Google Consent Mode

Was steckt hinter dem Google Consent Mode? Ist es datenschutzrechtlich erlaubt, ihn zu nutzen? Oder stellt es einen Verstoß gegen die DSGVO dar?

Jürgen Zöllner

Jürgen Zöllner 06. Dezember 2020 ·

Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter. Weitere Informationen? Finden Sie hier: Cookie Consent-Management-Beratung.

Letztes Update: 6.12.2020

Der Datenschutz ist ein heißes Eisen, dem ist sich auch Google bewusst. Genau deshalb arbeitet der Online-Gigant aus Mountain View mit Hochdruck an eigenen Lösungen, um den Anforderungen des Datenschutzes noch besser gerecht zu werden. Die neueste (Beta) Lösung für die Erfolgsmessung mit Google Analytics und Google Ads: Google Consent Mode.

Was verbirgt sich hinter dem Google Consent Mode?

Ins Deutsche übersetzen lässt es sich mit Einwilligungsmodus. Hierbei handelt es sich nicht um einen weiteren Cookie-Banner wie Sie ihn bereits von unzähligen Websites kennen. Vielmehr ist es eine technische Schnittstelle (API) zu Google. Über diese Schnittstelle teilen Sie Google mit, ob, und falls ja, für welche Cookie-Kategorien sich ein Besucher Ihrer Website entschieden hat. Zugleich weisen Sie Google an, wie damit zu verfahren ist. 

Das klingt jetzt komplexer als es tatsächlich ist. Machen wir es also an einem Beispiel fest:

Sie verwenden auf Ihrer Website Google Analytics, um auszuwerten, wie sich Ihrer Website-Besucher verhalten Und das Google Ad Conversion Tracking, um zu messen, wie erfolgreich Ihre Werbekampagnen bei Google sind. Bevor Sie diese beiden Trackings aktivieren, holen Sie per Cookie-Banner die explizite Zustimmung durch die Website-Besucher ein. Ein Besucher Ihrer Website lehnt nun alle Cookies ab. In diesem Fall teilen Sie Google über die Schnittstelle mit: 

1) „analytics_storage: denied“

... veranlasst Google dazu die Daten - nach eigenen Worten - zu anonymisieren und nur noch aggregiert zu erfassen. Aggregiert bedeutet: Ein Kauf wird zwar erfasst (über Zeitstempel, User-Agent und Verweisadresse). Sie sehen somit durchaus woher der Käufer kam (z.B. von einer Google Anzeige). Was Sie aber nicht sehen, ist wie sich der Nutzer während seines Besuchs (bzw. während seiner Sitzung) vor dem Kauf auf Ihrer Website verhalten hat. Auch sehen Sie keine demografischen Daten (Alter, Geschlecht etc.) 

„analytics_storage: granted“ sorgt hingegen dafür, dass über Google Analytics die Daten regulär erfasst und verarbeitet werden.

2) „ad_storage: denied”

... führt dazu, dass Google keinen Marketing-Cookie setzt und die Konversionen (Umsätze, Anmeldungen etc.) - nach eigenen Worten – nur noch anonymisiert“ und aggregiert zu erfassen. Dies bedeutet auch: Bestehende Cookies werden nicht ausgelesen. Wenn also jemand beispielsweise vor 10 Tagen auf eine Google Anzeige geklickt hat und dabei einen Cookie erhielt, dann wird dieser nun nicht ausgelesen. Die Konversion kann somit nicht auf den Anzeigenklick zurückgeführt werden. 

„ad_storage: granted” gibt hingegen grünes Licht für das reguläre Tracking.

Kann ich den Google Consent Mode schon für meine Website einsetzen?

Grundsätzlich ja. Aber: Noch befindet sich der Google Consent Mode in der Beta-Phase. Beta bedeutet: Die Lösung kann zwar bereits eingesetzt werden, sie ist aber noch in einer erweiterten Testphase. Deshalb kann es zu mehr oder weniger gewichtigen Fehlern kommen. Auch kann es sein, dass die Implementierung für die offiziellen Version nochmals angepasst werden muss. Das wiederum würde für Sie zusätzlichen Aufwand bzw. zusätzliche Kosten für Ihre Entwickler bedeuten. Wir empfehlen deshalb bei Lösung in der Beta-Version in der Regel noch bis zur offiziellen Veröffentlichung zu warten.

Mit welchen Consent-Managent-Tools lässt sich der Google Consent Mode nutzen?

Beispielsweise mit den in Deutschland überaus populären Lösungen von OneTrust und Cookiebot.

Aber Moment! Ist es denn überhaupt erlaubt, die Daten von Google anonymisiert und aggregiert verarbeiten zu lassen, wenn keine Zustimmung des Website-Besuchers vorliegt?

Genau das ist die Kernfrage. Noch ist die Rechtslage nicht eindeutig, noch gehen die Meinung dahingehend auseinander. Der Grund: Es gibt bislang kein höchstrichterliches Urteil, ja es gibt noch nicht mal ein Urteil einer niedrigeren Instanz. 

Was es aber gibt ist das Urteil „Schrems II“ des EuGH. Es erklärt das EU-US Privacy Shield für unwirksam. Die Übertragung von personenbezogenen Daten (und dazu zählt auch die IP-Adresse) in die USA stellt damit grundsätzlich einen Verstoß gegen die DSGVO dar. Der Abschluss von Standardvertragsklauseln (SCC) mit Google kann (!) das Risiko senken, jedoch ist nicht gewiss, ob dies gerichtlich als ausreichend betrachtet würde. Wenn Sie hierbei sicher gehen wollen, dann holen Sie sich bitte Rat bei einem Rechtsanwalt ein. Alternativ können Sie auch den Ratschlägen von Dr. Schwenke folgen: datenschutz-generator.de/dsgvo-usa-muster-checkliste-scc

 

Unser Resümee

Die Nutzung von Google-Produkten wie Google Analytics und Google Ads Conversion Tracking erfordert – wie so oft im Leben - eine sorgfältige Abwägung zwischen wirtschaftlichen Nutzen und potentiellen Risiko (z.B. einer Abmahnung). Halten Sie im Zweifel mit Ihrem Justitiar oder einen externen fach- und sachkundigen Rechtsanwalt Rücksprache. Wenn Sie sich für diese Produkte von Google entscheiden, dann empfehlen wir aufgrund der unklaren Rechtslage und im Sinne der Risikominimierung auf den Google Consent Mode zu verzichten und stattdessen die Cookie-Entscheidung des Website-Besuchers (z.B. gegen Marketing-Cookies) konsequent umzusetzen.  

 

Weitere Informationen zum Google Consent Mode? Finden Sie hier:

Offizielle Dokumentation von Google:
support.google.com/analytics/answer/9976101;

(Englische) Anleitung zur Implementierung der Google Consent Modes über den Google Tag Manager:
www.simoahava.com/analytics/consent-mode-google-tags/ 

Teilen Sie diesen Artikel

Verwandte Artikel

Fragen? Wir haben Antworten.

Ich will was wissen →