Zurück

Enhanced Conversion Tracking: Rechtskonform umsetzen

#News

Dieser Artikel klärt, was Enhanced Conversion Tracking ist, warum es datenschutzrechtlich relevant ist und wie der korrekte Umgang damit aussieht.

Enhanced Conversion Tracking

Zurück

Enhanced Conversion Tracking (ECT) wird aktuell stark diskutiert – insbesondere im Zusammenhang mit Google Ads. Viele Unternehmen aktivieren die Funktion, weil sie bessere Conversion-Daten verspricht. Die rechtlichen Implikationen werden dabei jedoch oft erst später thematisiert. Dieser Artikel klärt, was Enhanced Conversion Tracking ist, warum es datenschutzrechtlich relevant ist und wie der korrekte Umgang damit aussieht.

Was ist Enhanced Conversion Tracking?

Beim Enhanced Conversion Tracking werden zusätzliche Daten zur Conversion-Messung verwendet, um Conversions zuverlässiger einer Kampagne zuzuordnen. Typischerweise handelt es sich dabei um:

  • E-Mail-Adressen
  • Telefonnummern
  • Namen oder andere Kundendaten

Diese Daten werden vor der Übermittlung an Google gehasht, also verschlüsselt. Google kann diese Hashes mit eigenen Daten abgleichen und so Conversions besser zuordnen – auch dann, wenn klassische Cookies nicht verfügbar sind.

Auch gehashte Daten gelten nicht als anonym, sondern als personenbezogene Daten. Dies ist rechtlich bereits eindeutig geklärt.

Erwägungsgrund 26 DSGVO – Abgrenzung anonym vs. personenbezogen

Daten sind nur dann anonym, wenn die betroffene Person nicht mehr identifizierbar ist, unter Berücksichtigung aller Mittel, die vernünftigerweise eingesetzt werden können.

Quelle: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679#d1e1186-1-1

Nach Erwägungsgrund 26 DSGVO sind Daten nur dann anonym, wenn die betroffene Person unter Berücksichtigung aller vernünftigerweise verfügbaren Mittel nicht mehr identifizierbar ist.
Hashing stellt regelmäßig lediglich eine Pseudonymisierung im Sinne von Art. 4 Nr. 5 DSGVO dar und unterliegt damit weiterhin dem Anwendungsbereich der DSGVO

Warum Enhanced Conversion Tracking datenschutzrechtlich heikel ist

Im Gegensatz zu klassischem Website-Tracking werden bei ECT Daten verarbeitet, die nicht allein aus der Nutzung der Website stammen, sondern aus einem bestehenden Kundenverhältnis (z. B. Newsletter-Anmeldung, Kaufabschluss, Kundenkonto).

Das bedeutet konkret:

  • Die E-Mail-Adresse wurde zu einem früheren/anderen Zeitpunkt erhoben
  • Die betroffene Person muss explizit eingewilligt haben, dass diese Daten auch für Enhanced Conversion Tracking verwendet wird
  • Diese Einwilligung muss nachweisbar sein

Eine pauschale Zustimmung im Cookie-Banner reicht hierfür nicht aus.

Kurz gesagt: Nein.

Das Cookie-Popup kann nur Einwilligungen für Verarbeitungen einholen, die im Zeitpunkt des Website-Besuchs stattfinden und für die die Website selbst die Daten erhebt.

Beim Enhanced Conversion Tracking werden jedoch bestehende personenbezogene Daten (z. B. E-Mail-Adressen aus einem Formular oder CRM) an Google übermittelt. Dafür braucht es:

  • eine gesonderte Einwilligung
  • zum Zeitpunkt der Datenerhebung
  • mit klarem Hinweis auf den Zweck „Enhanced Conversion Tracking“

Ein Vergleich macht es deutlich:
Nur weil jemand eine Website besucht, darf man sich nicht pauschal die Einwilligung für beliebige spätere Datenverwendungen holen.

Ist Enhanced Conversion Tracking ein eigener Dienst im CMP?

Aus datenschutzrechtlicher Sicht: nein.

Enhanced Conversion Tracking ist kein klassischer Cookie- oder Website-Dienst, sondern ein Verarbeitungsprozess, der an bestehende Google-Dienste (z. B. Google Ads, Google Tag Manager / gtag / Google Ads Conversion) angebunden ist.

Daher gilt:

  • Kein eigener Opt-in/Opt-out-Schalter im gtag
  • Keine saubere technische Trennung über das CMP möglich
  • Die Verantwortung liegt außerhalb der Website, z. B. im Marketing-, CRM- oder Newsletter-Prozess

Was muss in der Datenschutzerklärung stehen?

Auch wenn das CMP hier nicht greift, muss Enhanced Conversion Tracking transparent ausgewiesen werden.

Empfehlung:
Die bestehenden Texte zu Google Ads / Google Tag sollten inhaltlich erweitert werden, so dass der Zweck dieser erweiterten Verarbeitung ersichtlich ist. Dies könnte beispielsweise so aussehen.:

Zweck der Verarbeitung:
Untersuchung des Nutzungsverhaltens oder anderer Selektionskriterien, Analyse der Wirkung von Online-Marketing-Maßnahmen sowie Auswahl von Online-Werbung auf anderen Plattformen, die automatisiert anhand dieser Kriterien erfolgt.

Zusätzlich sollte klar erwähnt werden, dass:

  • im Rahmen von Enhanced Conversion Tracking
  • personenbezogene Daten (z. B. E-Mail-Adressen in gehashter Form)
  • an Google übermittelt werden können
  • und dass hierfür eine separate Einwilligung erforderlich ist, die außerhalb der Website eingeholt wird

Oft reichen dafür wenige zusätzliche Wörter, ohne die Datenschutzerklärung unnötig zu verkomplizieren. Ziel einer Datenschutzerklärung ist ja eine für den Besucher verständliche Auskunft über alle Verarbeitungsprozesse seiner Daten..

Wo muss die Einwilligung tatsächlich eingeholt werden?

Die Einwilligung muss dort erfolgen, wo die E-Mail-Adresse bzw. die Daten erhoben werden, z. B.:

  • Newsletter-Anmeldung
  • Kundenkonto-Registrierung
  • Bestellabschluss
  • Lead-Formular

Dort muss klar und verständlich darauf hingewiesen werden, dass die Daten auch für Enhanced Conversion Tracking verwendet werden können – diese Einwilligung muss alle Kriterien nach Art. 7 DSGVO erfüllen und muss dokumentiert werden, um sie nachweisen zu können.

Sie benötigen Unterstützung bei der Einbindung von Enhanced Conversion Tracking?

Die datenschutzkonforme Umsetzung erfordert zusätzliche Maßnahmen außerhalb der Website, die je nach Setup unterschiedlich ausfallen können.
In einem kostenlosen Erstgespräch klären wir Ihre konkrete Situation und zeigen die nächsten Schritte auf.

Kostenloses Erstgespräch vereinbaren

Empfohlene Beiträge

Datenschutz in der Praxis: Unsere neue Artikelserie im Überblick

Datenschutzpraxis verständlich erklärt: Neue Fachartikel zu DSGVO, Löschung, AVV, TOM, DSFA und VVT – im Überblick.

„Breaking News: Personalisierte Werbung verboten!“ – oder doch nicht?

Was tatsächlich passiert ist, ist juristisch hochinteressant, technisch komplex und medial – sagen wir es freundlich – stellenweise *kreativ interpretiert* worden.

Mitarbeiterschulung – ein unterschätztes Problem

Die Notwendigkeit von Mitarbeiterschulungen, zentrale Problemfelder, Möglichkeiten und Arten der Mitarbeiterschulung und wieso die Form von Microlearning eine mögliche Lösung sein könnte.

Matomo/Piwik Pro rechtskonform einbinden: Einsatz ohne Einwilligung in der DSGVO?

Matomo (früher bekannt als Piwik) ist eine Open-Source-Webanalyseplattform, die als datenschutzfreundliche Alternative zu anderen Analysetools wie Google Analytics gilt. Allerdings ... Weiterlesen ...

legalweb

.io

Themen
Consent Manager
DSGVO-konforme Website
Externe Datenschutzbeauftragte für Unternehmen
AGB Generator
Microlearning/ Mitarbeiterschulung
Google Consent Mode
IAB TCF Framework
legal web

Support

Impressum

AGB

Datenschutz

Bayerhamerstraße 14, 5020 Salzburg - Österreich | [email protected]