Seit Ende 2020 ist der Google Consent Mode verfügbar und seitdem scheiden sich die Geister. Ist er gut? Ist er schlecht? Brauchst du ihn? Jetzt? Morgen? Irgendwann? Und was ist das überhaupt? Die Antworten dazu findest du in diesem Blogartikel sowie eine Liebeserklärung an Cookiebot.
Disclaimer: Dieser Blogartikel liefert dir einen Überblick über den Google Consent Mode und das Consent Management Tool „Cookiebot“. Es sind Best Practice Empfehlungen, jedoch keine rechtssicheren Auskünfte. Bitte informiere dich unbedingt über die DSGVO-Vorgaben deiner Firma und nimm vor der Umsetzung meiner Empfehlungen ggfs. entsprechende Anpassungen vor.
August 2021: Update auf die neuen Consent Settings im GTM. Den Google Consent Mode kann ich derzeit dennoch nicht empfehlen.
Inhalt
- 1 DSGVO: Consent ist King🤴
- 2 Was ist der Google Consent Mode?
- 3 Consent Mode != Consent Management Tool
- 4 Schnellstart-Anleitung: Consent Mode Implementierung MIT Cookiebot🍪
- 5 Consent Mode OHNE Cookiebot🍪
- 6 Consent Mode mit anderen CMPs nutzen?
- 7 Testing: Google Consent Mode
- 8 GCM Details: Cookieless Google Analytics
- 9 Fazit und warum ich den GCM sofort wieder entfernt habe
- 10 Nachteile: Google Consent Mode
- 11 Vorteile: Cookiebot
- 12 Fragen?
DSGVO: Consent ist King🤴
Seit Mai 2018 ist die Datenschutz Grundverordnung (DSGVO) die datenschutzrechtliche Grundlage für das Erfassen, Verarbeiten und Speichern von personenbezogenen Daten in der EU.
Personenbezogene Daten: Das sind Daten, die eindeutig einer bestimmten Person zugeordnet werden können. Im Internet sind das bspw
- Email Adressen,
- IP Adressen,
- Kundennummern (UserID) und
- Cookies (ClientID).
Auf Email Adressen, IP Adressen und Kundennummern kann in der Webanalyse und generell im digitalen Marketing (wenn auch schweren Herzens) verzichtet werden.
Auf Cookies🍪 aber nicht, denn Google Analytics braucht Cookies um Interaktionen die User innerhalb einer Sitzung vornehmen eben dieser Sitzung zuordnen zu können.
Dafür setzt Google Analytics ein first-party Cookie Namens _ga:
Screenshot: Google Analytics Cookie _ga
Noch wichtiger: Anzeigensysteme wie Google Ads oder Werbenetzwerke wie das Google Display-Netzwerk (GDN) setzen sogenannte third-party Cookies um ebenfalls Informationen über Nutzer zu sammeln, die in weiterer Folge zur Optimierung der Anzeigen beitragen.
First-party vs. Third-Party Cookies: First Party Cookies werden von Websites gesetzt auf der User gerade surfen bspw das Google Analytics Cookie von meiner ANALYTICSkiste in deinem Browser.
Third Party Cookies werden hingegen durch Dritte gesetzt. Üblicherweise sind das Advertiser wie Google Ads um Werbung zu schalten bzw. zu optimieren.
Statt nerviger random Werbung, die nach dem Gießkannenprinzip verschüttet wird, erhältst du durch Cookies also exakt auf dich zugeschnittene, personalisierte Werbung. Stichwort: Profiling.
Eigentlich gar nicht soooo dramatisch, denn statt der hundertsten Auto-Werbung, die mich derzeit nicht interessiert, bekomme ich
- Banner für Analytics-Konferenzen die demnächst stattfinden (yeah, geil – angemeldet!🤓),
- Aktionen von einem österreichischen Supermarkt, bei dem ich Corona-bedingt online einkaufe und somit nicht vor die Türe gehen muss (awesome!💸),
- Werbung, dass mein Lieblings-Eissalon geöffnet hat (25.2.21 → omg! Heute gibt’s das erste Eis des Jahres.🍨😍)
Ist das ein Nachteil? Ich finde nein.
Doch die DSGVO verbietet das Setzen von Cookies – auch wenn diese nur über random IDs (ClientIDs) verfügen. Da die random ID im Browser für zumindest sieben Tage gültig ist und den User somit eindeutig re-identifizieren kann, dürfen Cookies eben nicht mehr einfach so gesetzt werden.
Die Lösung: Man holt sich einfach die Zustimmung (auf Englisch: Consent), denn nicht mehr nur Content sondern auch Consent ist mittlerweile King.
Deswegen wurde spätestens seit Mai 2018 das ganze Internet mit nervigen Cookie-Bannern geflutet, die händeringend um die Zustimmung für das Setzen von Cookies werben: Magst du einen Keks? 🍪
Hinweis: Als treuer Webanalyst klicke ich natürlich überall ganz brav auf “zustimmen”, denn das wünsche ich mir von meinen Blogartikel-Lesern auch.
Zusätzlich hat auch Google auf die DSGVO reagiert und (wenn auch mit ein paar Jährchen Verspätung) in Google Analytics einige neue Datenschutzeinstellungen vorgenommen.
Hinweis: Eine Liste aller Datenschutzeinstellungen in Google Analytics findest du hier im Google Support Center.
Zusätzlich hat Google seit August 2020 all seinen Anzeigensysteme in das Transparency and Consent Framework (TCF) des IAB Europe integriert. Auch Google Analytics kann in TCF Version 2 integriert werden, um Werbefunktionen für User zu steuern, die gtag.js oder den Google Tag Manager verwenden.
Hinweis: Das TCF unterstützt Publisher, Technologieanbieter und Werbetreibende bei der Einhaltung der DSGVO- und ePrivacy Richtlinie durch die Erstellung eines Industriestandards. Alle Details dazu findest du auf der Website des IAB Europe.
Für jene, die sich gegen die Verwendung des TCF v2.0 entscheiden (User-Einwilligung braucht man natürlich trotzdem!) und um das Consent-Management für Google-Tags generell zu vereinfachen, führt Google eine neue Lösung ein: Den Google Consent Mode (auf Deutsch: Einwilligungsmodus).
Was ist der Google Consent Mode?
In aller Kürze: Der Google Consent Modus regelt das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User.
Wichtig: Der Google Consent Mode ist derzeit noch Beta, siehe Google Support Center.
Hat ein User seine Einwilligung zur Erfassung, Verarbeitung und Speicherung seiner Daten auf deiner Website gegeben, bleibt alles wie bisher. Google Analytics und auch alle anderen Google Tags dürfen richtigerweise Cookies setzen und ihren Schabernack treiben.
Was ist aber wenn der User keine Einwilligung gibt? Wenn er also nicht in Google Analytics getrackt und keine personalisierte Remarketing Werbung erhalten möchte?
Dann dürfen die Google-Tags nicht gefeuert werden. Es dürfen keine Statistik- und keine Conversion-Daten erhoben sowie keine Cookies gesetzt werden.
Genau das regelt der Google Consent Mode:
Screenshot: Funktionsweise Google Consent Mode
Ohne Einwilligung werden mit dem Google Consent Mode also keine Daten in Universal Analytics oder Google Analytics 4 erfasst.
Hinweis: In vielen Blogartikeln ist zu lesen, dass du mittels Consent Mode aggregierte, rein anonymisierte Daten in deinem Google Analytics Konto erhältst. Mit dem Ausrollen beginnt Google allerdings erst seit September 2021 langsam (sehr langsam).
Seit Herbst 2021 ist Conversion Modelling in GA4 verfügbar. Wie Conversion Modelling funktioniert erklärt Ken Williams in diesem Blogartikel sehr, sehr fein.
Irgendwann wird Google auch Behavioral Modelling, Online-to-Offline Modelling und Unique Reach Modelling einführen, wie Saurabh Sharma von Google hier schreibt.
In Google Ads werden hingegen schon seit April 2021 die Daten vom GCM für Conversion Modelling verwendet, um Anzeigen trotz abgelehnten Consent (Data Privacy) oder technischen Einschränkungen (ITP & Co) zu optimieren und automatische Gebotseinstellungen zu verbessern.
Hinweis: Search Ads 360, DV360 und der Campaign Manager kommen „later this year“. Google Analytics wurde bisher noch nicht erwähnt, wird aber auch kommen – irgendwann.
Schauen wir uns das gleich im Detail an, davor noch eine wichtige Information:
Consent Mode != Consent Management Tool
Der Google Consent Mode ist KEIN Consent Management Tool, denn er regelt NUR das Verhalten der Google Tags – ignoriert jedoch alle anderen Tags in deinem GTM wie bspw. das Facebook Pixel, Criteo oder Hotjar.
Außerdem übernimmt der Consent Mode NICHT die Dokumentation der Zustimmung deiner User. Laut DSGVO muss jedoch die Zustimmung schriftlich dokumentiert werden, sodass User jederzeit Auskunft über ihre Einwilligung haben können.
Deswegen brauchst du ZUSÄTZLICH zur Nutzung des Google Consent Modes ein Consent Management Tool.
Die Auswahl dieser ist groß, denn der Markt wird geradezu überflutet von Anbietern.
Einige Anbieter haben auch schon eine nahtlose Integration mit dem Google Consent Mode.
Tipp: Eine aktuelle Liste welche Anbieter Google empfiehlt, findest du hier im Google Support Center.
Zwei Consent Management Tool Anbieter stechen dabei besonders hervor:
Cookiebot verfügt derzeit als eines von drei Consent Management Tools über ein fix fertiges Google Tag Manager Template und ist deswegen besonders schnell und einfach einsatzbereit.
Die anderen beiden Tools sind CommandersAct und Consent Manager.
Ein weiterer Vorteil von Cookiebot ist, dass es auch für kleinere Websites leistbar ist: Websites unter 100 Seiten können Cookiebot sogar kostenlos nutzen. Websites unter 500 Seiten zahlen gerade einmal €9 pro Monat und Websites unter 5.000 Seiten €21/Monat. Das ist ganz okay.
OneTrust ist hingegen eine ganze Consent Management Plattform. Das eigene Consent Tool heißt CookiePro. Das Pricing startet zwischen $10 und $45 pro Monat, was gerade für trafficstarke Seiten konkurrenzlos ist, da es keine Beschränkungen auf Pageviews, Seiten, etc. gibt.
Als kleiner Website-Betreiber oute ich mich als großer Cookiebot Fan und zeige dir im folgenden, wie du den Google Consent Mode mit Cookiebot auf deiner Website implementieren kannst:
Schnellstart-Anleitung: Consent Mode Implementierung MIT Cookiebot🍪
Bevor Cookiebot über den Google Tag Manager auf deiner Website implementiert werden kann, benötigst du einen Cookiebot Account.
Hinweis: Wenn du bereits einen Cookiebot Account hast, kannst du das folgende Kapitel überspringen und direkt zum GTM Setup gehen.
Cookiebot Account Setup
Wenn du bisher noch keinen Cookiebot Account hast, kannst du dich hier kostenlos bei Cookiebot registrieren.
Nach der Registrierung kannst du einen neuen Cookie-Banner erstellen, den du anschließend auf deiner Webseite aktivierst.
Um deinen Cookie-Banner zu erstellen, gehe in die Cookiebot-Einstellungen und lege eine neue Domaingruppe an:
Screenshot: Cookiebot Banner Setup – Neue Domaingruppe erstellen
Wichtig: Wenn deine Website <100 Seiten hat und du Cookiebot kostenlos nutzen möchtest, achte darauf, dass du bei Abonnementplan “Gratistarif” auswählst. Andernfalls ist “Kostenlose 1-Monats Testversion” vorausgewählt. Nach dem Test-Monat werden die Kosten laut Pricing automatisch von deinem Konto abgebucht.
Füge nun den Domainnamen deiner Website unter “Domains” ein:
Screenshot: Cookiebot Banner Setup – Domainnamen eintragen
Im “Dialogfeld” kannst du Einstellungen für deinen Cookie-Banner vornehmen:
Screenshot: Cookiebot Banner Setup – Dialogfeld Einstellungen
Ich habe als Vorlage “Pop-up” ausgewählt. Du kannst jedoch aus einer Liste an Dialogfeldern wählen und die verschiedenen Einstellungs-Möglichkeiten ganz nach deinen Bedürfnissen bzw. den DSGVO-Vorgaben deines Unternehmens anpassen.
Unter “Erklärung” kannst du den Dialogtext zur Cookie-Erklärung anzeigen lassen oder abwählen. Weitere Einstellungen gibt es nur in der bezahlten Version.
Bei “Inhalt” kannst du die Default-Texte des Cookie-Banners anpassen:
Screenshot: Cookiebot Banner Setup – Banner Inhalt anpassen
Kopiere unter “Ihre Skripte” den zweiten Code für die Cookie-Deklaration:
Screenshot: Cookiebot Banner Setup – Skript Code kopieren
Füge diesen Code auf deine Datenschutz-Seite ein um deine Datenschutz-Erklärung um die von Cookiebot gescannten Cookies zu erweitern. Der große Vorteil ist, dass die Cookie-Liste regelmäßig und automatisch von Cookiebot angepasst wird:
Screenshot: Cookiebot Banner Setup – Datenschutzerklärung anpassen
Hinweis: Den ersten Code unter “Ihre Skripte” benötigst du nur, wenn du Cookiebot nicht über den Google Tag Manager einbaust. Ich empfehle jedoch die Nutzung des GTMs, da du mit diesem wesentlich flexibler bist.
Alle Vorteile zum Google Tag Manager erfährst du hier: 👇
Wichtig ist, dass du dein Cookiebot-Setup speicherst (das habe ich nämlich beim ersten Mal vergessen🙄):
Screenshot: Cookiebot Banner Setup – Speichern nicht vergessen
Du kannst deinen fertig konfigurierten Cookie-Banner unter “Vorschau” ansehen:
Screenshot: Cookiebot Banner Setup – Vorschau
Perfekt! 👍
Jetzt fehlt nur noch der Cookiebot Tag im GTM:
Cookiebot Google Tag Manager Setup
Cookiebot kann ganz einfach über den Google Tag Manager ausgespielt werden. Der große Vorteil ist, dass Cookiebot für den GTM ein fixfertiges Template zur Verfügung stellt. Damit ist das Setup nochmals einfacher.
Cookiebot CMP Tag hinzufügen
Öffne den Google Tag Manager und gehe in den gewünschten Container. Wähle aus der Template Gallery den “Cookiebot CMP”-Tag aus und füge das Template deinem Container hinzu:
Screenshot: Google Tag Manager Setup – Cookiebot CMP Tag
Achtung: Falls du den Cookiebot-Tag VOR Juni 2021 in deinen GTM geladen hast, ist ein Template Update verfügbar. Der GTM informiert dich darüber via Notification:
Screenshot: Cookiebot Template Update im GTM
Klick auf „View“ um das Update einzusehen und dann auf den Cookiebot Tag um das Update zu erhalten. Dieses benötigst du damit Cookiebot mit den neuen Consent Settings funktioniert.
Tage in das Feld “Cookiebot ID” deine Cookiebot ID ein:
Screenshot: Google Tag Manager Setup – Cookiebot CMP Tag konfigurieren
Die Cookiebot-ID findest du im Cookiebot Menü unter “Ihre Skripte”:
Screenshot: Cookiebot – Domaingruppen ID kopieren
Unter „Default Consent State“ kannst du nun den Default-Status für das Speichern deiner Cookies setzen. Per Default sind sie auf „denied“, sprich ablehnen, gesetzt.
Screenshot: GTM Cookiebot Tag – Default Einstellungen
In den „Advanced Settings“ sind unter „Consent Settings“ die neuen Consent Settings hinzugekommen.
Der GTM unterstützt seit kurzem also folgende Einwilligungsarten:
- ad_storage
- analytics_storage
- functionality_storage
- personalization_storage
- security_storage
Info: Mehr zur Einwilligungskonfiguration im GTM erfährst du im Tag Manager Support Center.
Diese Einwilligungsarten sind für den Cookiebot-Tag bereits vorausgewählt – du brauchst also nichts weiter zu machen:
Screenshot: GTM Cookiebot Tag Einwilligungsarten
Füge dem Tag den neuen, speziellen “Consent Initialization – All Pages”-Trigger hinzu. Dieser ist verfügbar seitdem es die neuen Consent Settings im GTM gibt:
Screenshot: GTM – Cookiebot All Pages Trigger
Wichtig: In der Regel hat eine Website nur EINE Cookiebot-Instanz.
Solltest du ein komplizierteres Setup mit MEHREREN Cookiebot-IDs haben z.B. pro Land, EU vs nicht EU, etc. darfst du NICHT einfach mehrere Consent Initialization Trigger im GTM hinterlegen, da sich diese in die Quere kommen würden.
In dem Fall empfehle ich, pro Cookiebot-Instanz einen neuen Trigger vom Typ „Consent Initialization“ anzulegen und über den „Some Pages“-Filter auf die entsprechenden URLs zu filtern:
Screenshot: Beispiel Trigger Consent Init angepasst
Damit wird auf der korrekten Seite die korrekte Cookiebot-Instanz ausgespielt. 👍
Speichern.
Der Cookiebot Tag wird nun zukünftig VOR allen anderen Tags gefeuert und erst wenn der User Consent gegeben hat, werden weitere Tags geladen – oder eben blockiert.
Dazu brauchen wir aber noch weitere Einstellungen:
Im nächsten Schritt benötigst du einen neuen Trigger der statt deinen bisherigen All-Pages-Trigger verwendet wird, den cookie_consent_update Trigger.
Lege dazu einen neuen Trigger vom Typ „Custom Event“ an:
Screenshot: cookie_consent_update Trigger
Der Event Name muss exakt „cookie_consent_update“ lauten, da Cookiebot nur mit diesem Eventname arbeitet.
Speichern.
Jetzt müssen nur noch ALLE Tags entsprechend angepasst werden:
Trigger für Google Tags
Alle Google Tags laufen per Default im Google Consent Mode, deswegen sind die Einwilligungsarten ads_storage und analytics_storage automatisch vorausgewählt. Du musst keine weiteren Consent Einstellungen vornehmen.
Nur der Trigger muss entsprechend angepasst werden.
Entferne dazu den “All Pages”-Trigger, DOM-Ready-Trigger oder Window Loaded-Trigger – diese benötigst du nicht mehr!
Füge stattdessen in all diesen Tags den cookie_consent_update- Trigger hinzu – den benötigst du ab jetzt immer!
Hier ein Beispiel für den korrekt gesetzten Google Analytics 4 Configuration Tag:
Screenshot: GA4 Basis Configuration Tag mit GCM
Da Cookiebot mit der Google Consent Mode API nahtlos zusammenarbeitet, werden die Google Tags nun je nach Consent automatisch gefeuert oder blockiert. ✔️
Trigger für Tags die auf allen Seiten gefeuert werden
Auch alle anderen Tags wie bspw. das Facebook Pixel, Criteo oder Hotjar, die eigentlich den “All Pages”-Trigger, DOM-Ready-Trigger oder Window Loaded-Trigger konfiguriert haben, benötigen den neu angelegten Cookiebot-Trigger, da Cookiebot NUR mit diesem arbeitet.
Füge also ALLEN Tags mit „All Pages“ Trigger den neuen Cookiebot-Trigger hinzu.
Beispiel Facebook Tag:
Screenshot: Facebook Pixel mit Cookiebot Trigger
Über die Consent Settings im GTM kanns du nun regeln welche Consent-Einstellung für den entsprechenden Tag zutrifft:
Screenshot: Consent Settings im Google Tag Manager
Achtung: Es ist wichtig, dass du bei allen NICHT-Google-Tags die Consent Settings korrekt setzt, da diese sonst nicht blockiert werden, wenn der User ablehnt!
Trigger für alle anderen Tags
Alle anderen Tags wie bspw. Custom Events, Form Submissions oder Link Clicks brauchen keinen neuen Cookiebot Trigger, da sie sonst ebenfalls auf ALLEN Seiten (All Pages) gefeuert werden.
Stattdessen kannst du auch hier über die Consent Settings im GTM regeln welche Consent-Einstellung für den entsprechenden Tag zutrifft:
Screenshot: Consent Settings im Google Tag Manager
Hinweis: Für alle Google-Tags ist automatisch ads_storage und analytics_storage vorausgewählt. Du musst keine weiteren Anpassungen vornehmen.
Nur bei anderen, zusätzlichen Custom Events benötigst du zusätzlich die Einstellung für den Consent.
Setup im Preview Modus testen
Damit du in der Preview eine Übersicht der Consent Einstellungen deiner Tags hast, kannst du in der Verwaltung –> Containereinstellungen die „Einwilligungsübersicht“ aktivieren:
Screenshot: Einwilligungsübersicht im GTM für Preview aktivieren
Du erhältst dadurch ein neues Icon bei den Tags:
Screenshot: Einwilligungs Icon in den Tags
Dort sind alle Tags aufgeteilt in „nicht konfiguriert“ und „konfiguriert“.
Hier solltest du bei ALLEN Tags entweder „Keine zusätzliche Einwilligung erforderlich“ oder „Zusätzliche Einwilligung erforderlich“ auswählen. „Nicht festgelegt“ ist undefiniert und somit nicht empfehlenswert!
Screenshot: Check auf zusätzliche Einwilligung
Jetzt kannst du wunderbar testen.
Wenn alles passt, GTM publishen nicht vergessen, damit die Änderungen auch auf der Website aktiv werden.
Herzlichen Glückwunsch🥳, deine Website ist jetzt DSGVO-konform mit Cookiebot und dem Google Consent Mode. 🙌
Cookiebot bereits in Verwendung und Consent Mode aktivieren?
Du hast Cookiebot bereits in Verwendung und möchtest zusätzlich den Google Consent Mode aktivieren?
Easy cheesy🧀:
- Falls noch nicht getan, erstelle den neuen cookie_consent_update-Trigger.
- Suche alle Tags mit All-Pages Trigger und ersetze die All-Pages-Trigger mit dem neuen cookie_consent_update-Trigger, siehe Anleitung.
- Passe die Google Tags entsprechend an.
- Passe alle anderen Tags entsprechend an.
Beispiel Google Analytics 4 Configuration Tag:
Screenshots: GA4 Basis Configuration Tag mit GCM
Cookiebot und der Google Consent Mode arbeiten jetzt nahtlos zusammen.✅
GTM publishen nicht vergessen, damit die Änderungen auf deiner Website aktiv sind.
Cookiebot ohne Google Consent Mode verwenden?
Du möchtest Cookiebot aber nicht den Google Consent Mode verwenden?
Jetzt wird es tricky! 🙈
Auch in diesem Fall benötigst du den neuen Cookiebot-Trigger.
Allerdings laufen deine Google Tags mit der vor eingestellten ad_storage und analytics_storage Einstellung IMMER im Google Consent Mode – gnadenlos, selbst wenn du es nicht möchtest!
Damit die Google Tags auch wirklich „still“ sind wenn keine Zustimmung vorliegt, muss du nun ZUSÄTZLICH bei „Checks auf zusätzliche Einwilligung“ ads_storage und analytics_storage eintragen – erst dann wird der Tag WIRKLICH blockiert und der GCM DEAKTIVIERT:
Screenshot: Cookiebot ohne Consent Mode
GTM publishen nicht vergessen, damit die Änderungen auf deiner Website aktiv werden. ✅
Consent Mode OHNE Cookiebot🍪
Wenn du den Google Consent Mode OHNE Cookiebot nutzen möchtest, dann benötigst du nur einen neuen Tag vom Typ Custom HTML im gewünschten GTM Container.
Füge den folgenden Code in das HTML-Feld ein:
<script data-cookieconsent="ignore"> window.dataLayer = window.dataLayer || []; function gtag() { dataLayer.push(arguments); } gtag("consent", "default", { ad_storage: "denied", analytics_storage: "denied", wait_for_update: 500 }); gtag("set", "ads_data_redaction", true); </script>
Dein Tag sieht nun wie folgt aus:
Screenshot: Consent Mode Tag im GTM
Füge dem Tag den neuen, speziellen “Consent Initialization – All Pages”-Trigger hinzu:
Screenshot: GTM – Cookiebot All Pages Trigger
Fertig.
Die Google Tags laufen nun automatisch im Google Consent Modus, da die Einwillingungsarten ad_storage und analytics_storage für ALLE Google Tags immer und automatisch vorausgewählt sind.
Screenshot: Consent Settings für Google Tags
Alle Google Tags sind:
- Google Analytics Basis Tag (GA4 bzw. UA)
- Google Ads Conversion Tags
- Google Floodlight Conversion Tags
Achtung: Der Google Consent Mode regelt das Verhalten der GOOGLE TAGS – nicht aber deiner anderen Marketing Tags. Du benötigst ZUSÄTZLICH zum GCM zwingend ein Consent Management Tool damit du deine Website DSGVO-konform betreibst. >> Dazu weiter oben mehr.
Eine wichtige Voraussetzung gibt es noch – nämlich die Nutzung des gtag (Global Site Tag), dem neuen Tracking Standard von Google Analytics 4, der auch für Universal Analytics genutzt werden kann. Der GCM arbeitet nur mit dem gtag zusammen.
Hinweis: Was der gtag ist und wie du ihn auf deiner Website implementierst erfährst du hier: gtag – Der neue Tracking Standard von Google Analytics 4
Consent Mode mit anderen CMPs nutzen?
Hier im Google Support Center findest du eine Liste aller Plattformen die den GCM derzeit unterstützen.
Am besten wendest du dich direkt an deine Consent Management Plattform, die entweder super hilfreiche Support-Artikel und Blogbeiträge oder direkten Support liefern.
Unterstützt deine CMP den Google Consent Mode derzeit nicht, musst du dich in dem Fall selber darum kümmern, den Consent des Users in den Consent Mode zu integrieren.
Hinweis: Es ist anzunehmen, dass alle anderen Consent Management Tools und Plattformen demnächst ebenfalls den Google Consent Mode in ihren Systemen integrieren. Es lohnt es sich eventuell noch ein wenig abzuwarten.
Außerdem musst du dich bei Zustimmung selber um das nachfeuern der Tags kümmern, wenn du das volle Potential auszuschöpfen.
Das ganze wird also sehr schnell, sehr technisch und somit sehr kompliziert, deswegen sei an dieser Stelle an folgende Dokumentationen verwiesen:
Testing: Google Consent Mode
Ist der Google Consent Mode auf deiner Website aktiv, kannst du einige Test-Hits an Google Analytics senden um die Funktion zu überprüfen.
Testing mit Zustimmung
Das Wichtigste ist, dass die Google Tags nach Zustimmung erfolgreich ausgelöst und die Daten nach Google Analytics gesendet werden – also alles wie bisher funktioniert.
Um das zu testen, öffne einen Inkognito-Modus und ruf deine Website auf. Rufe zusätzlich die Developer-Console auf, indem du im Google Chrome auf F12 klickst oder im Browser mit einem Rechts-Klick das Menü öffnest und “Untersuchen” auswählst.
Navigiere in der Developer-Console auf “Network” und trage “collect” in das Suchfeld ein:
Screenshot: F12 Developer Console
Klicke nun auf “Zustimmen” im Cookie-Banner und aktualisiere die Website. Das Network-Feld solle sich nun mit collect-Streams füllen.
Den Universal Analytics Pageview erkennst du am „collect?v=1….“ und wenn in den Query-String Parametern „t:pageview“ steht:
Screenshot: Universal Analytics Pageview Stream in der Developer Console
Überprüfe hier ob es einen Query String Parameter namens „gcs: G100“ gibt.
gcs steht für Google Consent.
Existiert dieser Parameter, ist der Google Consent Modus aktiv. Ist der Parameter nicht da, ist der Google Consent Modus inaktiv.
In meinem Fall ist der gcs-Parameter nicht verfügbar und das ist auch korrekt, denn ich habe ja auf Zustimmen geklickt und somit erlaubt Cookies zu setzen. Der Google Consent Mode ist damit inaktiv.
Perfekt, dass dürfte funktioniert haben. ✅
Wie sieht das ganze nun ohne Zustimmung aus?
Testing ohne Zustimmung
Um zu überprüfen ob der Google Consent Mode aktiv ist, öffne ein neues Inkognito-Fenster (altes schließen, neues öffnen).
Ruf wieder deine Website auf. Öffne erneut die Developer Console und aktualisiere deine Website. Klicke im Cookie-Banner auf “Ablehnen”. Das Network-Feld sollte sich wieder mit collect-Streams füllen.
Den Google Analytics 4 Pageview erkennst du am „collect?v=2….“ und wenn in den Query-String Parametern „en:page_view“ steht:
Screenshot: Google Analytics 4 Stream in der Developer Console
Hier siehst du auch den gcs:G100-Parameter (dritte Zeile von oben im Headers-Fenster), der kennzeichnet, dass der Google Consent Modus aktiv ist.
Das ist korrekt so, denn ich habe ja auf Ablehnen geklickt und somit verhindert das Cookies gesetzt werden.
Perfekt, dass dürfte ebenfalls funktioniert haben. ✅
Hinweis: Falls du das ganze in der Google Analytics Echtzeit (egal ob UA oder GA4) ebenfalls testet, bitte nicht wundern, dass hier die Hits trotzdem ankommen. Warum auch immer, denn diese Hits werden derzeit nicht in die Standard-Reports übernommen – das wäre auch fatal wie du hier nachlesen kannst.
Gehen wir aber noch etwas tiefer:
GCM Details: Cookieless Google Analytics
Im Detail ist es so, dass der Google Consent Mode keine Google Hits blockiert sondern nur den Storage Zugriff (Cookies, localStorage und andere Browserspeicher) regelt.
Gibt der User keine Zustimmung werden zwar keine Cookies gesetzt, die Google Tags werden trotzdem gefeuert, wie du beim Testing eben gesehen hast. Jedoch – und das ist der große Unterschied – cookieless, also ganz ohne Verwendung von Cookies.
Hinweis: Viele Blogs schreiben, dass Google Analytics 4 cookieless arbeitet. Das ist derzeit per Default nicht so – auch nicht wenn du den Google Consent Mode nutzt! Es gibt auch sonst keine Einstellung die du aktivieren kannst um in GA4 cookieless zu tracken.
Cookieless bedeutet, dass die Google Analytics Pageviews und Events trotz Ablehnung gefeuert werden – allerdings wird jeder Pageview einer eigenen Sitzung und erst recht einem eigenen User zugeordnet. Ohne Cookies ist der Browser nämlich dumm. Er merkt sich nicht, dass der User schon auf deiner Website ist und gerade zuvor eine Seite angeschaut hat.
Wie Cookieless-Tracking konzeptionell funktioniert, soll folgende Grafik veranschaulichen:
Screenshot: Funktionsweise Cookieless Tracking mit dem Google Consent Mode
Jeder Page Reload erzeugt also eine neue Sitzung. Jede neue Sitzung erhält eine neue und somit DSGVO-konforme ClientID und wird somit als neuer User in Google Analytics gezählt.
Diese Daten scheinen aber NICHT in Google Analytics auf.
Das wäre auch fatal!
Stell dir vor 50 Personen geben Consent und werden somit richtig und wie gewohnt in Google Analytics erfasst: Einzelne Hits werden einer Sitzung zugeordnet. Mehrere Sitzungen werden dem User zugeordnet. Nichts außergewöhnliches.
Weitere 50 Personen geben jedoch KEINEN Consent. Diese erzeugen aber bspw. jeweils 2 Seitenaufrufe. Gezählt werden also 100 Personen mit 100 Sitzungen, weil der Browser ja “dumm” ist und sich nicht merkt, dass die Personen bereits da waren. Es gibt keine Zuordnung!
Würde man diese beiden Datenhaufen nun in denselben Datentopf schmeißen, würde das die Reports mehr als verfälschen. Du hättest einen deutlichen User- und Sitzungs-Zuwachs (bei gleichbleibenden Pageviews) und könntest dadurch annehmen, dass deine Website einen regelrechten Boost erfährt.
Das ist nur leider nicht so. Der Gegenteil ist der Fall: Ohne Consent, weniger User die auf deiner Website getrackt werden möchten und somit weniger Daten in Google Analytics.
Deswegen macht es überhaupt keinen Sinn die beiden Datenhaufen zu kombinieren – auch deshalb nicht, weil es unterschiedliche Tracking- und Verarbeitungsmethoden sind und du sozusagen Äpfel🍎 mit Birnen🍐 vergleichen würdest.
Und deswegen kommen bei Ablehnung trotz Einsatz des Google Consent Mode keine Daten in Google Analytics an.
Hinweis: Die Daten sind auch nicht in BigQuery verfügbar!
Gar nicht!
Aber Google arbeitet auf Hochdruck am Modelling, ein Ansatz um mittels Hochrechnungen Datenlücken zu schließen.
Das macht durchaus Sinn, denn dann bekommst du tatsächlich aggregierte (und natürlich anonyme) Daten zur Verfügung gestellt, die zusammen mit deinen Zustimmern im selben Datentopf analysiert werden können. Gemeinsam ergibt das vermutlich eine ganz gute und relevante Datenbasis.
Das ist aber derzeit noch Zukunftsmusik🎵…
Spoiler: … wobei ich bei einem Googler gesehen habe, dass diese Möglichkeit schon aktiviert ist. Es wird also vermutlich nicht allzu lange dauern bis da was geiles kommt. 🙊
Fazit und warum ich den GCM sofort wieder entfernt habe
Es ist also tatsächlich derzeit (immer noch) so, dass der Google Consent Mode nichts anderes regelt als jedes andere Consent Management Tool auch – mit Beschränkung auf die Google Tags und ohne Dokumentation der Zustimmung.
Zusätzlich werden durch den GCM deine Daten, wenn auch cookieless und völlig anonym, an Google gesendet – und zwar nicht in dein Google Analytics Konto sondern auf irgendwelchen Google Servern:
Screenshot: Tatsächliche Funktionsweise Google Consent Mode
Eigentlich genau das, was der User nicht möchte – und eigentlich auch das, was ich nicht möchte!
Bleibt mir nur ein Kopfschütteln: WTF?!
Raus damit! Kein Consent Mode auf meiner ANALYTICSkiste.
WICHTIG: Wenn du Google Ads intensiv nutzt, empfehle ich den Einsatz vom Google Consent Mode weil du direkt von deinen Daten profitierst. Seit April 2021 fließen die GCM-Daten nämlich bereits für Conversion Modelling in Google Ads ein, damit deine Anzeigen besser optimiert werden können.
Nachteile: Google Consent Mode
Die Nachteile des Google Consent Mode und warum ich mich gegen die Nutzung entschieden habe:
1.) Der GCM blockiert keine Hits, sondern setzt bei Ablehnung keine Cookies (cookieless). Die Google Tags werden trotzdem gefeuert.
2.) Derzeit scheinen keine aggregierten und anonymisierten Daten in Google Analytics auf, obwohl sie an die Google Server gesendet werden.
3.) Der Google Consent Mode ist derzeit noch in Beta.
Hinweis: Ich denke aber, dass sich Google (wie immer) etwas sinnvolles dabei gedacht, den Consent Mode zu entwickeln. Zukünftig wird er vermutlich auch der way-to-go sein um Google Tags DSGVO-konform zu nutzen.
Aber und ebenfalls wie immer, launcht Google seine Produkte sehr früh und nutzt die Welt als Beta-Tester – was auch absolut in Ordnung ist.
Ich persönlich finde aber, dass der Consent Mode derzeit noch nicht einsatzbereit ist, denn wenn ich schon nicht selber von meinen Google Analytics Daten profitieren kann, dann soll Google das erst recht nicht. Und ganz ehrlich, so gern habe ich Google auch nicht, dass ich meine Daten einfach so übermittle.
WICHTIG: Wenn du Google Ads intensiv nutzt, empfehle ich den Einsatz vom Google Consent Mode weil du direkt von deinen Daten profitierst. Seit April 2021 fließen die GCM-Daten nämlich bereits für Conversion Modelling in Google Ads ein, damit deine Anzeigen besser optimiert werden können.
Stattdessen setze ich derzeit vollständig auf Cookiebot:
Vorteile: Cookiebot
Der große Vorteil von Cookiebot und warum ich mich für dieses Consent Management Tool entschieden habe ist, dass Cookiebot
- super leicht auf der Website integrierbar ist, wenn du bereits den Google Tag Manager nutzt, da Cookiebot fix fertige GTM Templates zur Verfügung stellt.
- dir automatisch eine Cookie-Liste für deine Datenschutzerklärung zur Verfügung stellt und regelmäßig aktualisiert – kein zusätzlicher Aufwand für dich.
- nahtlos mit dem Google Consent Mode zusammenarbeitet (für später notwendig!).
- kostenlos für eine Domain mit max. 100 Seiten bzw. kostengünstig für größere Seiten ist. Es ist ein Tool für jedermann und keine super komplexe, gigantische Consent Management Plattform.
Das hat mich überzeugt, deswegen meine Empfehlung: 👇
Fragen?
Du hast eine Frage zum Google Consent Mode oder Cookiebot?
👉 Immer her damit. Ich helfe wo ich kann.
Schreib auch gerne in die Kommentare ob du den Google Consent Mode nutzt, wie zufrieden du mit ihm bist und welche Vorteile er aus deiner Sicht hat – oder ob du ebenfalls meiner Meinung bist und momentan die Finger von ihm lässt.
Happy Analyzing,
deine Michaela
Immer auf dem Laufenden bleiben?
Abonniere meinen Blog und du verpasst keinen Beitrag mehr:
Alle Links zu kostenpflichtigen Tools sind Affiliate Links.
Hallo Michaela
danke für diesen tollen Artikel. Bist du dir sicher, das Cookies (ClientID) personenbezogene Daten sind? Ich kann diese ja nicht wirklich 1 zu 1 zuordnen?
Vorteile des GCM, den ich noch sehe, ist das Tracken von Google Ads Conversion (anonymisiert) und somit bessere Auswertung deiner Google Ads Kampagnen.
Nochmals danke für den tolle Content, den du immmer erstellst.
Hallo Tim,
vielen Dank für den Vorteil – das ist natürlich ein guter Grund den GCM zu nutzen. :-))
Bezüglich ClientID: Da habe ich mich an diesen Blogartikel von Cookiebot orientiert. Cookiebot schreibt, dass auch random IDs als personenbezogen gelten, wenn sie immer gleich bleiben und den User somit re-identifizieren.
Vermutlich ist das Auslegungssache aber sehr streng genommen, ist das Setzen jedes Cookies ohne Consent nicht erlaubt. :-/
Liebe Grüße,
Michaela
Hallo Michaela,
der Artikel über den Consent Mode ist sehr gut und umfassend geschrieben!
Ich habe die erste Info zum Google Consent Mode letztes Jahr zum Anlass genommen, um den Google Consent Mode für unsere Website im Rahmen eines Proof of Concept zu testen.
Dabei haben wir exakt festgestellt was du schreibst – er funktioniert – aber die Daten werden nicht in unsere GA Properties geschrieben.
Meine Fragen dazu in Simos Blog hat er beantwortet, dass das auch nicht der Plan für den GCM sei. Also: Wozu das Ganze?
Ich hätte ja eine Verwässerung der Visits hingenommen, nur um die Kampagnen, die zum Teil mangels Consent nur zu einem geringen Prozentsatz getrackt werden, besser und pauschal tracken zu können. Aber das geht offenbar nicht.
Und: einige Datenschützer meinen, alleine, wenn man generell Daten an Google schickt, müsse man wegen Möglichkeiten des Fingerprintings auch einen Consent einholen.
Siehst du eine andere Chance Daten von Cookie-Ablehnenden tracken? Server Side Tagging? Andere cookieless Tools parallel verwenden?
Meine Vermutung ist ja, dass Google für GA4 den Consent Mode aus der Kiste zaubert und dann auch Daten schreiben lässt.
Was meinst Du? Ich bin sehr gespannt!
Liebe Grüße,
Dominik
Hallo Dominik,
vielen Dank für deine ausgezeichnete Frage. Momentan sehe ich das nämlich genauso wie du: Wozu das Ganze?
Allerdings hätte ich in Simos Blogbeitrag schon auch rausgelesen, dass uns die Daten irgendwann zur Verfügung gestellt werden – nämlich über diese momentan noch sehr mysteriösen Modellierungsansätze über die Google dort und da gerne spricht.
Google meint ja, dass Datenlücken, die durch DSGVO und Cookies entstehen, zukünftig über bestimmte Modellierungsansätze geschlossen werden können.
Grundlage dafür ist einerseits Google Signals, also Googles Cross-Device Graph, und andererseits vermutlich auch FLoC (federated learning of cohorts).
Wie das ganze aussieht, welche Daten wir bekommen, wo wir das sehen werden ist jedoch momentan noch Zukunftsmusik.
Ich denke, dass Google aber selber gerade noch sehr viel testet und ausprobiert. GA4 steckt ja noch in den Kinderschuhen. Ich kann mir aber vorstellen, dass bis GA4 tatsächlich Marktreif wird und Universal Analytics absetzt, könnte so eine Lösung verfügbar sein. Timeline: 1-3 Jahre?!
Liebe Grüße,
Michaela
Hallo Michaela,
was ist denn dein Tipp, was die beste Lösung ist, um unser seit 12 Monaten anhaltendes Defizit bei den Daten zu unseren Kampagnen am besten auszugleichen?
Ist Serverside Tagging verlässlich und zu empfehlen? Ein cookieloses Tool parallel laufen lassen?
Wir launchen gerade unsere neue Seite in Sitecore und Sitecore Analytics und haben daher ohnehin schon zwei Systeme am Start, die ich versuche mit Plausible cookielos zu verifizieren. Dazu kommt der Umzug demnächst von UA zu GA4.
Ich möchte halt nicht zuviel Durcheinander in meinen Daten veranstalten.
Danke für deine weitere Einschätzung und schöne Grüße nach Wien
Dominik
Hallo Dominik,
also momentan gibt es tatsächlich keine gute Lösung um das Datendefizit auszugleichen. Es ist ein Problem, dass derzeit jeder hat.
Serverside Tagging / Tracking ist derzeit in Beta und kann momentan einfach noch nicht das, was sich jeder wünscht. Das wird kommen und einige haben auch jetzt schon ein paar ausgeklügelte Ideen aber das ist auch wieder mit sehr viel Aufwand verbunden. Markus Baersch hat in seinem Blog auch interessante Beiträge dazu.
Ein Cookieloses Tool parallel laufen lassen: Ja könnte man machen – welches schlägst du vor? Ich kann mir fast nicht vorstellen, dass da jemand viel weiter ist als Google.
Bezüglich Umzug zu GA4: Bitte nur im Paralellbetrieb, da GA4 momentan noch in einer sehr frühen Phase steckt.
Du wirst also um die vielen Tools nicht ganz herumkommen; zumindest also Sitecore Analytics, UA und GA4 parallel laufen haben.
Da muss man dann einfach schauen wo die besten Daten sind und was als beste Datenquelle für Analysen genutzt werden kann.
Am schönsten ist natürlich wenn alle Daten irgendwie kombiniert werden und es einen einzigen Datenpool gibt. Dann sprechen wir aber von Customer Data Plattformen – suuper spannend aber auch wieder ein Tool mehr und deswegen keine bessere Datenbasis.
Also es ist tatsächlich einfach grad schwierig.
Die schnellste und einfachste Lösung ist, die User dazu motivieren beim Cookiebanner auf „akzeptieren“ zu klicken, weil Consent ist king.
Liebe Grüße,
Michaela
Hallo Michaela,
vielen Dank für dein Feedback – das hilft sehr, wenn ich sehe, dass ich nicht alleine bin mit dem Problem.
Zum Thema cookieloses Tracking haben wir mal testweise zur Überbrückung bis der Consent Mode funktionieren sollte plausible.org eingeführt. Kleines Tool, das nicht allzu viele Zahlen bietet, das aber hilft zu verstehen, wieviele Visits wir wirklich auf der Seite haben.
Auch wenn keine Sessions getrackt werden und alles 1-Seiten-Besuche sein sollten.
Ein ernstzunehmender Ersatz für Google Analytics ist das nicht. Das wäre schon eher etracker
Liebe Grüße,
Dominik
Hallo Michaela,
hat sich das Verhalten hinsichtlich Datenerfassung in Google Analytics in der Zwischenzeit geändert?
Ich implementiere den Consent Mode gerade testweise auf einigen Landingpages und sehe KEINE Daten im Echtzeit-Report, bilde mir aber ein, dass die Daten mit Verzögerung in zB den Kampagnenberichten aufscheinen. Der Gap zwischen Klicks/Sitzungen im Google Ads Report schließt sich bspw. Der Testzeitraum ist aber noch zu kurz um zu sagen ob die Daten valide sind.
Die Google Hilfe hier https://support.google.com/analytics/answer/9976101?hl=de ist leider nur bedingt aussagekräftig. Hier steht lediglich, dass bei analytics_storage = denied Pings ohne Cookies zu grundlegenden Mess- und Modellzwecken an Google Analytics gesendet werden.
Sollten die Daten tatsächlich gar nicht in Google Analytics aufscheinen, dann ist die „Mühe“ der Umstellung ja vergebens.
LG,
Stefan
Hallo Stefan,
da tut sich gerade sehr viel und obwohl ich versuche den Blogartikel immer aktuell zu halten, kann es sein, dass schon wieder alles anders ist.
Seit April 2021 werden die GCM Daten für Conversion Modelling in Google Ads genutzt. Es kann also gut sein, dass es bereits Datenanreicherungen durch die Google Ads <-> Google Analytics 4 Verknüpfung in GA4 gibt. Achtung: Angeblich und laut Google nur in Google Analytics 4!
Soweit ich weiß, gibt es derzeit noch keine weiteren Datenanreicherungen in GA4.
Wenn du dir die Mühe zur Umstellung gemacht hast, ist aber nichts verloren: 1) Du musst sowieso Consent von deinen Usern einholen und dann machst du es eben direkt über den GCM statt über deine Consent Mgmt. Plattform. 2) Sobald es Datenanreicherungen gibt, profitierst du davon.
Liebe Grüße,
Michaela
So wie ich die Funktionsweise des Consent Modes verstehe, wird ja auch bei nicht gegebenem Consent ein HTTP Request an Google gesendet.
Und ein HTTP Request wird doch immer die IP-Adresse übermittelt – was ja erst recht bei abgelehntem Consent nicht zulässig ist.
Oder habe ich da einen Denkfehler?
Hi Thomas,
kein Denkfehler aber ein weiterer guter Grund warum der Google Consent Mode derzeit einfach nicht einsatzbereit ist.
Liebe Grüße,
Michaela
Hi Michaela,
danke für diesen umfassenden Artikel! Top. 🙂
Da der GCM ja anscheinend für Ads Conversion Modelling interessant ist… Gibt es hier evtl. in Google Ads eine Möglichkeit nachzuvollziehen welche Conversions (bzw. Anteil der Conversions) durch den GCM modelliert wurde?
Das wäre mal sehr interessant. 🙂
Liebe Grüße
Valerie
Hi Valerie,
ausgezeichnete Frage – das wäre natürlich suuper interessant. Ob man das irgendwo sieht, weiß ich leider nicht aber ich versuch mich mal schlau zu machen. :-))
Modelled Conversions gibt es seit kurzem ja auch in GA4. Allerdings gibt es keine Info von Google ob der Algorithmus angewendet wurde oder nicht. Es gibt keinen Ein- bzw. Ausschalter. Berichte, die modellierte Daten enthalten, sind auch von anderen Berichten nicht unterscheidbar.
Wie Conversion Modelling in GA4 funktioniert erklärt Ken Williams in diesem Blogbeitrag aber ganz ausgezeichnet, falls für dich interessant. :-))
Ganz liebe Grüße,
Michaela
Hallo Michaela,
kann es sein, dass das Cookiebot Template aus der Community Template Gallery verschwunden ist? Ganz doofe Frage ich weiss, aber ich finde es nirgendwo mehr… Dann werde ich ganz einfach mit customHTML Tag Cookiebot integrieren.
Viele Grüsse
Balazs
Hi Balazs,
gerade nochmal nachgesehen und das Cookiebot Template ist noch da. Du findest es im GTM unter Templates (links im Menü ganz unten „Templates“) —> „Search Gallery“ –> Suche öffnen und nach „Cookiebot“ suchen. Das Template musst du erst in deinen GTM laden bevor du es in den Tags verwenden kannst.
Liebe Grüße,
Michaela
Hallo Michaela,
dein Consent Banner ist nicht DSGVO-konform aus zwei Gründen
a) die inhaltliche Ausgestaltung (es fehlt z.B. ein Ablehnen-Button, Beschriftung ist irreführend)
b) Die Datenverarbeitung des Cookiebots findet aufgrund des Einsatzes des CDNs „Akamai“ in den USA statt. Damit ist der bloße Einsatz des Cookiebots bereits nicht mehr datenschutzkonform.
Das ist auch nicht erst seit gestern so sondern wurde bereits im letzten Jahr bekannt gegeben. Aber das weißt du bestimmt und nimmst das Risiko bewusst in Kauf?
Falls es an dir vorbeigegangen ist – mehr dazu findest du hier:
https://www.dury.de/datenschutzrecht-blog/cookiebot-urteil-cookiebanner-nicht-dsgvo-konform-vg-wiesbaden-untersagt-nutzung-des-cookiebanners-von-cookiebot-beschluss-vom-01-12-2021-az-6-l-738-21
Beste Grüße
Jan
Hi Jan,
vielen lieben Dank für deine Hinweise!
zu a) Da hast du natürlich Recht. Ich hab den Cookiebanner entsprechend angepasst, sodass eingewilligt oder abgelehnt werden kann. Das war noch eine Altlast aus Jahre „Graubereich“.
zu b) Stimmt auch. Habe ich natürlich mitbekommen. Kläre ich mit meinem Datenschutzbeauftragten ab.
Nochmals vielen Dank und ganz liebe Grüße,
Michaela
wow hier gehts ja in echtzeit ab 🙂
Hi Jan,
ich hab mit meinem Datenschutzexperten Rücksprache gehalten und er hat mir folgende Antwort gegeben:
„Bei Cookiebot besteht das selbe Problem, wie bei allen Tools, Pixeln und Cookies mit Drittlandbezug: Es gibt derzeit keine vollständig saubere Möglichkeit des Datentransfers in die USA! Wenn ich jetzt deswegen Cookiebot abschalte, muss ich aber auch Google Analytics abschalten, darf keine Youtube-Einbindung und Kartenintegrationen mehr vornehmen und alle Social Media Kanäle schließen. Deswegen kann also auch Cookiebot weiterhin genutzt werden.“
Da sagt natürlich jeder Datenschutzexperte etwas anderes. Wenn deiner „Cookiebot abschalten sagt“, würde ich natürlich seiner Empfehlung folgen. Meiner sagt „weiterhin nutzen“, deswegen nutze ich Cookiebot weiterhin.
Zur Info: Das Urteil des VG Wiesbaden wurde auch erstmal aufgehoben.
Ganz liebe Grüße,
Michaela
Hallo Michaela, danke für deine Ausführungen.
Bzgl. Datenversand in die USA aufgrund unsicherem Drittland, aus EU- Sicht, gibt es gerade interessante Neuerungen durch den Nachfolger von „Privacy Shield“.
Das „Trans-Atlantic Data Privacy Framework“ (TADPF) soll nun den Einsatz von US-Dienstleistern DSGVO-sicher machen, bzw. die Voraussetzung dafür ermöglichen. (zumindest so lange, bis Max Schrems diese Rahmenvereinbarung wieder kippt)
Ich gehe mal davon aus, dass Google sehr schnell sich nach diesen neuen Vorgaben „zertifizieren“ bzw. diese erfüllen wird. Gibt es dann aus deiner Sicht noch Punkte die dagegen sprechen aus DSGVO Sicht den Consent Modus zu nutzen?
mehr dazu: https://datenschutz-generator.de/data-privacy-framework/
Hallo Michael,
das sind großartige Neuigkeiten für den Einsatz von Google Analytics und allen anderen US-Tools. Danke für das Teilen des Links – ein sehr guter, umfangreicher Artikel zum TADPF.
Ich gehe davon aus, dass Max Schrems das TADPF sehr schnell zu Fall bringen wird und wir damit vor den selben Herausforderungen wie bisher stehen. Daher sehe ich das TADPF als keinen Freibrief und würde mir stattdessen genauso viele Gedanken wie bisher machen. Jedes Unternehmen soll mit seinem Datenschutzbeauftragten abwägen, ob der Einsatz des Consent Modes sinnvoll ist.
Für KMUs mit geringer Datenmenge bringt der Einsatz bspw. wenig, da zu wenige Daten erfasst werden um die Modellings zu aktivieren, die für die Datenanreicherung in GA4 verantwortlich sind. Aus meiner Sicht wäre das ein sinnloses Risiko. Bei großen Unternehmen sieht das wieder anders aus… Deswegen muss man sich das sehr individuell ansehen.
Ganz liebe Grüße
Michaela
hi all, was spricht eigentlich dagegen man baut sich seinen eigenen cookie-banner? wenn jemand ablehnt wird überhaupt nix geladne das kann ich sehr klar und einfach in javascript selber progrmamieren und wenn jemand „ok“ sagt dann lass ich GA laden fertig…da brauch ich keine komplexe kostenpflichtige monsterlösung…
Hi Timo,
das ist natürlich eine Möglichkeit.
Der Vorteil von Cookiebot ist u.a. auch, dass sie alle Cookies, welche die Website nutzt, in der Datenschutzerklärung auflistet. Man muss sich nicht selbst darum kümmern.
Generell, liefern alle solche Lösungen den Cookiebanner direkt mit. Man muss sich nicht selbst darum kümmern.
Cookiebot liefert im Speziellen auch eine sehr einfache Integration via Google Tag Manager. Bei der Konfiguration geht es ja auch nicht nur um Google Analytics sondern ALLE Marketing- und Tracking-Tags, die man auf der Website nutzt: Facebook, Criteo, Hotjar, etc etc
Und Cookiebot ist eben kein Monstertool wie manche anderen… das finde ich sehr praktisch, weil schnell und einfach handlebar.
Es gibt also – wie immer und überall – Vor- und Nachteile und jeder darf sich die beste Lösung für sich aussuchen. 😃😃
Ganz liebe Grüße,
Michaela
hi michaela,
da hast du natürlich völlig recht, sobald man hier ein klein wenig mehr „Insights“ und sonstige „Goals“ benötigt macht das absolut Sinn, ich habe das jetzt auch so komplett eingerichtet und bin begeistert danke 🙂
Sehr cool! 👍👍👍
In meinen Augen ist eine der zentralen Daseinsberechtigungen einer Consent Management Platform die, dass sie das „Recht auf Userbeauskunftung“ (DSGVO) sicherstellt. Dass nämlich User eine Möglichkeit haben zu erfahren, wann sie welchen Datensammlungen zugestimmt oder abgelehnt haben. Die CMP loggt das, speichert das und gibt diese Information aus (je nach CMP unterschiedliche, teils direkt im Consent Panel, teils via Formular, etc). Das selbst zu programmieren und zu hosten wäre weitaus mehr Aufwand als ein handgestricktes Cookiebanner, das nur die derzeit getroffene Einstellung im Browser speichert.
hmm um dem user aber zu sagen wann er abgelehnt hat würde man das ja speicher müssen, also da beisst sich die katz in schwanz würd ich mal sagen…
hi michaela,
warum muss man bei „Beispiel Google Analytics 4 Configuration Tag:“
-> Require additional consent for tag to fire:
analytics_storage
gesondert setzen wenn es doch bereits bei den „Built-In Consent Checks“ schon aufgeführt ist? bei mir erscheint nämlich irgendwie das CookieBot Popup nicht…
Hi Timo,
wenn du den GCM aktivieren möchtest, musst du unter „Additonal Consent Checks“ NICHTS weiter eintragen.
Wenn du den GCM NICHT nutzen möchtest, d.h. deaktiveren möchtest, dann geht das indem du unter „Additonal Consent Checks“ den analytics_storage auswählst. Weil ich den GCM auf der AK deaktiviert habe, habe ich das zusätzlich drinnen stehen.
Ich update hier aber nochmal den Blogartikel und erkläre das im Detail – guter Input, vielen Dank!
Ganz liebe Grüße,
Michaela
hmm irgendwie ist da ein Bug in GTM Template Editor…die Group-ID von cookiebot geht jedesmal verloren…oder wird diese nach speichern und wenn man erneut reingeht nur nicht angezeigt aus Datenschutzgründen? Und muss man im TAb „permissions“ die Domain um die es jeweils geht auch noch eintragen? Da steht nur: https://*.cookiebot.com/
aber auch wenn ich dort was eintrage und speichere..das ist später dann auch wieder weg???
Hi Timo,
meinst du im GTM oder in Cookiebot? Weil im GTM Template kannst du direkt die Cookiebot ID eingeben, nicht die Group ID.
Schick mir gerne einen Screenshot an support@analyticskiste.blog, dann kann ich besser beurteilen wo das Problem liegt – oder hat sich das Problem mittlerweile gelöst?
Liebe Grüße,
Michaela
Hallo Michaela,
Vielen Dank für den ausführlichen Beitrag.
Ich habe momentan auf einer meiner Webseiten einen OneTrust Consent Banner eingebaut. In GTM frage ich per Trigger Gruppe ab ob dem Consent Banner zugestimmt wurde und ob die jeweilige Bedingung wie ein Klick ausgeführt wurde. Für Seitenaufrufe und Klicks funktioniert diese Kombination super.
Jetzt möchte ich aber ein Scroll Tracking per GTM implementieren. Der Trigger für die Scrolltiefe funktioniert alleine super (z.B. bei 25, 50, 75 und 90%). Sobald ich aber den Scrolltrigger und den One Trust Consent Trigger in eine Trigger Gruppe setze, wird mein Tag nur einmal pro Seite ausgeführt. Immer beim ersten Threshhold (z.B. 25%). Bei den nachfolgenden Threshholds wird der Tag nicht ausgeführt.
Wie kann ich OneTrust Consent mit meinem Custom Scroll kombinieren?
Hallo Max,
super spannende Frage, weil das Problem an einer Triggergruppe ist, dass sie nur 1x pro Seite ausgeführt wird – genau wie du beschrieben hast.
In dem Fall darfst du also keine Triggergruppe verwenden, sondern musst mit Blogging-Triggern arbeiten.
Ganz liebe Grüße,
Michaela
Hallo Michaela,
vielen lieben Dank für diesen tollen Artikel (und die vielen anderen 🙂 ) . Ich verstehe, dass du pro Consent Mode bist, wenn es um Google Ads Daten geht. Das sehe ich genauso. Ich frage mich nur, ob es aus Datenschutz-Gründen so viel Sinn macht den Consent Mode zu empfehlen. Du schreibst z.B. „Außerdem übernimmt der Consent Mode NICHT die Dokumentation der Zustimmung deiner User. Laut DSGVO muss jedoch die Zustimmung schriftlich dokumentiert werden, sodass User jederzeit Auskunft über ihre Einwilligung haben können.“ Daher würde ich es so verstehen, dass der Consent Mode für Google Ads super ist, um wieder mehr Daten zu bekommen, allerdings macht man sich da aus Datenschutzgründen wieder mehr „angreifbar“. Und das sehe ich dann doch etwas kritisch. Weißt du was ich meine oder habe ich hier etwas übersehen?
Viele Grüße
Britta
Hallo Britta,
genau, du bekommst zwar mehr Daten in Google Ads und mittlerweile auch in Google Analytics – allerdings macht man sich aus Datenschutzgründen wieder mehr angreifbar.
Deswegen bin ich derzeit noch nicht pro Consent Mode. Ich finde die Möglichkeiten zwar genial aber man muss schon sehr genau abwegen, ob man den GCM aktiviert oder nicht. Die Entscheidung überlasse ich jedem Unternehmen und deren Datenschutzbeauftragten selber.
Ganz liebe Grüße
Michaela
Auch wenn der Artikel schon etwas älter ist bin ich erneut darauf gestoßen.
Die Informationen zur Funktionsweise sind durchaus hilfreich und umfangreich – es bleibt jedoch festzuhalten, dass der Google-Consent-Mode nach DSGVO & TTDSG schlicht unzulässig ist, denn es findet, wie in einigen Kommentaren bereits geschrieben, eine Datenübermittlung an Google statt (Google Tag wird trotzdem geladen um das Signal zu übertragen – min die IP-Adresse landet dabei bei Google) – die bei verweigertem Consent nicht zu lässig ist – unabhängig davon, was Google hier behauptet mit den Daten zu tun oder nicht zu tun.
Darüber hinaus sei angemerkt, das auch „serverside Tracking“ lediglich eine technische Umsetzung ist, Consent jedoch weiterhin nötig ist. Es handelt sich bei Missachtung hierbei schon eher um einen Umgehungstatbestand mit dem die unzulässige Datenübermittlung verschleiert werden soll.
Ein Update für den Artikel wäre dringend notwendig, der bisherige Stand altert schlecht…
Hallo Hans Peter,
vielen Dank für dein Kommentar und deine Einschätzung – ich gebe dir vollkommen Recht – in jeder Hinsicht.
Der Blogartikel ist leider schon etwas veraltet und gehört überarbeitet. Er beinhaltet jedoch, dass ich den Einsatz des GCMs keinesfalls empfehle (siehe Fazit). Dennoch muss das jedes Unternehmen für sich selbst entscheiden und mit dem Datenschutzbeauftragten abklären.
Ganz liebe Grüße
Michaela
Hallo Michaela
toller Artikel, danke. Ich würde gerne GTM erst feuern, wenn consent gegeben wurde (und nicht Cookiebot über das GTM aussteuern). Finde aber nicht wirklich eine gute Anleitung. Hast du eventuell da eine Quelle?
BG
Lars
Hallo Lars,
damit der GTM komplett blockiert wird, muss das GTM Basisscript geändert werden.
Statt:
Zusätzlich sollte aber immer der Consent im GTM geprüft werden, zB. wie hier: https://support.cookiebot.com/hc/en-us/articles/4417455460114-Alternative-methods-for-conditionally-loading-tags
Ganz liebe Grüße Michaela