Google Customer Match nur mit wirksamer Einwilligung

28. April 2026 von Andrea Bauer

Geschätzte Lesezeit: 3 Minuten.

Werbe-Tracking im Fokus der Aufsichtsbehörden

Wie sensibel Aufsichtsbehörden den Einsatz von Werbe- und Trackingtechnologien bewerten, zeigt eine aktuelle Entscheidung der französischen Datenschutzaufsicht CNIL. Diese veröffentlichte am 22. Januar 2026 eine Mitteilung zu einer bereits am 30. Dezember 2025 verhängten Geldbuße in Höhe von 3,5 Mio. € gegen ein Unternehmen, das Daten von Mitgliedern eines Treueprogramms ohne wirksame Einwilligung an ein soziales Netzwerk zu Zwecken zielgerichteter Werbung übermittelt hatte. Beanstandet wurden daneben auch Verstöße im Zusammenhang mit Cookies und Trackern, unzureichende Datenschutzinformationen, Sicherheitsmängel sowie das Fehlen einer Datenschutz-Folgenabschätzung.

Achtung beim Einsatz von Google Ads – insbesondere Customer Match

Die Entscheidung der CNIL betrifft zwar die Übermittlung von Kundendaten an ein soziales Netzwerk, ist aber auch für vergleichbare Werbetechnologien wie Google Ads und insbesondere Customer Match relevant.

Über Customer Match können Unternehmen eigene Kundendaten, etwa E-Mail-Adressen oder Telefonnummern, für Werbezwecke nutzen, um Personen über Google-Dienste erneut anzusprechen oder Zielgruppen zu bilden. Datenschutzrechtlich ist dies besonders sensibel, weil konkrete Kundendaten aus dem eigenen Bestand an eine Werbeplattform übermittelt werden und nicht lediglich eine allgemeine Auswertung des Webseitenverhaltens erfolgt. Besonders kritisch ist dies bei Daten aus CRM-Systemen, Kundenkonten, Treueprogrammen, Newsletter-Verteilern oder Warenwirtschaftssystemen.

Eine allgemeine Einwilligung in Werbung oder Newsletter reicht hierfür regelmäßig nicht aus. Betroffene müssen klar erkennen können, dass ihre Daten an Google oder eine andere Werbeplattform übermittelt und dort für personalisierte Werbung bzw. einen Zielgruppenabgleich verwendet werden. Vor dem Einsatz sollte daher geprüft werden, ob Rechtsgrundlage, Einwilligungstexte, Datenschutzinformationen und technische Umsetzung diesen konkreten Verarbeitungsvorgang tatsächlich abdecken.

Der rechtliche Maßstab

Beim Einsatz von Werbe- und Trackingtechnologien sind insbesondere die DSGVO und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) zu beachten. Die DSGVO regelt die Verarbeitung personenbezogener Daten, das TDDDG insbesondere das Speichern von Informationen auf Endgeräten sowie den Zugriff auf dort gespeicherte Informationen, etwa durch Cookies oder vergleichbare Trackingtechnologien.

Für personalisierte Werbung, Remarketing, Customer Match, Conversion Tracking und ähnliche Maßnahmen ist in der Regel eine vorherige, informierte und nachweisbare Einwilligung erforderlich. Pauschale Hinweise auf „Marketing", „Werbung" oder „Analysezwecke" reichen nicht aus, wenn Kundendaten an externe Werbeplattformen übermittelt oder dort für zielgerichtete Werbung genutzt werden.

Die datenschutzrechtlichen Texte allein genügen nicht. Auch die technische Umsetzung muss tatsächlich dazu passen. Einwilligungsbedürftige Cookies und Tracking-Tags dürfen grundsätzlich nicht vor Zustimmung aktiviert werden. Eine Ablehnung muss technisch genauso sauber umgesetzt werden wie eine Zustimmung. Consent-Banner, Consent Mode, Tag Manager und Conversion Tracking sollten daher regelmäßig darauf überprüft werden, ob sie tatsächlich so funktionieren, wie es in den Datenschutzhinweisen beschrieben ist.

Je nach Umfang und Risiko der Verarbeitung kann zudem eine Datenschutz-Folgenabschätzung erforderlich sein. Das gilt insbesondere dann, wenn größere Kundendatenbestände mit Werbeplattformen abgeglichen, verschiedene Datenquellen zusammengeführt oder umfangreiche Werbeprofile gebildet werden.

Folgen für die Praxis

Für Unternehmen bedeutet das: Werbe-Setups sollten nicht nur aus Marketingsicht, sondern entlang der tatsächlichen Datenflüsse geprüft werden. Entscheidend ist:

• welche Daten verwendet werden,
• aus welcher Quelle sie stammen,
• an welche Plattformen sie übermittelt werden und
• ob der Nutzer hierüber wirksam informiert und einbezogen wurde.

Gerade bei Customer Match und vergleichbaren Funktionen sollte sauber dokumentiert werden, welche Kundendaten eingesetzt werden und auf welcher Grundlage der Abgleich mit einer Werbeplattform erfolgt. Bestehende Einwilligungstexte und Datenschutzhinweise sollten dabei nicht pauschal übernommen, sondern konkret auf den tatsächlichen Einsatz abgestimmt werden.

Ebenso wichtig ist ein technischer Test der eingesetzten Tools. Consent-Banner, Consent Mode, Tag Manager und Tracking-Tags sollten nicht nur formal vorhanden sein, sondern in der Praxis auch richtig funktionieren.

Kurz gesagt: Wer Werbe-Tracking einsetzt, sollte nicht nur auf die Kampagnenleistung schauen, sondern auch darauf, ob Datenflüsse, Einwilligungen, Informationen und Technik sauber zusammenpassen.

Sie möchten prüfen, ob Ihr Einsatz von Google Ads, Customer Match, Consent Mode und Tracking-Tags datenschutzkonform ausgestaltet ist? Wir beraten Sie gerne bei der rechtlichen Bewertung und praktischen Umsetzung.

Quellen

Transfer of data to a social network for advertising purposes: the CNIL imposed a fine of €3.5 million – Mitteilung der CNIL vom 22. Januar 2026 (englische Fassung)

Häufige Fragen (FAQ)