Google Consent Mode

Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter. Weitere Informationen? Finden Sie hier: Cookie Consent-Management-Beratung.

Weiterhin wichtig: Der Google Consent Mode befindet sich noch in der Beta-Phase. In diesem Artikel erfahren Sie, warum es (noch) keine Lösung zur Datenerfassung mit Google Analytics ist.

Letztes Update: 8. März 2021

Der Datenschutz ist ein heißes Eisen, dem ist sich auch Google bewusst. Genau deshalb arbeitet der Online-Gigant aus Mountain View mit Hochdruck an eigenen Lösungen, um den Anforderungen des Datenschutzes noch besser gerecht zu werden. Die neueste (Beta) Lösung für die Erfolgsmessung mit Google Analytics und Google Ads: Google Consent Mode.

Was verbirgt sich hinter dem Google Consent Mode?

Ins Deutsche übersetzen lässt es sich mit Einwilligungsmodus. Hierbei handelt es sich nicht um einen weiteren Cookie-Banner wie Sie ihn bereits von unzähligen Websites kennen. Vielmehr ist es eine technische Schnittstelle (API) zu Google. Über diese Schnittstelle teilen Sie Google mit, ob, und falls ja, für welche Cookie-Kategorien sich ein Besucher Ihrer Website entschieden hat. Zugleich weisen Sie Google an, wie damit zu verfahren ist. 

Machen wir es also an einem Beispiel fest:

Sie verwenden auf Ihrer Website Google Analytics, um auszuwerten, wie sich Ihrer Website-Besucher verhalten Und das Google Ad Conversion Tracking, um zu messen, wie erfolgreich Ihre Werbekampagnen bei Google sind. Bevor Sie diese beiden Trackings aktivieren, holen Sie per Cookie-Banner die explizite Zustimmung durch die Website-Besucher ein. Ein Besucher Ihrer Website lehnt nun alle Cookies ab. In diesem Fall teilen Sie Google über die Schnittstelle mit: 

1) „analytics_storage: denied“

... veranlasst Google dazu die Daten - nach eigenen Worten - zu anonymisieren und nur noch aggregiert zu erfassen. Aggregiert bedeutet: Ein Kauf wird zwar erfasst (über Zeitstempel, User-Agent und Verweisadresse). Sie sehen somit durchaus woher der Käufer kam (z.B. von einer Google Anzeige). Was Sie aber nicht sehen, ist wie sich der Nutzer während seines Besuchs (bzw. während seiner Sitzung) vor dem Kauf auf Ihrer Website verhalten hat. Auch sehen Sie keine demografischen Daten (Alter, Geschlecht etc.) Das macht den Funktionstest etwas komplexer, da solche anonymisierten Besuche auch nicht in der Echtzeit-Statistik auftauchen.

„analytics_storage: granted“ sorgt hingegen dafür, dass über Google Analytics die Daten regulär erfasst und verarbeitet werden.

2) „ad_storage: denied”

... führt dazu, dass Google keinen Marketing-Cookie setzt und die Konversionen (Umsätze, Anmeldungen etc.) - nach eigenen Worten – nur noch anonymisiert und aggregiert zu erfassen. Dies bedeutet auch: Bestehende Cookies werden nicht ausgelesen. Wenn also jemand beispielsweise vor 10 Tagen auf eine Google Anzeige geklickt hat und dabei einen Cookie erhielt, dann wird dieser nun nicht ausgelesen. Die Konversion kann somit nicht auf den Anzeigenklick zurückgeführt werden. Noch einen Tick safer wird es, wenn Sie die 'ads_data_redaction' auf true setzen. Denn in diesem Fall werden z.B. Kennungen für Anzeigenklicks (z. B. GCLID) bei Conversion-Pings entfernt (siehe auch die offizielle Doku zum Google Consent Mode). Zudem erfolgen Anfragen an die cookielose Domain googleadsyndication.com statt an doubleclick.net oder google.com. 

„ad_storage: granted” gibt hingegen grünes Licht für das reguläre Tracking.

Klingt gut? Zumindest in der Theorie! Sehen wir uns also die Praxis an. 

Kann ich den Google Consent Mode denn schon für meine Website einsetzen?

Wir haben dies getestet und den Google Consent Mode für unsere Agentur-Website implementiert. 

Bei einer Ablehnung von Analytics-Cookies (analytics_storage: denied) werden die cookielosen Hits an Google übermittelt. Das ist gut! Und was trifft in Google Analytics ein? 

Nichts! Niente! Nada!

Das Ergebnis: Anonymisierte Daten erscheinen (noch) nicht in Google Analytics
Die Daten werden aktuell (Stand 7. März) nicht (!) in Google Analytics dargestellt werden. Dies gilt gleichermaßen für den Echtzeit-Bericht als auch für alle Detail-Berichte und sowohl für Universal Analytics als auch für GA4 (die neue Version Google Analytics). Warum das so ist, darüber läßt sich nur spekulieren. 

Die These des renommierten Analytics-Experten Simo Ahava:
"However, these cookieless hits are sent to Google Analytics with a new gcs parameter, which includes the consent status of the hit. The cookieless hits are thus identified by Google Analytics and for now are not collected or exposed in reporting at all.

Most likely Google will at some point build actionable data out of the cookieless data set as well, perhaps after applying extensive modelling to make it align with the data that was collected with storage consent."

Unser Resümee:
Wir raten aktuell vom Einsatz des Google Consent Mode ab. Denn: Noch befindet sich der Google Consent Mode in der Beta-Phase. Beta bedeutet: Die Lösung kann zwar bereits eingesetzt werden, sie ist aber noch in einer erweiterten Testphase. Die Daten treffen noch nicht in Google Analytics ein. Auch kann es sein, dass die Implementierung für die offiziellen Version nochmals angepasst werden muss. Das wiederum würde für Sie zusätzlichen Aufwand bzw. zusätzliche Kosten für Ihre Entwickler bedeuten. Wir empfehlen deshalb noch bis zur offiziellen Veröffentlichung zu warten. Sobald es diese gibt, werden wir unserem Blog-Post natürlich sogleich aktualisieren.

Noch ein paar Hintergrundinformationen:

Mit welchen Consent-Managent-Tools lässt sich der Google Consent Mode nutzen?

Beispielsweise mit den in Deutschland überaus populären Lösungen von OneTrust und Cookiebot.

• OneTrust:
  https://my.onetrust.com/s/article/UUID-d81787f6-685c-2262-36c3-5f1f3369e2a7 (nur nach Anmeldung aufrufbar)
  bzw. https://community.cookiepro.com/s/article/UUID-d81787f6-685c-2262-36c3-5f1f3369e2a7 (auch ohne Anmeldung aufrufbar)
• Cookiebot: 
  https://support.cookiebot.com/hc/en-us/articles/360016047000 

Aber Moment! Ist es denn überhaupt erlaubt, die Daten von Google anonymisiert und aggregiert verarbeiten zu lassen, wenn keine Zustimmung des Website-Besuchers vorliegt?

Genau das ist die Kernfrage. Noch ist die Rechtslage nicht eindeutig, noch gehen die Meinung dahingehend auseinander. Der Grund: Es gibt bislang kein höchstrichterliches Urteil, ja es gibt noch nicht mal ein Urteil einer niedrigeren Instanz. 

Was es aber gibt ist das Urteil „Schrems II“ des EuGH. Es erklärt das EU-US Privacy Shield für unwirksam. Die Übertragung von personenbezogenen Daten (und dazu zählt auch die IP-Adresse) in die USA stellt damit grundsätzlich einen Verstoß gegen die DSGVO dar. Der Abschluss von Standardvertragsklauseln (SCC) mit Google kann (!) das Risiko senken, jedoch ist nicht gewiss, ob dies gerichtlich als ausreichend betrachtet würde. Letztlich betrifft dies jedoch bereits jeden Website-Betreiber ab dem Moment, wo er den Google Tag Manager nutzt. Es betrifft also letztlich Millionen von Menschen allein in Deutschland. Generell gilt: Die Nutzung von Google-Produkten wie Google Tag Manager, Google Analytics und Google Ads Conversion Tracking erfordert – wie so oft im Leben - eine sorgfältige Abwägung zwischen wirtschaftlichen Nutzen und potentiellen Risiko (z.B. einer Abmahnung). Wenn Sie hierbei sicher gehen wollen, dann holen Sie sich bitte Rat bei einem Rechtsanwalt ein. Alternativ können Sie auch den Ratschlägen von Dr. Schwenke folgen: datenschutz-generator.de/dsgvo-usa-muster-checkliste-scc 

Technische Tipps zur Implementierung
Sollten Sie sich für den Einsatz entscheiden und OneTrust nutzen, dann haben wir noch ein paar Tipps für Sie:
Grundsätzlich ist es möglich den Google Consent Mode komplett über den Google Tag Manager zu initialisieren. Hierzu ist es jedoch nötig, dass der Consent Mode Tag vor (!) allen anderen Tags gefeuert wird. Bewährt hat es sich einen Tag mit benutzerdefinierten HTML anzulegen und auf allen Seiten zu feuern, siehe Screen. 

In allen anderen Tags (inklusive des Consent Management-Tags) stellen Sie ein, dass diese erst nach dem oben abgebildeten Initialisierungs-Tag gefeuert werden. 

Zudem setzen Sie bei allen Tags (außer natürlich dem Initialisierungstag) den Trigger auf DOM-Ready. Denn nur so stellen Sie sicher, dass der DataLayer zum gtag() API Call bereits vollständig steht, siehe die beiden Screens.

Um nun herauszufinden, ob Daten wie gewünscht an Google übergeben werden, rufen Sie in den Chrome Dev Tools im Reiter Network die collect-Anfrage auf. Dort finden Sie in der URL den Parameter gcs=G1XX. G1 ist immer identisch. Danach folgen 2 Ziffern: 1 steht jeweils für Zustimmung und 0 für Ablehnung.

G100: ad_storage=denied; analytics_storage=denied = Keine Zustimmung, weder zu Marketing- noch zu Statistik-Cookies

G110: ad_storage=granted; analytics_storage=denied = Zustimmung zu Marketing-, nicht aber zu Statistik-Cookies

G101: ad_storage=denied; analytics_storage=granted  = Zustimmung zu Statistik-, nicht aber zu Marketing-Cookies

G111: ad_storage=granted; analytics_storage=granted = Zustimmung sowohl zu Marketing- als auch zu Statistik-Cookies

Weitere Informationen zum Google Consent Mode? Finden Sie hier:

Offizielle Dokumentation von Google:
support.google.com/analytics/answer/9976101;
developers.google.com/gtagjs/devguide/consent

(Englische) Anleitung zur Implementierung der Google Consent Modes über den Google Tag Manager:
www.simoahava.com/analytics/consent-mode-google-tags/