Hilfe – Richtlinie zur EU-Nutzereinwilligung

Wozu gibt es diese Richtlinie und wo gilt sie?

Die Richtlinie zur EU-Nutzereinwilligung spiegelt bestimmte Anforderungen zweier europäischer Datenschutzvorschriften wider: der EU-Datenschutz-Grundverordnung (DSGVO) und der Datenschutzrichtlinie für elektronische Kommunikation (die sogenannte E-Privacy-Richtlinie). Außerdem werden alle entsprechenden gesetzlichen Vorschriften des Vereinigten Königreichs berücksichtigt. Die E-Privacy-Richtlinie ist nicht mit der sogenannten E-Privacy-Verordnung zu verwechseln, die derzeit als Gesetzesvorschlag erörtert wird. Diese Vorschriften gelten für Endnutzer im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich. Der EWR umfasst die EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen.

Die ursprüngliche Fassung dieser Richtlinie wurde 2015 veröffentlicht und am 25. Mai 2018 mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) aktualisiert.

Muss ich diese Richtlinie für alle Nutzer befolgen, wenn ich ein Publisher oder Werbetreibender mit Standort innerhalb des EWR oder des Vereinigten Königreichs bin?

Die Richtlinie zur EU-Nutzereinwilligung von Google bezieht sich nur auf Endnutzer innerhalb des EWR oder des Vereinigten Königreichs.

Wie sorgt Google dafür, dass diese Richtlinie eingehalten wird?

Websites und Apps, für die auf unsere Werbedienste zurückgegriffen wird, überprüfen wir manuell. Diesen Ansatz verfolgen wir bereits seit der Einführung der Richtlinie im Jahr 2015. Unsere Prüfer besuchen oder verwenden eine Website oder App so, wie es ein Nutzer auch tun würde. Dabei achten sie darauf, welche Informationen für sie verfügbar sind und welche Einwilligungen eingeholt werden.

Unsere oberste Priorität wird immer sein, mit unseren Partnern zusammenzuarbeiten, um sie bei der Einhaltung unserer Richtlinie zu unterstützen. Wenn wir feststellen, dass ein Partner unserer Richtlinie nicht einhält, werden wir ihn als Erstes über das Problem informieren und im Anschluss versuchen, gemeinsam mit ihm eine Lösung zu finden.

Schon seit 2015 geben wir den Websiteinhabern und App-Entwicklern ausreichend Zeit, die erforderlichen Änderungen vorzunehmen. Wenn der Partner jedoch nicht mit uns zusammenarbeitet oder nicht nach Treu und Glauben bemüht ist, die Anforderungen innerhalb eines angemessenen Zeitraums umzusetzen, kann dies zu Maßnahmen gegen die betreffenden Konten bis hin zu Sperrung führen.

Zusätzlich dazu, dass wir Websites und Apps überprüfen, kündigten wir im Mai 2023 an, dass Publisher ab dem 16. Januar 2024 zur Einhaltung dieser Richtlinie eine zertifizierte CMP nutzen müssen, wenn sie Anzeigen auf Nutzer im EWR oder Vereinigten Königreich ausrichten. Google wird auch weiterhin Audits der Websites und Apps unserer Publisher-Partner durchführen, falls dort eine zertifizierte CMP eingeführt wurde.

Welche Informationen muss ich meinen Endnutzern offenlegen?

Gemäß unserer Richtlinie müssen alle Anbieter angegeben werden, die infolge der Nutzung eines Google-Produkts personenbezogene Daten von Endnutzern erhalten. Außerdem muss gut sichtbar und leicht zugänglich angegeben werden, wie die personenbezogenen Daten der Endnutzer verwendet werden. Wir haben Informationen über die Nutzung von Daten durch Google veröffentlicht. Um den Offenlegungspflichten in Bezug auf die Datennutzung durch Google nachzukommen, müssen Publisher und Werbetreibende auf ihrer Website oder in ihrer App einen Link zu dieser Seite angeben. Auch andere Anzeigentechnologie-Anbieter, die in Google-Dienste eingebunden werden, werden von uns aufgefordert, Angaben zu ihrer Nutzung personenbezogener Daten zu machen.

Checkliste, um häufige Fehler bei der Implementierung eines Verfahrens zum Einholen von Einwilligungen zu vermeiden

Hierbei handelt es sich lediglich um Beispiele. Es besteht kein Anspruch auf Vollständigkeit. Wenn Sie als Publisher eine zertifizierte CMP ausgewählt und korrekt implementiert haben, ist davon auszugehen, dass Sie diese Checkliste bereits abgearbeitet haben. Ihre Implementierung muss alle Anforderungen der Google-Richtlinien erfüllen.

  • Haben Sie Nutzern erklärt, wie ihre personenbezogenen Daten verwendet werden, wenn sie einwilligen, dass diese Daten über Ihre Website oder App erhoben werden dürfen? Ist den Nutzern beispielsweise bewusst, dass ihre personenbezogenen Daten zur Personalisierung von Anzeigen verwendet werden und dass Cookies sowohl für personalisierte als auch für nicht personalisierte Anzeigen genutzt werden können?
  • Haben Sie überprüft, ob Ihre Einwilligungserklärung Nutzern aus allen EWR-Ländern angezeigt wird, wenn diese auf Ihre Website/App zugreifen?
  • Haben die Nutzer die Möglichkeit, aktiv ihre Einwilligung zu geben – z. B. indem sie auf eine Schaltfläche wie „OK“ oder „Ich stimme zu“ klicken?
  • Haben Sie offengelegt, welche Dritten, einschließlich Google, ebenfalls Zugriff auf die Nutzerdaten haben, die Sie über Ihre Website/App erheben?
  • Haben Sie die Nutzer darüber informiert, wie Google ihre personenbezogenen Daten verwendet, wenn sie über Ihre Website oder App einwilligen, z. B. durch einen Link zur Google-Website Verantwortungsvoller Umgang mit Geschäftsdaten? Und haben Sie die Nutzer informiert, wie andere Dritte ihre personenbezogenen Daten verwenden?
  • Falls Sie nur nicht personalisierte Anzeigen für die Monetarisierung verwenden: Holen Sie von Nutzern eine Einwilligung zum Einsatz von Cookies oder anderen Formen der lokalen Datenspeicherung (z. B. mobile Kennungen) ein, wenn dies rechtlich vorgeschrieben ist? Bitte beachten Sie, dass nicht personalisierte Anzeigen, die wir auf Websites ausliefern, auch weiterhin Cookies benötigen, um zu funktionieren.
  • Wenn die Erhebung, Weitergabe und Nutzung personenbezogener Daten für die Personalisierung von Anzeigen deaktiviert wurde und Sie Impressionen nur mit eingeschränkter Anzeigenausrichtung monetarisieren, deaktiviert Google Funktionen, die den Einsatz einer lokalen Kennung erfordern, wie etwa das Frequency Capping. Nur wenn Anzeigen mit programmatisch eingeschränkter Ausrichtung aktiviert sind, werden Cookies zur Erkennung ungültiger Zugriffe und die lokale Datenspeicherung eingesetzt, um zum Schutz vor Betrug und Missbrauch beizutragen. Ad-Serving-Technologien wie unsere JavaScript-Tags und/oder unser SDK-Code werden im Rahmen des normalen Gebrauchs von Browsern und mobilen Betriebssystemen weiterhin installiert oder im Cache gespeichert. Informieren Sie sich genau über die rechtlichen Verpflichtungen in Ihrer Rechtsprechung, einschließlich eventueller Informationspflichten und erforderlicher Einwilligungen. Weitere Informationen zu dieser Funktion finden Sie in der Ad Manager-, der AdMob- und der AdSense-Hilfe.
  • Falls Sie eine IAB-zertifizierte Plattform zur Einwilligungsverwaltung (Consent Management Platform, CMP) nutzen: Haben Sie Werbeprodukte von Google („Google Advertising Products“) als Anbieter angegeben?
  • Haben Sie sichergestellt, dass keine Google Ads-Cookies gesetzt werden, wenn keine Einwilligung vorliegt, und der Standardstatus von nicht personalisierten Anzeigen in diesem Fall nicht geändert wird?

Welche Möglichkeiten habe ich, wenn personenbezogene Daten von Endnutzern nicht zum Personalisieren von Anzeigen verwendet werden sollen?

Sie können auswählen, ob Sie personenbezogene Daten von Endnutzern zur Personalisierung von Anzeigen verwenden möchten. Bitte beachten Sie aber, dass nicht personalisierte Anzeigen, die wir auf Websites und in Apps ausliefern, auch weiterhin Cookies oder mobile Kennungen erfordern, damit sie funktionieren. Sie müssen zur Verwendung von Cookies oder mobilen Kennungen eine Einwilligung einholen, wenn dies rechtlich vorgeschrieben ist.

Für Ad Manager-, AdSense- und AdMob-Impressionen ist auch eine Monetarisierung mit eingeschränkter Anzeigenausrichtung möglich. Informieren Sie sich genau über die rechtlichen Verpflichtungen in Verbindung mit der Auslieferung von Anzeigen mit eingeschränkter Ausrichtung und nicht personalisierten Anzeigen in Ihrer Rechtsprechung, einschließlich eventueller Informationspflichten und erforderlicher Einwilligungen.

Welche Informationen soll ich Endnutzern zum Widerruf ihrer Einwilligung zur Verfügung stellen?

Die Richtlinie schreibt vor, dass Endnutzern erklärt werden muss, wie sie ihre Einwilligung zur Personalisierung von Werbeanzeigen widerrufen können. Der Widerruf muss für Endnutzer ebenso einfach sein wie die Erteilung der Einwilligung. Zumindest müssen sie Informationen darüber erhalten, wie sie einfach auf die Werbeeinstellungen für Ihre Website oder App zugreifen können, um ihre Einwilligungseinstellungen zu ändern.

Welche anderen Google-Produkte fallen unter diese Richtlinie?

Zusätzlich zu den Werbe- und Analyseprodukten wird auf diese Richtlinie auch in den Nutzungsbedingungen der Google Maps Platform, der YouTube API-Dienste und von reCAPTCHA sowie in den Richtlinien für Blogger verwiesen.

Welche Anzeigen gelten im Sinne dieser Richtlinie als „personalisiert“?

Mit personalisierten Anzeigen (früher „interessenbezogene Werbung“ genannt) können Werbetreibende die Relevanz von Anzeigen für Nutzer erhöhen und ihren ROI steigern. Je nachdem, wie unsere Publisher-Produkte verwendet werden, ziehen wir mit diesen Produkten anhand der von Nutzern besuchten Websites oder verwendeten Apps Rückschlüsse auf die Nutzerinteressen. Werbetreibende verwenden diese Informationen, um ihre Kampagnen entsprechend auszurichten. So profitieren Nutzer und Werbetreibende gleichermaßen von personalisierten Anzeigen. Weitere Informationen finden Sie in unseren Richtlinien für personalisierte Anzeigen.

Für Google sind Anzeigen dann personalisiert, wenn ihrer Auswahl erhobene oder Verlaufsdaten zugrunde liegen. Dazu zählen unter anderem die Suchanfragen des Nutzers, seine Aktivitäten, besuchten Websites oder verwendeten Apps sowie demografische und Standortinformationen. Im Einzelnen umfasst dies z. B. die demografische Ausrichtung, die Ausrichtung auf Interessenkategorien, Remarketing sowie die Ausrichtung auf Listen zum Kundenabgleich und auf Zielgruppenlisten, die in der Google Marketing Platform hochgeladen wurden.

Mein Einwilligungsbanner wurde beim Audit als nicht richtlinienkonform gekennzeichnet. Was soll ich jetzt tun?

Wenn wir feststellen, dass diese Richtlinie nicht eingehalten wird, versuchen wir als Erstes, unsere Partner dabei zu unterstützen, die nötigen Änderungen vorzunehmen. Unser Auditteam informiert Sie in diesem Fall im Detail über den Verstoß und teilt Ihnen mit, welche Schritte Sie unternehmen müssen, damit Ihre Website oder App die Richtlinie erfüllt.

Damit ein Banner ordnungsgemäß konfiguriert ist, sodass die Auswahl der Nutzer berücksichtigt wird, empfehlen wir Werbetreibenden, mit ihrer Drittanbieter-CMP zusammenzuarbeiten oder die entsprechende Dokumentation zur Verwaltung der Einwilligungseinstellungen zu lesen und darauf zu achten, dass die verwendete Lösung korrekt mit dem Einwilligungsmodus integriert ist.

Warum muss in die Nutzung von Cookies eingewilligt werden, auch wenn diese nicht zur Personalisierung, sondern zu anderen Zwecken verwendet werden, z. B. für die Erfolgsmessung von Anzeigen?

Cookies oder mobile Kennungen werden für personalisierte und nicht personalisierte Anzeigen genutzt, die von Google ausgeliefert werden, und helfen bei der Bekämpfung von Betrug und Missbrauch. Sie werden außerdem für das Frequency Capping und die Erstellung von aggregierten Anzeigenberichten verwendet. Unsere Richtlinie macht die Einwilligung zur Verwendung von Cookies oder mobilen Kennungen für Nutzer erforderlich, die ihren Wohnsitz in Ländern haben, in denen die Einwilligung in Cookies oder mobile Kennungen rechtlich vorgeschrieben ist.

Was gilt, wenn ich Werbetreibender bin und Google-Produkte auf meiner Website verwende?

Wenn Sie Tags für Werbeprodukte wie Google Ads oder die Google Marketing Platform auf Ihren Seiten einsetzen, müssen Sie von Ihren Nutzern im EWR und Vereinigten Königreich Einwilligungen einholen, um die Anforderungen der Google-Richtlinie zur Einwilligung der Nutzer in der EU zu erfüllen. Gemäß den Vorgaben unserer Richtlinie müssen Sie die Einwilligung zur Nutzung von Cookies für die Erfolgsmessung von Anzeigen sowie die Einwilligung zur Verwendung personenbezogener Daten für personalisierte Anzeigen einholen – beispielsweise dann, wenn Sie auf Ihren Seiten Remarketing-Tags einsetzen.

Was sollte meine Einwilligungserklärung beinhalten?

In der Google-Richtlinie wird nicht vorgeschrieben, welche Auswahlmöglichkeiten den Nutzern angeboten werden sollten, da der Text Ihrer Einwilligungserklärung von Ihrer Verwendung der Daten abhängt, z. B. davon, ob Sie Daten für eigene Zwecke oder zur Unterstützung anderer Dienste, mit denen Sie zusammenarbeiten, verwenden.

Verlangt Google für Apps eine besondere Form der Nutzereinwilligung?

Ja. Im Mai 2023 kündigten wir an, dass Publisher ab dem 16. Januar 2024 eine zertifizierte Plattform zur Einwilligungsverwaltung (Consent Management Platform, CMP) verwenden müssen, wenn sie Anzeigen auf Nutzer im EWR oder Vereinigten Königreich ausrichten. Wenn Ihre CMP nicht in dieser Liste aufgeführt ist, empfehlen wir Ihnen, sich in Zusammenarbeit mit Ihrer CMP um eine Zertifizierung zu bemühen.

Das CMP Partner Program wurde für Werbepartner entwickelt. Werbetreibende können damit Einwilligungsbanner erstellen und konfigurieren. Hinweis: Diese Liste enthält nicht alle verfügbaren CMPs.

Wie sollten Partner einen CMP-Anbieter (Consent Management Platform, Plattform zur Einwilligungsverwaltung) auswählen?

Das CMP Partner Program wurde für Werbepartner entwickelt. Werbetreibende können damit Einwilligungsbanner erstellen und konfigurieren. Hinweis: Diese Liste enthält nicht alle verfügbaren CMPs. Die Wahl einer dieser CMPs garantiert auch nicht automatisch, dass die Google-Richtlinie zur Einwilligung der Nutzer in der EU eingehalten wird. Dies hängt letztlich immer von der Implementierung der CMP und der konkreten Mitteilung zur Einwilligung der Nutzer in der EU ab, die Nutzern angezeigt wird. Weitere Informationen finden Sie oben unter „Checkliste, um häufige Fehler bei der Implementierung eines Verfahrens zum Einholen von Einwilligungen zu vermeiden“.

Welche Drittanbieter verwenden personenbezogene Daten von Endnutzern und wie sollte ich diese kenntlich machen?

Viele Werbetreibende und Publisher, die Werbeformate von Google nutzen, verwenden Drittanbieter, um Anzeigen zu schalten und die Effizienz ihrer Werbekampagnen auf Websites oder in Apps zu analysieren. Die Richtlinie gibt vor, dass Sie zusätzlich zu Google jeden Anbieter eindeutig benennen müssen, der möglicherweise personenbezogene Daten von Endnutzern im Rahmen Ihrer Verwendung von Google-Produkten erhebt, erhält und/oder nutzt. In AdSense, Google Ad Manager und AdMob können Sie Anbieter auswählen, die dazu berechtigt sind, auf Ihrer Website oder in Ihrer App Daten zu erheben.

Meine Website wird nicht in Europa gehostet. Bin ich an diese Richtlinie gebunden?

Wenn Sie Google-Produkte verwenden, die unter diese Richtlinie fallen, und Nutzer im EWR oder im Vereinigten Königreich zu Ihrer Zielgruppe gehören, sind Sie an diese Richtlinie gebunden.

Ich bin Publisher, aber keine meiner Kampagnen ist auf den EWR oder das Vereinigte Königreich ausgerichtet. Trifft diese Einwilligungspflicht trotzdem auf mich zu?

Die Einwilligung wäre nur dann nicht erforderlich, wenn Sie alle Google-Dienste für Nutzer in diesen Ländern von der Website entfernen. Sie wäre aber weiterhin verpflichtend, wenn Google-Dienste genutzt, aber keine Anzeigen geschaltet werden. Das liegt daran, dass in Google AdMob, AdSense und Google Ad Manager Cookies zum Einsatz kommen und unsere Richtlinie auch bei der Verwendung von Cookies, die zur Erfolgsmessung verwendet werden, eine Einwilligung voraussetzt. In Google Ad Manager werden auch personenbezogene Daten erhoben, es sei denn, es handelt sich um eine Anfrage für eine nicht personalisierte Anzeige und dies ist in den Einstellungen für die EU-Nutzereinwilligung oder in der Anfrage selbst angegeben.

Unser Unternehmen legt das Gesetz anders aus und würde gerne einen anderen Ansatz für die Einwilligung und die Offenlegung wählen. Ist das möglich?

Google hat sich zur Einhaltung der DSGVO bei allen Diensten verpflichtet, die wir in Europa anbieten, auch in dem Umfang, in dem deren Vorgaben in die Gesetzgebung des Vereinigten Königreichs übernommen wurden. Unsere Richtlinie zur Einwilligung der Nutzer in der EU ist Ausdruck dieser Selbstverpflichtung und entspricht den Vorgaben der europäischen Datenschutzaufsichtsbehörden. Wir werden die rechtlichen Vorschriften und die Best Practices der Branche weiter im Blick behalten und unsere Empfehlungen und Anforderungen entsprechend anpassen.

Warum müssen wir die Einwilligung für die Erfolgsmessung von Anzeigen einholen – handelt es sich dabei nicht um ein berechtigtes Interesse?

Google verwendet Cookies und verschiedene Anzeigenkennungen, um die Erfolgsmessung von Anzeigen zu ermöglichen. In Ländern, in denen die Datenschutzrichtlinie für elektronische Kommunikation gilt, ist für diese Verwendung eine Einwilligung erforderlich. Dementsprechend setzt unsere Richtlinie eine Einwilligung für die Personalisierung und Erfolgsmessung von Anzeigen voraus. Dies schließt auch Anwendungsfälle mit Offlinemessungen, wie z. B. Store Sales, ein.

Benötige ich die Einwilligung, bevor die Tags ausgelöst werden, oder reicht es auch, die Einwilligung nachträglich einzuholen?

Die Einwilligung für personalisierte Anzeigen muss eingeholt werden, bevor die Tags von Google auf Ihren Seiten ausgelöst werden.

Wie verhält es sich mit der Verwendung von Klick-Trackern?

Wenn Werbetreibende die Klick-Tracking-Technologien von Drittanbietern nutzen (z. B. wenn der Browser des Nutzers durch den Klick auf eine Werbeanzeige nicht direkt auf die Landingpage des Anbieters, sondern zuerst zum Anbieter eines Messdienstes weitergeleitet wird), müssen sie dabei geltende Gesetze einhalten. Die Einstellungsmöglichkeiten für Drittanbieter, die Google Publishern zur Verfügung stellt, sind nicht dafür vorgesehen, Klick-Tracking-Technologien abzudecken.

Welche Aufzeichnungen muss ich aufbewahren?

Gemäß unserer Richtlinie müssen Kunden Aufzeichnungen über die Einwilligungen aufbewahren. Diese sollten mindestens den Text und die Auswahlmöglichkeiten umfassen, die den Nutzern in der Einwilligungslösung angezeigt wurden, sowie Datum und Uhrzeit, zu der der Nutzer seine Einwilligung erteilt hat.

Weshalb wurde meine Publisher-CMP für nicht richtlinienkonform befunden, obwohl ich eine zertifizierte CMP verwende, die auch vom IAB zertifiziert wurde?

Die Wahl einer zertifizierten CMP garantiert nicht automatisch, dass die Google-Richtlinie zur Einwilligung der Nutzer in der EU eingehalten wird. Dies hängt letztlich immer von der Implementierung der CMP und der konkreten Mitteilung zur Einwilligung der Nutzer in der EU ab, die Nutzern angezeigt wird. Weitere Informationen finden Sie oben unter „Checkliste, um häufige Fehler bei der Implementierung eines Verfahrens zum Einholen von Einwilligungen zu vermeiden“.

Muss ich diese Richtlinie befolgen, wenn ich Produkte verwende, die Privacy Sandbox-APIs nutzen?

Ja. Bei der Nutzung von Privacy Sandbox-APIs (Topics, Protected Audience und Attribution Reporting) kann es sein, dass Sie personenbezogene Daten für die Personalisierung von Werbung verwenden und/oder auf lokale Speicher zugreifen. Gemäß der Richtlinie zur Einwilligung der Nutzer in der EU müssen Sie dafür eine gültige Nutzereinwilligung einholen. Dies geschieht auf die gleiche Weise, wie Sie derzeit eine Einwilligung für die Personalisierung von Werbung und die Nutzung nicht wesentlicher lokaler Speicher im Europäischen Wirtschaftsraum und Vereinigten Königreich einholen. Weitere Informationen zur Privacy Sandbox finden Sie auf dieser Website.

Aktualisierungen dieser Richtlinie

Die ursprüngliche Google-Richtlinie zur EU-Nutzereinwilligung wurde am 25. Mai 2018 aktualisiert. Am 31. Oktober 2019 wurden weitere kleinere Anpassungen vorgenommen, um den Veränderungen im Verhältnis zwischen dem Vereinigten Königreich und der EU gerecht zu werden. Zum jetzigen Zeitpunkt erwarten wir keine weiteren Änderungen der Richtlinie, aber wie oben erwähnt werden wir fortlaufend die rechtlichen Entwicklungen und die Best Practices in der Branche beobachten und unsere Empfehlungen und Anforderungen entsprechend anpassen.