit Werbeanzeigen versehen werden.
Die Werbung wird dabei in einzelne Kategorien unterteilt, damit die Inhalte der Websites und der Anzeigen der Werbetreibenden zusammenpassen. Über die einzelnen Profile und das persönliche Surfverhalten der Nutzer wird dann interessenbezogene Werbung auf den jeweiligen Seiten ausgespielt. Durch diesen Vorgang kann die Werbung dann zielgruppenspezifisch geschalten werden.
Der Umsatz, den die Webseitenbetreiber letzten Endes erzielen, basiert auf der Anzahl der Nutzer, welche dann die jeweilige Werbung sehen oder mit dieser interagieren. Die Klickkosten werden von den Anzeigeschaltern, die Google AdWords Kundinnen sind, bezahlt und gehen zum einen an Google und zum anderen an den Website-Betreiber. Außerdem ist es möglich, verschiedene Anzeigetypen, wie beispielsweise unterschiedliche Größen, Bild- oder Textanzeigen, Link- oder Bannerwerbeblöcke, zu schalten.
Warum ist AdSense aus datenschutzperspektive problematisch?
Benutzt man AdSense, wird seitens Googles ein Cookie gesetzt und die IP-Adresse an Google übermittelt. Die Möglichkeit einer Anonymisierung, wie etwa bei Google Analytics, ist hier nicht gegeben.
Ob IP-Adressen personenbezogene Daten darstellen, ist bislang gerichtlich nicht endgültig entschieden. Außerdem führt das Erfassen und Speichern des individuellen Nutzerverhaltens von Google AdSense zu einer umfassenden Profilbildung
Was sollte getan werden?
Es lassen sich vier Punkte zusammenfassen, welche für einen möglichst datenschutzkonformen Einsatz von Google AdSense zu beachten sind.
1.
Information des Nutzers
Bislang wurde die Verantwortlichkeit für die Datenerhebung bei Google AdSense gerichtlich noch nicht geklärt.
Für den Einsatz von Google AdSense ist nach Ansicht der Datenschutzaufsichtsbehörde der Webseitenbetreiber verantwortlich. Daher ist der Nutzer durch den Webseiteninhaber umfassend über die mit dem Einsatz von Google AdSense verbundene Datenerhebung und -verarbeitung zu informieren.
Dies sollte immer im Rahmen der Datenschutzerklärung erfolgen. Zusätzlich empfiehlt Google einen Link auf die eigenen Informationen zum Datenschutz.
2.
Deaktivierung von Drittanbietern
Zudem wird dringend empfohlen, Anzeigen von sogenannten Drittanbietern zu deaktivieren. Bei diesen Drittanbietern handelt es sich um weltweit ansässige Unternehmen, wobei bislang nicht bekannt ist, welche Daten letzten Endes wohin übermittelt werden.
3.
Einräumen einer Widerspruchsmöglichkeit
Dem Nutzer müssen die Möglichkeiten aufgezeigt werden, mit denen er die Datenerhebung und die Schaltung personalisierter Werbeanzeigen verhindern kann.
Folgende Hinweise können dazu in die Datenschutzerklärung aufgenommen werden:
- Möglichkeit der Deaktivierung interessensbezogener Anzeigen bei Google
- Hinweis auf die Selbstregulierungskampagne „About-Ads“
- Möglichkeit der Deaktivierung von Cookies durch den Browser
4.
Es ist zusätzlich zur reinen Information eine Einwilligung des Nutzers einzuholen. Im Ergebnis verpflichtet Google seine Vertragspartner so zur Einhaltung der Richtlinie 2009/136/EG (sogenannte Cookie-Richtlinie), die in Deutschland nicht umgesetzt wurde.
Mit einer sogenannten Opt-Out-Möglichkeit kann die Implementierung z. B. durch Schaltung eines Banners bezüglich einzelner oder aller Cookies für Werbezwecke erfolgen.
Information und Widerspruchsmöglichkeiten: was Webseitenbetreiber tun können
Die rechtlich sicherste Variante nach Ansicht der Datenschutzbehörde ist, jeden Webseitenbesucher zu Beginn des Besuches auf der Seite mit einer Einwilligung zu konfrontieren. Wird dabei nicht zugestimmt, darf die Webseite nicht besucht werden. Der Nutzer kann die Webseite also nur dann aufrufen, wenn er aktiv eingewilligt hat.
Unter Usability-Aspekten ist eine solche Lösung natürlich nicht praktikabel. Daher sollte jeder Seitenbetreiber zumindest in seiner Datenschutzerklärung darüber informieren, dass Google AdSense auf einer Webseite eingebunden ist und dass hier Daten übertragen werden.
Außerdem steht dem Nutzer das Recht zu, dem Sammeln und Auswerten seiner Daten zu widersprechen. Allerdings geht dies nicht direkt per Opt-Out-Cookie. Seitenbetreiber sollten in den eigenen Datenschutzhinweisen aber deutlich machen, welche Möglichkeiten die Nutzer haben:
- Welche Möglichkeiten bieten die Google Einstellungen zu interessenbezogener Werbung?
- Wie deaktiviere ich Cookies im Browser?
- Was bedeutet die do not track Funktion in Browsern?
Was muss man in die Datenschutzerklärung zu Google AdSense schreiben?
Den Nutzern wird durch die Einbindung der Informationen über Google AdSense aufgezeigt, dass personenbezogene Daten verarbeitet werden. Seit 2015 sind Webseitenbetreiber verpflichtet, auch über Cookie-Hinweise Nutzern über die Erhebung und Verwendung der Daten zu informieren.
Damit sowohl die Vorgaben der DSGVO umgesetzt werden und gleichzeitig Google AdSense eingebunden werden kann, sollten folgende Aspekte ein die Datenschutzerklärung aufgenommen werden:
- Ein Hinweis darauf, dass die Seite Google AdSense nutzt
- Was Google AdSense mit den Daten macht
- Widerspruchsmöglichkeit der Nutzer
- Hinweis auf Web Beacons und Cookies
- Auf die Speicherung von IP-Adressen der Nutzer
- Hinweis auf die Datenschutzbestimmungen von Google zu AdSense