google consent mode v2

Der Google ConsentMode v2

/von

Ab März 2024 verlangt Google, den Google ConsentMode v2 bei Google Analytics verpflichtend einzusetzen, wenn weiterhin eine Erfolgsmessung bei Google Ads möglich sein soll. Hintergrund ist laut Google, dass es gemäß dem Digital Markets Act (DMA) der EU durch die Kommission als sogenannter Gatekeeper benannt wurde. Damit hat Google erweiterte Anforderungen zu erfüllen. Gatekeeper (in der deutschen Übersetzung des DMA “Torwächter” genannt) dürfen gemäß Art. 5 Abs. 2 des DMA

a) personenbezogene Daten von Endnutzern, die Dienste Dritter nutzen, welche zentrale Plattformdienste des Torwächters in Anspruch nehmen, nicht zum Zweck des Betriebs von Online-Werbediensten verarbeiten,

b) personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen,

c) personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht in anderen vom Torwächter getrennt bereitgestellten Diensten, einschließlich anderer zentraler Plattformdienste, weiterverwenden und umgekehrt und

d) Endnutzer nicht in anderen Diensten des Torwächters anmelden, um personenbezogene Daten zusammenzuführen,

außer wenn dem Endnutzer die spezifische Wahl gegeben wurde und er […] eingewilligt hat.

Mit diesen Anforderungen einher geht ein Paradigmenwechsel: Bislang wurden die notwendigen Einwilligungen für die Übermittlung an Google einfach durch die Verantwortlichen eingeholt, welche die Daten an Google übermittelt haben. Man ging dabei stets davon aus, dass Google die Daten schon rechtmäßig verarbeiten werde. Zudem ging man in Teilen auch davon aus, dass Google als Auftragsverarbeiter für den Verantwortlichen tätig ist und daher eine Einwilligung gegenüber dem Verantwortlichen ausreicht. Eine Einwilligung gegenüber Google wurde daher nie abgegeben. Nun ist Google selbst verpflichtet, diese Einwilligungen einzuholen und nachweisen zu können. Das ganze natürlich unter Einhaltung aller Regelungen der DSGVO, wozu auch die Transparenzpflichten der Art. 13 und 14 DSGVO gehören.

Google lagert die eigene Pflicht an die Webseitenbetreiber*innen aus

Um diesen Anforderungen nachkommen zu können wurde von Google nun der Consent Mode v2 eingeführt. Dieser verpflichtet die Betreiber*innen von Webseiten, die notwendigen Einwilligungen für Google einzuholen und auch an Google zu übermitteln. Das ganze kann weiterhin hinter einem Consent Manager versteckt werden. Interessant ist daran, dass neben der gesetzlichen Regelung durch die DSGVO, das BDSG, das TMG (das zukünftig voraussichtlich im Digitale Dienste Gesetz, DDG, aufgehen wird) und das TTDSG (das aufgrund des Wegfalls des TMG und des neu geschaffenen DDG zukünftig voraussichtlich TDDDG heißen wird, aber zu alledem bei entsprechender Gelegenheit mehr) nun auch noch Google Anforderungen an die Verantwortlichen stellt, die bei Verstoß auch zu entsprechender Sanktionierung durch Google führen können. Inwieweit es hier auch zu Vertragsstrafen in Form von Geld kommen wird, können wir nicht abschätzen, mindestens aber droht der Ausschluss von der Nutzung von Google Analytics und Co.

Alle Einwilligungen landen bei Google

Willigen die Nutzer*innen nun ein, müssen die Einwilligungen oder deren Widerruf an Google übermittelt werden. Google erfährt hier sehr feingranular, in welche Verarbeitungen die Nutzer*innen eingewilligt haben und in welche nicht. Spätestens hier wären wir bei der Nutzung raus. Problem ist, dass diese Übermittlung der Einwilligungen an Google durch die Regelungen des DMA erforderlich geworden ist. Uns gefällt das nicht so wirklich.

Basic Mode vs. Advanced Mode

Ab hier müssen wir eine zusätzliche Unterscheidung einführen: Google kennt nämlich den sogenannten “Basic Mode” und den “Advanced Mode”. Durch die reinen Bezeichnungen erweckt Google hier den Anschein, mit dem Basic Mode würden nur Grundfunktionalitäten gemeint. Das stimmt irgendwie auch, zumindest aus Sicht von Google. Der Basic Mode verhält sich nach der Ablehnung der Einwilligungen ähnlich wie Google Analytics sich bisher verhalten hat, wenn die Einwilligung nicht erteilt wurde: Es wird nichts geladen, es werden keine Cookies oder andere Speichertechnologien genutzt und Google erfährt nichts über das Verhalten der Nutzer*innen.

Anders sieht das bei der Nutzung des Advanced Mode aus. Wird er genutzt, werden auch bei Verweigerung der Einwilligung (und auch so lange die Nutzer*innen die Bitte, einzuwilligen, einfach ignorieren) Daten an Google gesendet. Diese “Ping” genannten Daten sind nach Aussage von Google anonym und es soll nicht möglich sein, Nutzer*innen anhand dieser Daten wieder zu erkennen. Analytics erhält also weniger und allgemeinere Informationen über das Verhalten der Nutzer*innen, wenn nicht eingewilligt wird.

Im Hintergrund passiert aber noch mehr: So wird beim Seitenaufbau der Google Tag Manager geladen. Über diesen werden dann die eben aufgeführten Pings in Richtung Google gesendet. Als einer der großen Vorteile des im Advanced Mode wird von Google die Tatsache verkauft, dass in diesem auch ohne weitere Einwilligung der Nutzer*innen eine Conversion-Messung möglich sein soll. Dies zwar anonym, aber dennoch nur möglich, sofern im Browser eine zufällig generierte PingID gespeichert wird.

Mehrfach-Einwilligung für Advanced Mode nötig

Und hier sind wir beim nächsten Problem: Speicherung von Daten im Browser, also auf den Endgeräten der Nutzer*innen. Dies ist laut § 25 TTDSG nur mit Einwilligung der Nutzer*innen zulässig, es sei denn, die Speicherung ist

unbedingt erforderlich […], damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das kann bei der Erfolgsmessung von Anzeigen kaum angenommen werden. Damit ist bereits für die Nutzung des Advanced Mode eine Einwilligung erforderlich, gleich ob die im Nachgang einzuholende Einwilligung für Google Analytics erteilt wird.

Werden auf den Endgeräten der Nutzer*innen nun personenbezogene Daten gespeichert oder von diesen abgerufen, wird noch eine Dritte Einwilligung notwendig, denn diese Verarbeitung muss gemäß Art. 6 Abs. 1 DSGVO legitimiert werden. Beim Besuch von Webseiten und der damit zusammenhängenden Reichweitenmessung und der Messung von Ad Conversions fehlt uns leider jegliche Fantasie bezüglich einer Rechtsgrundlage, die nicht die Einwilligung ist.

Insgesamt wird man also 3 (in Worten: drei) Einwilligungen benötigen, um den Google Consent Mode v2 im Advanced Mode laden und nutzen zu dürfen.

Google Analytics ohne Ad Conversions

Interessant ist, dass der gesamte Google Consent Mode v2 entfallen kann, wenn Google Analytics ohne Ad Conversions eingesetzt werden soll. In diesem Fall bleibt also vorerst(?) alles beim Alten.

Fazit

Aus unserer Sicht praktikabel und gleichzeitig zumindest nicht noch weniger datenschutzkonform als bisher lässt sich der Google Consent Mode v2 nur im Basic Mode einsetzen. Wird dort die notwendige Einwilligung verweigert, wird nichts nachgeladen, es werden keine Cookies gesetzt oder auf andere Weise auf die Endgeräte der Nutzer*innen zugriffen. Es werden keine mehr oder weniger anonymen Daten an Google gesendet. Kurz gesagt: Keine Einwilligung heißt, keine Daten an Google.

Unsere Empfehlung lautet übrigens weiterhin: Prüfen Sie bitte, ob ein Tracking überhaupt nötig ist. Und ob Ad Conversions wirklich gemessen werden müssen. Und wie viele und welche Daten Sie benötigen. Und wenn das alles nötig ist, ob vielleicht ein anderes Tool (Matomo selbstgehostet?) ebenfalls möglich wäre.

Und: Bitte vergessen Sie nicht, die Datenschutzhinweise Ihrer Webseite anzupassen.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeldEuGH entscheidet zu deutscher Bußgeldpraxis – beide Seiten jubeln
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichAufgezwungene besondere Kategorien personbezogener Daten
berechtigungen zugriff führungskraft chefWelche Daten dürfen Führungskräfte und Kolleg*innen sehen?
Wann wird eine Einwilligung beim Einsatz von Matomo benötigt?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichFrist für die Erteilung von Auskünften: Unverzüglich
facebook fanpageAufsichtsbehörden fordern Abschaltung von Facebook-Fanpages von Behörden