Die Nutzung des neuen Google-Einwilligungsmodus (im Englischen als Consent Mode bekannt) wird ab März 2024 für Webseitenbetreiber verpflichtend, die bestimmte Google-Produkte auf ihrer Seite einbinden. Was es mit dem Consent Mode auf sich hat, warum er die regulären Consent Manager nicht ersetzen kann und welche datenschutzrechtlichen Hürden es bei der Nutzung zu überwinden gilt, werden wir in diesem Artikel beleuchten.
Was ist der Google Consent Mode?
Der Google Consent Mode ist eine Schnittstelle, die es Webseiten ermöglicht, die Einwilligung der Nutzer in Bezug auf Cookies und Tracking-Technologien zu managen. Er passt das Verhalten von Google-Diensten wie Google Analytics und Google Ads basierend auf den Einwilligungsentscheidungen der Nutzer an. Dies bedeutet, dass die Datenerfassung und -verarbeitung je nach Zustimmung oder Ablehnung der Nutzer modifiziert wird.
Allerdings dient der Consent Mode nicht als Ersatz für eine Consent Managementplattform (auch als „Cookie-Banner“ bekannt). Viel mehr soll es die vom User getätigte Cookie-Entscheidung an Google übermitteln. Aktuell unterstützen folgende Google Tags den Consent Mode:
Wir möchten uns in diesem Beitrag insbesondere mit Google Analytics befassen.
Einführung des Consent Mode und die Rolle des Digital Market Acts (DMA)
Der Consent Mode existierte in seiner ersten Version bereits im Jahr 2021. Die Zahl der Menschen, die online einkauften, wuchs stetig und damit auch das Bedürfnis der Onlinehändler, die Effektivität ihrer Werbemaßnahmen messbar zu machen. Gleichzeitig stiegen die Anforderungen im Datenschutz, womit eine effektive Messung der Conversionrates in vielen Fällen nur noch mit einer Einwilligung des Websitebesuchers möglich war. Mit dem Consent Mode sollte es Websitebetreibern möglich sein, genau diesen Spagat zwischen Datenschutz und Tracking zu meistern.
Der Consent Mode übermittelt die Einwilligungsentscheidung des Users im Cookie-Banner an Google. Stimmt der Websitebetreiber dem Tracking zu, so werden die Dienste (wie Google Analytics) regulär aktiviert. Lehnt der User ab, so wird auch diese Entscheidung an Google weitergeleitet. Dabei werden u.a. die IP-Adresse, Geräteinformationen wie Sprache oder Bildschirmauflösung und die vollständige URL der besuchten Seite, die ggf. Informationen zu Anzeigenklicks in URL-Parametern (z. B. GCLID/DCLID) enthält.
Google hat über den Consent Mode also trotz nicht vorhandener Einwilligung einige personenbezogene Daten des Websitebesuchers erhalten. Der Websitebetreiber konnte diese Daten aber nicht in direkt in seinem Analytics-Dashboard sehen und messen, sondern hat stattdessen aggregierte Daten zur geschätzten Conversion von Google erhalten. Kritiker bemängelten, dass auf diese Weise nur Google vom Consent Mode profitiere, während der Websitebetreiber qualitativ schlechte Datensätze erhalte. Befürworter nutzten den Consent Mode, um auch die Conversions von solchen Websitebetreibern vorhersagen zu können, die keine Einwilligung zum Tracking erteilt hatten.
Bei der Verhaltensmodellierung werden mithilfe von Google KI beobachtbare Daten und historische Trends analysiert und die Beziehung zwischen zugestimmten und nicht zugestimmten Nutzern quantifiziert.
Google Hilfe-Artikel
Die Verhaltensmodellierung war im Rahmen des Consent Mode aber nicht ohne eine Einwilligung möglich. Anders gesagt: Um die Entscheidung des Users gegen eine Datenübertragung an Google zu übermitteln, benötigte man eine Einwilligung – ein Paradoxon. Der Consent Mode war in dieser Form also nicht datenschutzkonform.
Mit der Einführung des Digital Markets Acts (DMA) ist Google nun als ein sogenannter „Gatekeeper“ (= marktbeherrschende Anbieter einer Online-Plattform) dazu verpflichtet, eine Einwilligung des Websitebesuchers einzuholen, bevor dessen Daten für Werbezwecke verarbeitet werden. Indem Google die Nutzer seiner Dienste, respektive Google Analytics und Google Ads, zur Nutzung des Consent Mode verpflichtet, delegieren sie die Einholung einer Einwilligung an die einzelnen Websitebetreiber.
Erweiterte Implementierung und einfache Implementierung
Der Consent Mode kann auf verschiedene Weisen implementiert werden, deren Auswahl für die datenschutzrechtliche Bewertung des Tools von essenzieller Bedeutung sind.
Die erweiterte Implementierung meint die zuvor beschriebene Vorgehensweise, bei der der Einwilligungsstatus inkl. personenbezogener Daten des Websitebesuchers in Form von „Pings“ an Google übermittelt wird.
Bei der einfachen Implementierung werden sämtliche Google Tags blockiert, bis der User seine Zustimmung erteilt hat. Die zuvor skizzierte Verhaltensmodellierung ist in diesem Fall nicht möglich. Die einfache Implementierung sendet also nur dann Daten an Google, wenn der User explizit zustimmt. Stimmt der User nicht zu, so erhält Google bei dieser Form der Einbindung keine Pings und damit auch keine personenbezogenen Daten.
Erweiterte Implementierung | Einfache Implementierung | |
|---|---|---|
Tag-Verhalten |
|
|
Verhaltensmodellierung in GA4 | Ja | Nein |
Conversion-Modellierung in GA4 | Ja | Ja* |
Conversion-Modellierung in Google Ads | Ja | Ja* |
*Sind Tags aufgrund der Einstellungen für die Nutzereinwilligung blockiert, werden keine Daten erhoben. Für die Conversion-Modellierung in Google Ads wird dann ein allgemeines Modell verwendet. Für die Modelle werden Merkmale wie Browsertyp, Typ der Conversion-Aktion, Tageszeit und andere allgemeine, nicht identifizierende Variablen genutzt.
Quelle: https://support.google.com/analytics/answer/9976101
Datenschutzrechtliche Einordnung des Consent Mode
Bei der Bewertung des Einwilligungsmodus soll zwischen der einfachen und der erweiterten Implementierung unterschieden werden.
Einfache Implementierung
Hierbei werden nur dann Daten an Google übermittelt, wenn der Nutzer zuvor in die Datenverarbeitung eingewilligt hat. Rechtsgrundlage für die Datenübermittlung ist damit Art. 6 Abs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TTDSG. Auch bei der einfachen Implementierung sind aus Sicht des Datenschutzes einige Punkte zu beachten, die später näher beleuchtet werden.
Erweiterte Implementierung
Die erweiterte Implementierung bietet aus Marketing-Sicht einige Vorteile, bringt aber auch datenschutzrechtliche Hürden mit sich. Um den Consent Mode in dieser Form bewerten zu können, muss man sich die in Deutschland geltende Rechtslage anschauen. Für diese Bewertung relevant sind das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die Datenschutz-Grundverordnung (DSGVO) sowie die aktuelle Rechtsprechung in diesem Bereich.
DSGVO
Für die Übermittlung der im Ping enthaltenen personenbezogenen Daten kommen zunächst folgende Rechtsgrundlagen infrage:
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Letzteres setzt eine Interessenabwägung voraus, die zugunsten des Websitebetreibers ausfällt. Ein solches Ergebnis ist gleich aus mehreren Gründen unwahrscheinlich, in erster Linie, weil der Hauptprofiteur der Pings weder der Websitebetreiber noch der Websitebesucher ist, sondern Google. Ferner ist die Wahrscheinlichkeit, dass eine Interessenabwägung zugunsten des Websitebetreibers ausfällt, der Daten in aggregierter Form erhält und damit nicht das volle Potenzial ausschöpfen kann, auch im Kontext der Aussagen der Gerichte und Aufsichtsbehörden zum Thema Tracking, eher gering.
TTDSG
Laut dem TTDSG ist die Speicherung oder der Zugriff auf Informationen in der Endeinrichtung des Nutzers nur nach dessen vorheriger Einwilligung erlaubt (§ 25 TTDSG). In § 25 Abs. 2 TTDSG werden zwei Ausnahmen definiert, von der folgende in Erwägung gezogen werden kann:
[Eine Einwilligung ist nicht erforderlich,] „wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Auch hier soll wieder der Fall betrachtet werden, bei dem ein Websitebesucher der Datenerfassung durch Google Analytics nicht zustimmt. Dabei würde ein Ping an Google gesendet werden, welches, wenn man zuvor zitierten Paragrafen zugrunde legt, unbedingt erforderlich sein muss, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen. Lässt man andere Möglichkeiten der Einbindung des Consent Mode außen vor, bei der keine Pings gesendet werden (s. Einfache Implementierung), so müsste im nächsten Schritt die Erforderlichkeit von Google Analytics betrachtet werden. Hier haben sich die Aufsichtsbehörden bereits klar positioniert und Trackingdienste, die Daten an Dritte weitergeben, als einwilligungspflichtig bewertet.
Sie benötigen Unterstützung im Online-Datenschutz?
Unsere Experten helfen Ihnen, bei der Vielzahl an Gesetzen und Regelungen den Überblick zu behalten.
Serverseitiges Tracking
Das serverseitige Tracking wird von vielen Websitebetreibern als datenschutzfreundliche Alternative zum Tracken von Websitebesuchern ohne eine vorherige Einwilligung gewählt. Das Prinzip des serverseitigen Trackings basiert auf der Erfassung von Nutzerdaten durch den Server der Webseite, anstatt Daten direkt vom Browser der Nutzer an Google zu senden. Zu den erfassten Informationen gehören typischerweise die IP-Adresse, Referrer-URL, besuchte URLs und Zeitpunkte des Zugriffs. Ein zentraler Aspekt des serverseitigen Trackings ist die Pseudonymisierung der gesammelten Daten. Dies bedeutet, dass persönliche Identifikatoren wie IP-Adressen durch Pseudonyme ersetzt werden, bevor die Daten an Google weitergeleitet werden. Eine solche Maßnahme erhöht den Datenschutz insofern, als dass sie die direkte Zuordnung der Daten zu einem individuellen Nutzer erschwert.
Obwohl serverseitiges Tracking durch die Pseudonymisierung und die Nicht-Speicherung von Cookies auf Nutzergeräten die datenschutzrechtlichen Risiken senkt, bleibt die rechtliche Lage bezüglich der Einwilligungspflicht komplex. Zwar könnte die Einwilligungspflicht nach § 25 TTDSG aufgrund der Tatsache, dass die Nutzerdaten nicht direkt im Endgerät ausgelesen werden, entfallen. Gleichwohl bleibt vermutlich die Einwilligungspflicht nach der DSGVO, zumindest wenn man den Meinungen verschiedener europäischer Aufsichtsbehörden folgt (darunter Österreich, Italien, Frankreich und Norwegen). Demzufolge könne Google aufgrund der Menge an Daten, die es über jeden einzelnen Nutzer bereits gesammelt hat, auch pseudonymisierte Daten auslesen und verwenden.
Damit ist serverseitiges Tracking im Vergleich mit regulärem Tracking ohne Einwilligung zwar eine datenschutzfreundlichere Alternative, aber trotzdem nicht risikofrei.
Best Practices
Möchte man Google Produkte wie Analytics, Ads und Floodlight weiter in vollem Funktionsumfang nutzen, muss man ab März den Google Consent Mode verwenden. Der Consent Mode dient als Schnittstelle zwischen Consent Management Plattform („Cookie-Banner“) und Google und muss deshalb im CMP eingerichtet werden. Hierzu hat Google Anleitungen veröffentlicht, bei vielen CMP-Anbietern ist der Consent Mode aber bereits integriert und kann im jeweiligen Userdashboard konfiguriert werden.
Die Nutzung des Einwilligungsmodus ist bei einer erweiterten Implementierung zunächst nicht datenschutzkonform möglich. Lediglich bei der Einrichtung eines serverseitigen Trackings, die mit zusätzlichen Kosten verbunden ist, können sich datenschutzrechtliche Vorteile ergeben. In diesem Fall muss der Websitebetreiber aber seinen Informationspflichten nachkommen und den Websitebesucher über die Datenverarbeitung transparent informieren. Die französische Aufsichtsbehörde CNIL hat das serverseitige Tracking ferner an folgende Voraussetzungen geknüpft:
Alternativen zum Consent Mode
An der Implementierung des Consent Mode führt ab März 2024 kein Weg vorbei, sofern man die genannten Google Produkte weiter einsetzen will. Doch es gibt datenschutzfreundliche Alternativen zu Google Analytics, mit denen man unter bestimmten Voraussetzungen auch ohne eine Einwilligung tracken kann. So könnte der Einsatz von eigens gehosteten Tools wie Matomo oder Piwik Pro nach Ansicht der Aufsichtsbehörden auch unter Einbezug des § 25 TTDSG rechtskonform sein. In vielen Fällen bleibt das aber eine Einzelfallentscheidung, die Sie mit Ihrem Datenschutzbeauftragten eruieren sollten.
Fazit
Der Consent Mode nützt in erster Linie Google, die ihre Verpflichtung zur Erhebung von Einwilligungen aus dem Digital Markets Act an die Websitebetreiber delegieren. Vorteile für die Websitebetreiber würden sich lediglich aus der Nutzung des erweiterten Consent Mode ergeben, welcher aber nicht datenschutzkonform ist. Mit der Einrichtung eines serverseitigen Trackings senkt man zwar datenschutzrechtliche Risiken, aber auch diese Variante ist nicht risikofrei.
Damit ist aus Sicht des Datenschutzes die einfache Implementierung des Consent Mode zu empfehlen, sofern man auf die Nutzung der Google Produkte angewiesen ist. Eine Alternative hierzu bieten eigens gehostete Trackingtools ohne Datenweitergabe an Drittanbieter. Da diese unter bestimmten Voraussetzungen auch ohne Einwilligung eingesetzt werden können, bieten sich ggf. auch Vorteile aus Marketingsicht, schließlich können alle Websitebesucher erfasst werden.
Wer auf die Nutzung von Google Produkten angewiesen ist, sollte den Consent Mode nach dem Schema der einfachen Implementierung einbinden.
Daniel Lüttgens
