Google Consent Mode V2
Was steckt hinter dem Google Consent Mode V2? Ist es datenschutzrechtlich überhaupt erlaubt, ihn zu nutzen? Oder stellt es einen Verstoß gegen die DSGVO dar?
Jürgen Zöllner 11. Februar 2024 ·
Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter. Weitere Informationen? Finden Sie hier: Cookie Consent-Management-Beratung.
Durch die DSGVO ist klar geregelt: Ohne Zustimmung der Website-Besucher dürfen nur Cookies gesetzt und externe Scripte eingebunden, die technisch notwendig sind (z.B. für den Warenkorb oder die Bezahlfunktionen). Für alle anderen bedarf es einer expliziten Einwilligung durch die Website-Besucher.
Die Einwilligungsrate für technisch nicht notwendige Cookies (z.B. Google Analytics) liegt aktuell bei 60 bis 75 %. Bedeutet im Umkehrschluss: Jeder dritte bis vierte Website-Besucher wird nicht erfasst. Das ist auch für Google ein Handicap. Denn nur mit ausreichend Conversion-Daten lässt sich die Wirksamkeit und Rentabilität von Google Ads gegenüber den Werbetreibenden belegen. Außerdem benötigt der Algorithmus möglichst viele Daten, um die Anzeigenkampagen auf die jeweilige Zielgruppe zu optimieren. Google hat also ein vitales Interesse an möglichst vielen Daten.
Genau deshalb arbeitet der Online-Gigant aus Mountain View mit Hochdruck an Lösungen, um auch bei abgelehnten Cookies Daten erfassen zu können und gleichzeitig den Anforderungen des Datenschutzes noch besser gerecht zu werden.
Die neueste, im Dezember 2023 ausgerollte Lösung für die Erfolgsmessung mit Google Analytics und Google Ads: Google Consent Mode V2.
Was verbirgt sich hinter dem Google Consent Mode V2?
Ein Einwilligungsmodus. Es handelt sich aber nicht um einen weiteren Cookie-Banner wie Sie ihn bereits von unzähligen Websites kennen. Vielmehr ist es eine technische Schnittstelle (API) zu Google. Über diese Schnittstelle teilen Sie Google mit, ob, und falls ja, für welche Cookie-Kategorien sich ein Besucher Ihrer Website entschieden hat. Zugleich weisen Sie Google an, wie damit zu verfahren ist. Die Idee dahinter ist, dass die Tracking-Tags von Google auch bei einer Ablehnung von Cookies dennoch Daten (sogenannte Pings) an Google senden. Google wiederum verwendet diese Daten, um z.B. die erzielten Umsätze zu modellieren.
Machen wir es also an einem Beispiel fest: Sie verwenden auf Ihrer Website Google Analytics, um auszuwerten, wie sich Ihrer Website-Besucher verhalten. Und das Google Ad Conversion Tracking, um zu messen, wie erfolgreich Ihre Werbekampagnen bei Google sind.
Hierfür gibt es nun zwei Möglichkeiten: den Basic und den Advanced Mode.
„Basis Mode“ (im Deutschen „Einfache Implementierung“ genannt)
Bevor die beiden Trackings ausgeliefert werden, holen Sie per Cookie-Banner die Einwilligung durch die Website-Besucher ein. Wenn jemand Cookies ablehnt, werden überhaupt keine Signale an Google gesendet (also auch nicht „denied“). Nur wenn die Besucher den Statistik- und Marketing-Cookies zustimmen, teilen Sie Google „granted“ über die Schnittstelle mit:
- „analytics_storage: granted“ - Dies sorgt dafür, dass über Google Analytics 4 die Daten regulär erfasst und verarbeitet werden.
- „ad_storage: granted”– Dies gibt grünes Licht für das Tracking mit Google Ads. Ab März 2024 wird dieses Signal automatisch von Google für „ad_user_data“ übernommen.
- „ad_user_data: granted” und „ad_personalization: granted” gibt grünes Licht für das Erfassen von Zielgruppen für das Remarketing. Achtung: Ab März 2024 ist „ad_personalization: granted” obligatorisch! Ohne dieses Signal werden die Zielgruppenlisten nicht mehr gefüllt. Dies bisherigen Listen laufen aus und binnen weniger Monate ist ein Remarketing nicht mehr möglich.
„Advanced Mode“ (im Deutschen „Erweiterte Implementierung“ genannt)
Die Trackings (z.B. für Google Analytics und Google Ads) werden immer ausgeliefert und alle (!) Besucher ohne den Einsatz von Cookies angepingt. Also auch Besucher, die Cookies ablehnen. Damit kann Google erfassen wie viele der Besucher keinen Consent gegeben haben und die Modellierung der Käufe noch genauer machen.
Wenn also Besucher Ihrer Website Cookies ablehnen, werden folgende Signale an Google gesendet:
- „analytics_storage: denied“
... veranlasst Google dazu die Daten über den Besuch - nach eigenen Worten - zu anonymisieren und nur noch aggregiert zu erfassen. Dies ermöglicht es Google das Verhalten und die Conversions noch besser zu modellieren. - „ad_storage: denied”
... führt dazu, dass Google keinen Marketing-Cookie setzt und die Konversionen (Umsätze, Anmeldungen etc.) - nach eigenen Worten – nur noch anonymisiert und aggregiert zu erfasst. Dies bedeutet auch: Bestehende Cookies werden nicht ausgelesen. Wenn also jemand beispielsweise vor 10 Tagen auf eine Google Anzeige geklickt hat und dabei einen Cookie erhielt, dann wird dieser nun nicht ausgelesen. Die Konversion kann somit nicht auf den Anzeigenklick zurückgeführt werden
Quelle: Google (11.02.2024), support.google.com/analytics/answer/9976101
Aber Achtung!
In meinen Augen stellt der „Advanced Mode“ einen klaren Verstoß gegen die DSGVO dar. Denn bei jedem Ping wird die IP des Users an Google übertragen. Und ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO lässt sich argumentativ absolut nicht ableiten. Wir raten deshalb dringend vom „Advanced Mode“ ab!
Einrichtung des Google Consent Modes V2 im „Basic Mode“ mit OneTrust und den Google Tag Manager
1) In OneTrust unter „Einrichten“ in den Geolokalisierungsregeln den Schalter zum "Google-Einwilligungsmodus“ aktivieren und die entsprechenden Kategorien zuweisen.
2) Im Google Tag Manager sind in den Google Tags (GA4, Conversion Linker etc.) bereits Einwilligungsprüfungen integriert. Bei „Zusätzliche Einwilligungsprüfung“ -> „Keine zusätzlicher Einwilligung“ wählen.
3) Den Triggertyp für die Tags mit dem Script von OneTrust von „Seitenaufruf“ zu „Initialisierung der Einwilligung“ ändern. Damit wird sichergestellt, dass dieser Tag immer vor allen anderen Tags gefeuert wird. Selbiges gilt für Tags mit etwaigen CSS-Fixes für die Darstellung des Cookie-Banners.
4) Im GTM unter Verwaltung / Containereinstellung einen Haken bei „Einwilligungsübersicht aktivieren“ setzen. Anschließend kann in der Tag-Übersicht oben rechts über ein Icon eine Übersicht der Einwilligungen aufgerufen werden.
5) Abschließend gilt es den Consent im Tag Assistent des GTM (über den Button „In Vorschau ansehen“und / oder im DevTools von Chrome zu testen.
Tipp:
Zusätzlich (und unabhängig von Google Consent Mode) sicherstellen, dass die Pages auf der Impressums- und Datenschutzseite ohne Cookie-Consent aufrufbar sind. Hintergrund: § 5 Telemediengesetz (TMG)
Weitere Informationen zum Google Consent Mode? Finden Sie hier:
Offizielle Dokumentation von Google:
https://support.google.com/analytics/answer/9976101?hl=de
https://developers.google.com/tag-platform/security/guides/consent?hl=de&consentmode=advanced
https://support.google.com/tagmanager/answer/13695607?hl=en
Großartige technische Details zum Google Consent Mode V2 von Simo Ahava:
https://www.simoahava.com/analytics/consent-mode-v2-google-tags/
