Google Enhanced Ecommerce und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Google Enhanced Ecommerce ein, verarbeitet er Nutzungs-, Klick- und Conversion-Daten von Webseitenbesuchern zum Zweck der Reichweitenanalyse, der Conversion-Messung und der Optimierung von Online-Shops und digitalen Angeboten – regelmäßig auf Basis einer Einwilligung nach § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. Diese Seite gibt Webseitenbetreibern in Deutschland einen Überblick darüber, welche Daten Google Enhanced Ecommerce typischerweise verarbeitet, welchen Zwecken die Datenverarbeitung dient und welche Pflichtangaben dazu in die Datenschutzerklärung der Webseite gehören.

Die Darstellung beruht auf den öffentlich zugänglichen Angaben des Anbieters und auf öffentlich recherchierbaren Quellen. Sie ersetzt keine Einzelfallprüfung des konkreten Einsatzes durch den Webseitenbetreiber.

A. Zweck und Funktionsweise von Google Enhanced Ecommerce

Google Enhanced Ecommerce ist eine Erweiterung des Web-Analyse-Dienstes Google Analytics 4 (GA4), die speziell auf die Auswertung von E-Commerce-Vorgängen zugeschnitten ist. Sie ermöglicht es Webseitenbetreibern, das Verhalten von Nutzern entlang des typischen Kaufprozesses – vom ersten Produktkontakt bis zum abgeschlossenen Kauf – mit standardisierten Ereignissen (sog. Events) und Parametern zu erfassen und auszuwerten.

Während GA4 als Basis-Webanalyse Seitenaufrufe, Sitzungsdauer und allgemeine Interaktionen erhebt, erweitert Enhanced Ecommerce diese Datenbasis um shop-spezifische Ereignisse wie Produktansichten, Hinzufügen zum Warenkorb, Beginn und Abschluss des Bestellvorgangs sowie Erstattungen. Pro Ereignis werden zusätzlich Item-Parameter wie Produkt-ID, Produktname, Preis, Menge, Kategorie und Variante übermittelt.

Diese Seite befasst sich ausschließlich mit der Integrations-Funktion Enhanced Ecommerce als Bestandteil von GA4. Andere Google-Dienste wie Google Ads, Google Tag Manager, Google Signals oder Google-Marketing-Plattform sind nicht Gegenstand dieser Darstellung, auch wenn sie technisch häufig zusammen mit GA4 Enhanced Ecommerce eingesetzt werden.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Google Enhanced Ecommerce

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie Google Enhanced Ecommerce eine Reihe spezifischer Pflichtangaben. Hierzu zählen insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder – falls nicht möglich – die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die nachfolgenden Abschnitte schlüsseln diese Pflichtangaben für Google Enhanced Ecommerce auf.

In der Praxis ist es nicht erforderlich, jedes einzelne Tool – auch Google Enhanced Ecommerce nicht – in der Datenschutzerklärung mit einem eigenen Textbaustein aufzuführen. Diese Praxis hat sich zwar weithin eingebürgert, führt aber zu langen, redundanten und schwer pflegbaren Datenschutzerklärungen, die dem Transparenzgebot des Art. 12 Abs. 1 DSGVO (präzise, transparent, verständlich, leicht zugänglich) nur eingeschränkt gerecht werden. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitung übergreifend (z.B. Tracking, Verkauf, Marketing) beschreibt und die konkret eingesetzten Dienstleister – darunter Google Enhanced Ecommerce – in einem Anhang als Empfänger auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Google Enhanced Ecommerce

Vertragspartner für Webseitenbetreiber im EWR ist nach den öffentlich zugänglichen Angaben:

• Firma: Google Ireland Limited
• Anschrift: Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irland
• Sitzland: Irland (EWR)
• Konzernstruktur: Tochtergesellschaft der Google LLC, Mountain View, USA. Subprozessoren der Google-Gruppe in den USA und weiteren Drittländern kommen regelmäßig zum Einsatz.
• DPF-Status der US-Muttergesellschaft: Die Google LLC ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Eine Prüfung des aktuellen Status ist über die DPF-Liste möglich: https://www.dataprivacyframework.gov/s/participant-search.
• Privacy Policy: https://policies.google.com/privacy
• Datenverarbeitungsbedingungen für Messdienste / AVV: https://business.safety.google/adsprocessorterms/

D. Datenverarbeitung mit Google Enhanced Ecommerce – Ablauf in Schritten

E. Erhobene Daten bei Google Enhanced Ecommerce

Beim Einsatz von Google Enhanced Ecommerce werden im Wesentlichen folgende Daten erfasst: technische Protokolldaten zum Seitenaufruf (insbesondere IP-Adresse, Zeitstempel, Referrer, User-Agent), Informationen zum Endgerät und Browser, ein anhand der IP-Adresse abgeleiteter grober Standort, Klick- und Bewegungsmuster auf der Seite sowie shop-spezifische Ereignisdaten mit Produkt- und Bestellbezug. Hinzu kommen Kennungen, die in Cookies oder dem Local Storage abgelegt werden, sowie – sofern aktiviert – nutzer- oder kundenbezogene Identifikatoren (z.B. User-ID, gehashte E-Mail-Adresse für „Enhanced Conversions").

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die Server der Google-Gruppe bei jeder Anfrage erhalten, insbesondere IP-Adresse, Datum und Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräteinformationen sowie technische Metadaten der Anfrage.
• Klickpfade: Besuchte Seiten und Aufrufreihenfolge sowie geklickte Links und Schaltflächen, jeweils mit Datum und Uhrzeit, beispielsweise aufgerufene Produktseiten, Kategorieseiten und Checkout-Schritte.
• Endgeräte-Daten: Angaben zum verwendeten Endgerät, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung und Touch-Unterstützung.
• Browserinformationen: Informationen zum verwendeten Browser, z.B. Browsername, Version und Spracheinstellungen.
• Grobe Standortdaten: Anhand der IP-Adresse abgeleiteter grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, insbesondere view_item, add_to_cart, begin_checkout, add_payment_info, purchase, refund, sowie zugehörige Item-Parameter wie Produkt-ID, Produktname, Kategorie, Preis, Menge, Coupon und Bestellwert.
• Interaktionsdaten: Informationen zum Nutzerverhalten innerhalb einzelner Seiten, z.B. Scroll-Tiefe, Klicks, Verweildauer.
• Nutzerprofile: Sofern Funktionen wie Google Signals oder die Verknüpfung mit einem Nutzungskonto aktiviert sind, können vom Webseitenbetreiber Interessen, Segmentzuordnungen und Nutzungshistorien abgeleitet und gespeichert werden.
• Technische Telemetriedaten: Bestimmte technische Daten zur Nutzung der Webseite, z.B. Ladezeiten und Fehlermeldungen.

F. Nutzungszwecke beim Einsatz von Google Enhanced Ecommerce

Webseitenbetreiber setzen Google Enhanced Ecommerce typischerweise ein, um Reichweite und Nutzerverhalten der eigenen Online-Dienste zu analysieren, Kaufprozesse zu verstehen und zu optimieren, die Performance einzelner Produkte und Kategorien zu beurteilen sowie die Wirksamkeit von Marketingmaßnahmen anhand von Conversion-Daten zu messen. Bei aktivierter Verknüpfung mit Werbeprodukten kommen Zwecke der nutzerindividuellen Werbeansprache hinzu.

Die Zwecke, die der Webseitenbetreiber mit dem Einsatz typischerweise verfolgt, lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Grundfunktionalität der eingebundenen Mess- und Analysefunktion, einschließlich Fehlererkennung in der Datenerhebung.
• Allgemeine Produktverbesserung: Optimierung der Webseite und des Shops auf Basis häufig aufgerufener Inhalte, Geräteklassen und Kaufprozesse, allgemeine Geschäftsplanung anhand aggregierter Kennzahlen.
• Allgemeines Marketing: Reichweitenanalyse, Bewertung von Kommunikationskanälen, Erfolgsmessung von Werbekampagnen.
• Nutzerprofil-Erstellung: Bei aktivierten Funktionen Bildung von Segmenten und Zielgruppen anhand von Interessen und Kaufverhalten.
• Nutzerindividuelle Produktverbesserung: Anzeige interessenbezogener Produkte und Inhalte, Vorauswahl von Einstellungen.
• Nutzerindividuelles Marketing: Bei Verknüpfung mit Werbeprodukten Ausrichtung von Werbung auf Basis der erfassten Conversion-Ereignisse, z.B. Remarketing für betrachtete oder in den Warenkorb gelegte Produkte.

G. Rechtsgrundlagen für den Einsatz von Google Enhanced Ecommerce

Google Enhanced Ecommerce fällt nach den öffentlich zugänglichen Angaben des Anbieters und der gängigen Einordnung in der datenschutzrechtlichen Fachliteratur primär in die Tool-Kategorie Tracking (Statistik) und – bei Verknüpfung mit Werbefunktionen – Tracking (Marketing).

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Da Enhanced Ecommerce regelmäßig den Einsatz von Cookies oder vergleichbarer Speicher- und Zugriffstechnologien voraussetzt und über die reine Funktionsbereitstellung der Webseite hinausgeht, kommt eine Einwilligung des Nutzers regelmäßig in Betracht. Diese ist in der Praxis meist über ein Consent-Banner einzuholen (Statistik- und ggf. Marketing-Einwilligung).
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Eine Stützung auf berechtigte Interessen wird in der Fachliteratur kontrovers diskutiert und kommt allenfalls bei einer streng anonymisierten, cookielosen Reichweitenmessung ohne Übermittlung individueller Identifikatoren in Betracht. Für den klassischen Einsatz von GA4 Enhanced Ecommerce mit Cookies, Client-IDs und Conversion-Tracking gilt dieser Weg regelmäßig nicht. Mögliche berechtigte Interessen wären in einem Sonderfall Verbesserung und Geschäftssteuerung.

Die Auswahl der einschlägigen Rechtsgrundlage hängt stets vom konkreten Setup, von den getroffenen Einstellungen und vom Consent-Management ab. Sie ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Google Enhanced Ecommerce

• Opt-Out für Endnutzer: Google bietet ein Browser-Add-on zur Deaktivierung von Google Analytics an: https://tools.google.com/dlpage/gaoptout. Eine Steuerung erfolgt zudem über das Consent-Banner des Webseitenbetreibers.
• Drittlandtransfer: Eine Verarbeitung durch Google LLC und weitere Subprozessoren der Google-Gruppe in den USA und weiteren Drittländern kommt regelmäßig in Betracht. Nach den öffentlich zugänglichen Angaben stützt Google die Übermittlung an die Konzernmutter auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework und ergänzend auf EU-Standardvertragsklauseln.
• AVV / Datenverarbeitungsbedingungen: Für die Nutzung von GA4 stellt Google Datenverarbeitungsbedingungen (Google Ads Data Processing Terms) bereit, die nach den öffentlich zugänglichen Angaben den Anforderungen des Art. 28 DSGVO entsprechen sollen. Die Bedingungen sind im Google-Konto zu akzeptieren bzw. zu prüfen.
• Subprozessoren: Eine Liste der von Google eingesetzten Subprozessoren wird im Trust Center bereitgestellt; ein konkreter Status ist im Einzelfall zu prüfen.
• Empfehlenswerte Einstellungen: IP-Anonymisierung ist in GA4 nach den öffentlich zugänglichen Angaben des Anbieters Standard. Webseitenbetreiber sollten zudem die Aufbewahrungsdauer auf ein erforderliches Maß beschränken, Google Signals und die Funktion „Google-Produkte und -Dienste" bewusst aktivieren bzw. deaktivieren und die Verknüpfung mit Werbekonten nur einsetzen, wenn diese Verarbeitung von der Einwilligung gedeckt ist.
• Enhanced Conversions: Bei der Funktion „Enhanced Conversions" werden zusätzlich nutzerbezogene Identifikatoren (z.B. gehashte E-Mail-Adressen) übermittelt. Dies kann die Rolle des Anbieters und die einschlägigen Rechtsgrundlagen verändern und ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

I. FAQ zu Google Enhanced Ecommerce und Datenschutz

J. Fazit zu Google Enhanced Ecommerce in der Datenschutzerklärung

Google Enhanced Ecommerce ist eine Erweiterung von Google Analytics 4, die für Online-Shops und transaktionsorientierte Webseiten detaillierte Auswertungen entlang des Kaufprozesses ermöglicht. Aus datenschutzrechtlicher Sicht handelt es sich nach den öffentlich zugänglichen Angaben um ein Tracking-Tool mit Bezug auf Statistik und – je nach Konfiguration – Marketing. Für den klassischen Einsatz mit Cookies und Client-IDs kommt regelmäßig eine Einwilligung nach § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO in Betracht. Drittlandtransfers an Konzerngesellschaften der Google-Gruppe in den USA sind regelmäßig zu erwarten und werden nach den öffentlich zugänglichen Angaben auf das EU-US Data Privacy Framework und Standardvertragsklauseln gestützt.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – auch nicht für Google Enhanced Ecommerce – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche tool-bezogenen Bausteine machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widersprechen damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Serverbetrieb, Tracking, Verkauf, Newsletter …) übergreifend erklärt und nur im Anhang Empfänger auf einzelne Dienstleister wie Google Ireland Limited verweist. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com