Warum du den Google Consent Mode V2 ab März 2024 verpflichtend nutzen musst und wie du mit Cookiebot weiterhin DSGVO-konforme Webanalyse betreiben kannst30 min Lesezeit

Google Consent Mode V1, V2, Basic, Advanced: 🤯. Was bedeutet das alles? Was ist dieser Consent Mode überhaupt? Und warum ist er ab 6. März 2024 verpflichtend einzusetzen? Die Antworten dazu findest du in diesem Blogartikel sowie eine Liebeserklärung an Cookiebot.

Disclaimer: Dieser Blogartikel liefert dir einen Überblick über den Google Consent Mode und das Consent Management Tool „Cookiebot“. Es sind Best Practice Empfehlungen, jedoch keine rechtssicheren Auskünfte.

Bitte informiere dich unbedingt über die DSGVO-Vorgaben deiner Firma und nimm vor der Umsetzung meiner Empfehlungen ggfs. entsprechende Anpassungen vor.

DSGVO: Consent ist King🤴

Seit Mai 2018 ist die Datenschutz Grundverordnung (DSGVO) die datenschutzrechtliche Grundlage für das Erfassen, Verarbeiten und Speichern von personenbezogenen Daten in der EU.

Personenbezogene Daten: Das sind Daten, die eindeutig einer bestimmten Person zugeordnet werden können. Im Internet sind das bspw

• Email Adressen,
• IP Adressen,
• Kundennummern (UserID) und
• Cookies (ClientID).

Auf Email Adressen, IP Adressen und Kundennummern kann in der Webanalyse und generell im digitalen Marketing (wenn auch schweren Herzens) verzichtet werden.

Auf Cookies🍪 aber nicht, denn Google Analytics braucht Cookies um Interaktionen die User innerhalb einer Sitzung vornehmen eben dieser Sitzung zuordnen zu können.

Dafür setzt Google Analytics ein first-party Cookie Namens _ga:

Noch wichtiger: Anzeigensysteme wie Google Ads oder Werbenetzwerke wie das Google Display-Netzwerk (GDN) setzen sogenannte third-party Cookies um ebenfalls Informationen über Nutzer zu sammeln, die in weiterer Folge zur Optimierung der Anzeigen beitragen.

First-party vs. Third-Party Cookies: First Party Cookies werden von Websites gesetzt auf der User gerade surfen bspw das Google Analytics Cookie von meiner ANALYTICSkiste in deinem Browser.

Third Party Cookies werden hingegen durch Dritte gesetzt. Üblicherweise sind das Advertiser wie Google Ads um Werbung zu schalten bzw. zu optimieren.

Hinweis: 3rd-Party Cookies funktionieren jetzt schon nur noch in Google Chrome, werden jedoch 2024 auch da verschwinden. Deswegen sind 1st-Party Daten immer und immer (und immer) wichtiger.

Statt nerviger random Werbung, die nach dem Gießkannenprinzip verschüttet wird, erhältst du durch Cookies also exakt auf dich zugeschnittene, personalisierte Werbung. Stichwort: Profiling.

Eigentlich gar nicht soooo dramatisch, denn statt der hundertsten Auto-Werbung, die mich derzeit nicht interessiert, bekomme ich

• Banner für Analytics-Konferenzen die demnächst stattfinden (yeah, geil – angemeldet!🤓),
• Aktionen von einem österreichischen Supermarkt, bei dem ich seit Corona online einkaufe (awesome!💸),
• Werbung, dass mein Lieblings-Eissalon geöffnet hat (Ich liebe Eis! 🍨)

Ist das ein Nachteil? Ich finde nein.

Doch die DSGVO verbietet das Setzen von Cookies – auch wenn diese nur über random IDs (ClientIDs) verfügen. Da die random ID im Browser für zumindest sieben Tage gültig ist und den User somit eindeutig re-identifizieren kann, dürfen Cookies eben nicht mehr einfach so gesetzt werden.

Die Lösung: Man holt sich einfach die Zustimmung (auf Englisch: Consent), denn nicht mehr nur Content sondern auch Consent ist mittlerweile King.

Deswegen wurde spätestens seit Mai 2018 das ganze Internet mit nervigen Cookie-Bannern geflutet, die händeringend um die Zustimmung für das Setzen von Cookies werben: Magst du einen Keks? 🍪

Hinweis: Als treuer Webanalyst klicke ich natürlich überall ganz brav auf “zustimmen”, denn das wünsche ich mir von meinen Blogartikel-Lesern auch.

Zusätzlich hat auch Google auf die DSGVO reagiert und in Google Analytics einige neue Datenschutzeinstellungen vorgenommen.

Hinweis: Eine Liste aller Datenschutzeinstellungen in Google Analytics findest du hier im Google Support Center.

Außerdem hat Google seit August 2020 all seinen Anzeigensysteme in das Transparency and Consent Framework (TCF) des IAB Europe integriert. Auch Google Analytics kann in TCF Version 2 integriert werden, um Werbefunktionen für User zu steuern, die gtag.js oder den Google Tag Manager verwenden.

Hinweis: Das TCF unterstützt Publisher, Technologieanbieter und Werbetreibende bei der Einhaltung der DSGVO- und ePrivacy Richtlinie durch die Erstellung eines Industriestandards. Alle Details dazu findest du auf der Website des IAB Europe.

Für jene, die sich gegen die Verwendung des TCF v2.0 entscheiden (User-Einwilligung braucht man natürlich trotzdem!) und um das Consent-Management für Google-Tags generell zu vereinfachen, führt Google eine neue Lösung ein:

Den Google Consent Mode (auf Deutsch: Einwilligungsmodus).

Achtung: Der Google Consent Mode ist ab 6. März 2024 verpflichtend einzusetzen, wenn du weiterhin personalisierte Anzeigen aus Google Analytics in Google Ads verwenden sowie die Funktion für Messung, personalisierte Anzeigen und Remarketing in Google Ads verwenden möchtest. Eine Umstellung bis Ende 2024 ist notwendig, um weiterhin Conversions zu erfassen.

Hintergrund ist eine neue EU Vorgabe (Digital Markets Act (DMA)), welche Konzerne ab 2024 dazu verpflichtet die Zustimmung zum Tracking vorweisen zu können – siehe auch „Richtlinie zur Einwilligung der Nutzer in der EU“.

Schauen wir uns die Details an:

Was ist der Google Consent Mode?

Der Google Consent Modus regelt das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User – nicht mehr und nicht weniger.

Hat ein User seine Einwilligung zur Erfassung, Verarbeitung und Speicherung seiner Daten auf deiner Website gegeben, bleibt alles wie bisher. Google Analytics und auch alle anderen Google Tags dürfen richtigerweise Cookies setzen und ihren Schabernack treiben.

Was ist aber wenn der User keine Einwilligung gibt? Wenn er also nicht in Google Analytics getrackt und keine personalisierte Remarketing Werbung erhalten möchte? Dann dürfen die Google-Tags nicht gefeuert werden. Es dürfen keine Statistik- und keine Conversion-Daten erhoben sowie keine Cookies gesetzt werden.

Genau das regelt der Google Consent Mode:

Er kann aber noch mehr, wenn du möchtest: Lehnen User die Cookies im Cookie-Banner ab – klicken also auf „ablehnen“ – können trotzdem Daten an Google gesendet werden.

Dabei handelt es sich um eine Ping-Information, die ohne Cookies funktioniert und keine personenbezogenen Informationen enthält.

Der Ping besteht aus einem Zeitstempel, dem User-Agent (nur Web) und der Verweis-URL – wie Google im Support-Center schreibt.

Google nutzt diese Informationen zur Datenmodellierung um Lücken bei der Datenerhebung zu schließen, denn die Anzahl der Nutzer, welche im Cookie-Banner auf „Akzeptieren“ klicken, wird immer geringer. Die Folge: Die Datenmenge schrumpft – in GA4 aber auch in Google Ads.

Das bereitet nicht nur uns Marketern, sondern auch Google große Sorgen, denn mit Werbung verdienen nicht nur wir sondern auch Google sein Geld…

Neue Lösungen müssen also her und da gibt es natürlich keine bessere als KI zur Datenmodellierung.

Deswegen werden in Google Ads bereits seit April 2021 die Daten vom GCM für Conversion Modelling genutzt, um Anzeigen trotz abgelehnten Consent (Data Privacy) oder technischen Einschränkungen (ITP & Co) zu optimieren und automatische Gebotseinstellungen zu verbessern.

Seit Herbst 2021 ist auch in Google Analytics 4 das Conversion Modelling verfügbar. Wie Conversion Modelling funktioniert erklärt Ken Williams in diesem Blogartikel sehr, sehr fein.

Seit 2023 werden sogar alle Daten (auch User und Sitzungen) via Behavioral Modelling in GA4 modelliert, sofern

1. der Google Consent Mode aktiv ist
2. Modellings in GA4 aktiviert sind und
3. genügend Daten erfasst werden (mind. 1.000 Ablehnungen und 1.000 Annahmen im Cookiebanner).

Hinweis: Ob Modellings in GA4 aktiv sind, kannst du in der Verwaltung –> Datenanzeige –> Identität für die Berichterstellung prüfen:

Screenshot: GA4 Modellings überprüfen

In meinem Fall ist die Modellierung inaktiv, da ich zu wenige Daten erfasse…

Später sollen auch noch Online-to-Offline Modelling und Unique Reach Modelling folgen, wie Saurabh Sharma von Google hier schreibt.

Das klingt im ersten Schritt hervorragend und nach GENAU DEM, was wir im Marketing brauchen.

Aus Daten-Sicht ist der Google Consent Mode also ein wahrer Segen. 🙏

Aus Datenschutz-Sicht ist der Google Consent Mode jedoch im dunkelgrauen Graubereich, denn es wird trotz Ablehnung getrackt – zwar cookieless und ohne jeglichen Daten mit Personenbezug. ABER es wird getrackt!

Zusammengefasst: Der Google Consent Mode regelt also das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User UND bietet ein cookieloses Tracking für Consent-Ablehner, um Datenlücken in Google Ads und GA4 zu schließen.

Seit November 2023 gibt es jedoch ein Update:

Was ist der Google Consent Mode V2?

Im November 2023 hat Google ein Update des Google Consent Modes herausgebracht: Den Google Consent Mode V2.

Grund dafür ist eine neue EU Vorgabe (Digital Markets Act (DMA)), welche Konzerne ab 2024 dazu verpflichtet spezifische Betriebs- und Compliance-Anforderungen zu erfüllen um bspw. weiterhin personalisierte Anzeigen schalten zu können. Wie immer geht es also hauptsächlich um Werbung und somit Google Ads und Google’s Display Tools.

Hinweis: Der DMA ist eine europäische Verordnung, die dem Datenschutz dient und fairen Wettbewerb, Transparenz und Innovation auf dem digitalen Markt fördern soll.

Er betrifft die sechs größten Konzerne weltweit (Alphabet (Google), Amazon, Appel ByteDance (Tiktok), Meta (Facebook) und Microsoft) und tritt am 6. März 2024 in Kraft.

Cookiebot hat alle Details dazu in diesem Artikel sehr schön zusammengefasst.

Für Google betrifft das Daten aus folgende Quellen:

• Websites: Tags, über die Daten an Google gesendet werden
• Apps: SDKs, über die Daten an Google gesendet werden
• Datenuploads: Tools zum Hochladen von Daten aus nicht von Google stammenden Quellen (z. B. Importe von Offline-Conversions oder Daten zu Ladenverkäufen)

Um weiterhin Daten aus diesen Quellen nutzen zu können, muss ab 6. März 2024 verpflichtend der Google Consent Mode eingesetzt werden. Denn nur mit diesem kann Google die Anforderungen an den DMA erfüllen.

Wichtig: Der Google Consent Mode ist eine Einstellung im Tracking, welcher in erster Linie das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User regelt.

Es bedeutet NICHT, dass du automatisch cookielos trackst!

Mit der neuen Version 2 hat Google den Google Consent Mode in einen „Basic Mode“ und einen „Advanced Mode“ aufgeteilt.

Verwirrend dabei ist, dass der bisherige Consent Mode (die 1. Version) zum „Advanced Mode“ umbenannt wurde und die Bezeichnung „Basic Mode“ neu ist.

Merksatz:

• Der GCM „Basic Mode“ ist neu. Getrackt wird nur bei Zustimmung.
• Der GCM „Advanced Mode“ ist der alte, bisherige Consent Mode (V1). Getrackt wird auch bei Ablehnung – cookielos.

Schlimmer hätte Google es nicht machen können… 🙄🙈

Schauen wir uns die beiden Consent Mode Varianten nun im Detail an:

Der BASIC Google Consent Mode

Im Basic Google Consent Mode werden ausschließlich Daten an Google gesendet, wenn die Einwilligung des Users vorliegt – der Nutzer im Cookie-Banner also auf „Annehmen“ geklickt hat.

Liegt keine Zustimmung vor, werden keine Daten an Google gesendet.

Auch keine Pings.

Damit ändert sich im Basic Google Consent Mode NICHTS am bisherigen Tracking. Alles bleibt wie zuvor.

Das einzige ist, dass die GCM „Basic“-Einstellung entsprechend im Google Tag Manager vorgenommen werden muss, damit Google sicherstellen kann, dass tatsächlich nur Daten erhoben werden, wenn Consent vorliegt.

>> Welche Einstellungen das sind, erfährst du weiter unten.

Hinweis: Den BASIC Google Consent Mode gab es auch schon in V1. Er ist nicht komplett neu, allerdings hat diesen kaum jemand genutzt. Deswegen war er bisher unbekannt.

Der ADVANCED Google Consent Mode

Der Advanced Google Consent Mode ist jene Einstellung, die in der 1. Version des GCMs „Google Consent Mode“ genannt wurde.

Getrackt wird auch bei Ablehnung – zwar cookielos und ohne jeglichen personenbezogenen Daten. Stattdessen wird nur eine Ping-Information mit Zeitstempel, User-Agent und Verweis-URL an Google gesendet. Es sind somit anonyme Daten ohne Consent, die Google im GCM Advanced Mode sammelt und für die Datenmodellierung nutzt, um Lücken bei der Datenerhebung zu schließen.

ABER: Es wird getrackt!

Das sehen Datenschützer kritisch und lehnen den Einsatz des Advanced Google Consent Modes eher ab.

Das ist auch nachvollziehbar bei einer clientseitigen Tracking-Implementierung: Denn hier werden alle Daten 1:1 direkt an Google gesendet u.a. auch die IP-Adresse, die seit Google Analytics 4 nicht mehr über den Tracking-Code sondern erst auf den Google-Servern anonymisiert wird – sofern in GA4 korrekt konfiguriert.

Die IP-Adresse ist jedoch ganz klar ein personenbezogenes Datum.

Das Tracking ist daher NICHT Datenschutzkonform.

Anders ist es, wenn das Tracking serverseitig implementiert wird: Damit werden die Daten nämlich nicht 1:1 an Google gesendet, sondern zuvor an den eigenen Tracking-Server geleitet. Hier können alle gewünschten Anpassungen vorgenommen wie bspw. die IP-Adresse anonymisiert oder gänzlich entfernt werden, bevor der Request weiter zu Google geleitet wird.

Wird die IP-Adresse anonymisiert oder am besten komplett entfernt, ist das Tracking im Advanced Google Consent Mode tatsächlich ohne jeglichen Personenbezug und der Einsatz statt im dunkelgrauen im hellgrauen Graubereich, denn es wird weiterhin ohne Zustimmung getrackt.

Deswegen gilt: Wenn mit dem Google Consent Mode Advanced cookieless getrackt wird, dann am besten nur mit einer serverseitigen Tracking-Implementierung.

Alle Details zum serverseitigen Tracking können hier nachgelesen werden: >> Serverseitiges Tracking: Die Zukunft der Webanalyse trackt serverseitig – aber wie?

WICHTIG: Bitte kläre den Einsatz des cookielosen Trackings trotzdem vorab mit deinem Datenschutzbeauftragten ab.

Welche Daten im GCM Advanced Mode von welchen Google-Diensten und für welche Zwecke verwendet werden dürfen, wird über vier Signale geregelt.

Diese Signale müssen im Tracking-Code mitgegeben werden und sind folgende:

• analytics_storage: Legt die Einwilligung zu statistischen Daten fest (=GA4 Events)
• ad_storage: Legt die Einwilligung zu Marketing Daten fest (= Conversions für Google Ads)
• ad_user_data (NEU): Legt die Einwilligung für das Senden von Nutzerdaten zu Werbezwecken an Google fest (=Enhanced Conversions)
• ad_personalization (NEU): Legt die Einwilligung für personalisierte Anzeigen fest (= Remarketing)

>> Welche Einstellungen du im GTM für den advanced GCM setzten musst, erfährst du weiter unten.

Wichtig: Den advanced Google Consent Mode musst du NICHT nutzen!

Du kannst selber entscheiden, ob du weiterhin nur mit Zustimmung und somit im Basic-Mode trackst ODER ob du deine Daten von Google modellieren lassen möchtest und somit den Advanced-Mode einsetzt.

Wenn du keine Werbetools von Google im Einsatz hast, musst du auch NICHT auf den Consent Mode umstellen. Die Umstellung ist nur notwendig, wenn du Funktion für Messung, personalisierte Anzeigen und Remarketing nutzen möchtest.

Welcher Consent Mode passt zu dir?

Consent Mode V1, V2, Advanced, Basic… 🤯

Welche Google Consent Mode Einstellung sollst du nun nutzen?

Das kommt darauf an, ob du Google’s Werbetools im Einsatz hast.

Nutzt du Google Ads oder die Display-Tools von Google, musst du ab 6. März 2024 die Basic-Version des Google Consent Modes nutzen.

Andernfalls kannst du keine Daten (Conversions, Zielgruppen) aus Google Analytics 4 in Google Ads sowie die Funktion für Messung, personalisierte Anzeigen und Remarketing in Google Ads verwenden. Dazu ist der Basic-GCM notwendig!

Wenn du zusätzlich deine Daten aufpeppen möchtest und das „Go“ von deinem Datenschutzbeauftragten hast, kannst du vom Basic- auf den Advanced-Mode wechseln.

Damit trackst du auch jene User, die im Cookiebanner auf „ablehnen“ klicken. Diese Daten werden zu Google gesendet und über Datenmodellierungen in Google Ads und GA4 zur Verfügung gestellt – allerdings nur, wenn du einen Schwellwert von mind. 1.000 Zustimmern und 1.000 Ablehnern erreichst. Bei zu wenigen Daten funktionieren die ML-Algorithmen von Google nicht und du fütterst die Google-Maschine ohne davon zu profitieren.

Wenn du keine Werbetools von Google im Einsatz hast, musst du den Consent Mode NICHT nutzen. Du kannst deine bisherigen Einstellungen im GTM belassen und weiterhin wie gewohnt tracken. Das Update betrifft dich nicht!

Consent Mode != Consent Management Tool

Egal ob Consent Mode V1, V2, Advanced oder Basic, ganz, ganz wichtig ist eines: Der Google Consent Mode ist KEIN Consent Management Tool!

Der GCM regelt NUR das Verhalten der Google Tags – ignoriert jedoch alle anderen Tags in deinem GTM wie bspw. das Facebook Pixel, Criteo oder Hotjar.

Außerdem übernimmt der Consent Mode NICHT die Dokumentation der Zustimmung deiner User für dich. Laut DSGVO musst jedoch DU die Zustimmung schriftlich dokumentieren, sodass User jederzeit Auskunft über ihre Einwilligung haben können.

Google muss laut DMA zwar die Einwilligung dokumentieren, dir aber nicht zur Verfügung stellen. Es ist daher super wichtig, dass du dich selber um die Dokumentation kümmerst.

Deswegen brauchst du ZUSÄTZLICH zur Nutzung des Google Consent Modes ein Consent Management Tool.

Die Auswahl dieser ist groß, denn der Markt wird geradezu überflutet von Anbietern.

Einige Anbieter haben auch schon eine nahtlose Integration mit dem Google Consent Mode (egal ob V1 oder V2).

Tipp: Eine aktuelle Liste welche Anbieter Google empfiehlt, findest du hier im Google Support Center.

Ein Consent Management Tool Anbieter sticht dabei besonders hervor: Cookiebot

Cookiebot verfügt derzeit als eines von drei Consent Management Tools über ein fix fertiges Google Tag Manager Template und ist deswegen besonders schnell und einfach einsatzbereit.

Hinweis: Die anderen beiden Tool-Anbieter mit GTM-Template sind CommandersAct und Consent Manager.

Ein weiterer Vorteil von Cookiebot ist, dass es auch für kleinere Websites leistbar ist: Websites unter 50 Seiten können Cookiebot sogar kostenlos nutzen. Websites unter 500 Seiten zahlen gerade einmal €12 pro Monat und Websites unter 5.000 Seiten €28/Monat. Das ist ganz okay.

Als kleiner Website-Betreiber oute ich mich als großer Cookiebot Fan und zeige dir im folgenden, wie du den Google Consent Mode V2 mit Cookiebot auf deiner Website implementieren kannst:

Schnellstart-Anleitung: GCM V2 mit Cookiebot

Bevor Cookiebot über den Google Tag Manager auf deiner Website implementiert werden kann, benötigst du einen Cookiebot Account.

Hinweis: Wenn du bereits einen Cookiebot Account hast, kannst du das folgende Kapitel überspringen und direkt zum GTM Setup gehen.

Cookiebot Account Setup

Wenn du bisher noch keinen Cookiebot Account hast, kannst du dich hier kostenlos bei Cookiebot registrieren.

Nach der Registrierung kannst du einen neuen Cookie-Banner erstellen, den du anschließend auf deiner Webseite aktivierst.

Um deinen Cookie-Banner zu erstellen, gehe in die Cookiebot-Einstellungen und lege eine neue Domaingruppe an:

Wichtig: Wenn deine Website <50 Seiten hat und du Cookiebot kostenlos nutzen möchtest, achte darauf, dass du bei Abonnementplan “Gratistarif” auswählst. Andernfalls ist “Kostenlose 1-Monats Testversion” vorausgewählt. Nach dem Test-Monat werden die Kosten laut Pricing automatisch von deinem Konto abgebucht.

Füge nun den Domainnamen deiner Website unter “Domains” ein:

Im “Dialogfeld” kannst du Einstellungen für deinen Cookie-Banner vornehmen:

Ich habe als Vorlage “Overlay” ausgewählt. Du kannst jedoch aus einer Liste an Dialogfeldern wählen und die verschiedenen Einstellungs-Möglichkeiten ganz nach deinen Bedürfnissen bzw. den DSGVO-Vorgaben deines Unternehmens anpassen.

Unter “Erklärung” kannst du den Dialogtext zur Cookie-Erklärung anzeigen lassen oder abwählen. Weitere Einstellungen gibt es nur in der bezahlten Version.

Bei “Inhalt” kannst du die Default-Texte des Cookie-Banners anpassen:

Kopiere unter “Ihre Skripte” den zweiten Code für die Cookie-Deklaration:

Füge diesen Code auf deine Datenschutz-Seite ein um deine Datenschutz-Erklärung um die von Cookiebot gescannten Cookies zu erweitern. Der große Vorteil ist, dass die Cookie-Liste regelmäßig und automatisch von Cookiebot angepasst wird:

Hinweis: Den ersten Code unter “Ihre Skripte” benötigst du nur, wenn du Cookiebot nicht über den Google Tag Manager einbaust. Ich empfehle jedoch die Nutzung des GTMs, da du mit diesem wesentlich flexibler bist.

Alle Vorteile zum Google Tag Manager erfährst du hier: 👇

Wichtig ist, dass du dein Cookiebot-Setup speicherst (das habe ich nämlich beim ersten Mal vergessen🙄):

Du kannst deinen fertig konfigurierten Cookie-Banner unter “Vorschau” ansehen:

Perfekt! 👍

Jetzt fehlt nur noch der Cookiebot Tag im GTM:

Cookiebot Google Tag Manager Setup

Cookiebot kann ganz einfach über den Google Tag Manager ausgespielt werden. Der große Vorteil ist, dass Cookiebot für den GTM ein fixfertiges Template zur Verfügung stellt. Damit ist das Setup nochmals einfacher.

Cookiebot CMP Tag hinzufügen

Öffne den Google Tag Manager und gehe in den gewünschten Container.

Wähle aus der Template Gallery den “Cookiebot CMP”-Tag aus und füge das Template deinem Container hinzu:

Achtung: Falls du den Cookiebot-Tag VOR November 2023 in deinen GTM geladen hast, ist ein Template Update verfügbar. Der GTM informiert dich darüber via Notification:

Screenshot: Cookiebot Template Update im GTM

Klick auf „View“ um das Update einzusehen und dann auf den Cookiebot Tag um das Update zu erhalten. Dieses benötigst du damit Cookiebot mit den neuen Consent Settings funktioniert.

Trage in das Feld “Cookiebot ID” deine Cookiebot ID ein:

Die Cookiebot-ID findest du im Cookiebot Menü unter “Ihre Skripte”:

Google Consent Mode im GTM aktivieren

Im Google Tag Manager gleich unter der Cookiebot ID findest du die Option den Google Consent Mode zu aktivieren.

Klicke hier unbedingt auf „Enable Google Consent Mode“, um die integrierten Consent-Einstellungen des GTMs verwenden zu können:

WICHTIG: Der Google Consent Mode ist ab 6. März 2024 verpflichtend einzusetzen, wenn du weiterhin Daten (Conversions, Zielgruppen) aus Google Analytics in Google Ads verwendet werden möchtest sowie die Funktion für Messung, personalisierte Anzeigen und Remarketing in Google Ads verwenden möchtest.

Hintergrund ist eine neue EU Vorgabe (Digital Markets Act (DMA)), welche Konzerne ab 2024 dazu verpflichtet die Zustimmung zum Tracking vorweisen zu können – Details weiter oben im Blogartikel. 

Der Google Consent Mode ist eine Einstellung im Tracking, welcher in erster Linie das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User regelt.

Es bedeutet NICHT, dass du automatisch cookielos trackst!

Im folgenden zeige ich dir das GCM-Setup in der „Basic“ Konfiguration, d.h. Tracking NUR BEI ZUSTIMMUNG.

Wenn du cookielos und somit im Advanced-Consent-Mode tracken möchtest, springe zu dieser Anleitung.

Anleitung Setup Google Consent Mode: Basic

Wenn du Cookiebot über das GTM Tag Template lädst wie oben beschrieben, muss das GTM Setup nicht geändert werden. Die Tags sollen weiterhin blockiert werden, wenn es keinen Consent gibt. Wenn Consent vorhanden ist, wird der Tag wie davor auch ausgeführt.

Durch das Cookiebot Template wird automatisch der Consent Mode Basic aktiviert und Google schickt automatisch die notwendigen Parameter mit.

Anleitung Setup Google Consent Mode: Advanced

Für die Advanced Variante des Google Consent Mode sollen die Tags im GTM auch dann ausgeführt werden, wenn es keine Zustimmung gibt. Für alle Tags von Google (Google Ads, GA4, Floodlight, Google Tag) können somit jegliche Blocking Trigger oder Bedingungen in Triggern entfernt werden.

Durch Cookiebot wird automatisch die Zustimmung („granted“) oder Ablehnung („denied“) an den GTM und weiter zu den Tags von Google übergeben. Die Tags reagieren dann automatisch darauf und setzen dann Cookies oder eben nicht.

Consent Mode mit anderen CMPs nutzen?

Hier im Google Support Center findest du eine Liste aller Plattformen die den Google Consent Mode derzeit unterstützen.

Am besten wendest du dich direkt an deine Consent Management Plattform, die entweder super hilfreiche Support-Artikel und Blogbeiträge oder direkten Support liefern.

Unterstützt deine CMP den Google Consent Mode derzeit nicht, musst du dich in dem Fall selber darum kümmern, den Consent des Users in den Consent Mode zu integrieren.

Hinweis: Es ist anzunehmen, dass alle anderen Consent Management Tools und Plattformen demnächst ebenfalls den Google Consent Mode in ihren Systemen integrieren. Es lohnt es sich eventuell noch ein wenig abzuwarten.

Außerdem musst du dich bei Zustimmung selber um das nachfeuern der Tags kümmern, wenn du das volle Potential auszuschöpfen.

Das ganze wird also sehr schnell, sehr technisch und somit sehr kompliziert, deswegen sei an dieser Stelle an folgende Dokumentationen verwiesen:

• Offizielle Google Consent Mode Doku
• Blog von Simo Ahava

Testing: Google Consent Mode Basic & Advanced

Ist der Google Consent Mode (egal ob Basic oder Advanced) auf deiner Website aktiv, kannst du einige Test-Hits an Google Analytics senden um die Funktion zu überprüfen.

Testing mit Zustimmung

Das Wichtigste ist, dass die Google Tags nach Zustimmung erfolgreich ausgelöst und die Daten nach Google Analytics, Google Ads & Co gesendet werden – also alles wie bisher funktioniert.

Um das zu testen, öffne einen Inkognito-Modus und ruf deine Website auf. Rufe zusätzlich die Developer-Console auf, indem du im Google Chrome auf F12 klickst oder im Browser mit einem Rechts-Klick das Menü öffnest und “Untersuchen” auswählst.

Navigiere in der Developer-Console auf “Network” und trage “collect” in das Suchfeld ein:

Klicke nun auf “Zustimmen” im Cookie-Banner und aktualisiere die Website.

Das Network-Feld solle sich nun mit collect-Streams füllen.

Den GA4-Pageview erkennst du am „collect?v=2….“ und wenn in den Query-String Parametern „en: page_view“ steht:

Überprüfe hier ob es einen Query String Parameter namens „gcs:“ gibt. Existiert dieser Parameter, ist der Google Consent Modus aktiv. Ist der Parameter nicht da, ist der Google Consent Modus inaktiv.

gcs steht dabei für „Google Consent“.

Wir wollen, dass der gcs-Parameter verfügbar ist.

Ob Basic- oder Advanced-Mode entscheidet der jeweilige Status, des Parameters

Folgenden Status kann der GCS-Parameter annehmen:

• G100: Request im “Advanced Mode”, keine Cookies
• G110: Zustimmung nur zu Google Ads, aber nicht Google Analytics
• G101: Zustimmung nur Google Analytics, aber nicht Google Ads
• G111: Volle Zustimmung, „Basic Mode“

In meinem Fall ist der gcs-Parameter verfügbar und auf G111 gesetzt:

Das bedeutet: Der Google Consent Mode ist korrekt im GTM verbaut UND ich habe volle Zustimmung zum Tracking gegeben.

Das Setup ist somit korrekt. ✅

Wie sieht das ganze nun ohne Zustimmung aus?

Testing ohne Zustimmung

Um zu überprüfen, ob der Google Consent Mode „Advanced“ aktiv ist, öffne ein neues Inkognito-Fenster (altes schließen, neues öffnen).

Ruf erneut deine Website auf.

Öffne erneut die Developer Console und aktualisiere deine Website.

Klicke im Cookie-Banner auf “Ablehnen”. Das Network-Feld sollte sich wieder mit collect-Streams füllen:

Hier siehst du nun den gcs:G100-Parameter (dritte Zeile von oben im Headers-Fenster).

Dieser kennzeichnet, dass 1.) der Google Consent Mode aktiv ist und 2.) der Request im „Advanced Mode“ ausgeführt wird.

„Advanced Mode“ bedeutet: Tracking auch bei Ablehnung, jedoch OHNE Cookies und OHNE jeglichen, personenbezogenen Daten.

Perfekt, dass dürfte ebenfalls funktioniert haben. ✅

Hinweis: Falls du das ganze in der Google Analytics Echtzeit testet, bitte nicht wundern, dass hier die Events trotzdem ankommen. Warum auch immer, denn diese Events werden nicht in die Standard-Reports übernommen – das wäre auch fatal wie du hier nachlesen kannst.

Gehen wir aber noch etwas tiefer:

GCM Details: Cookieless Google Analytics

Im Detail ist es so, dass der Google Consent Mode „Advanced“ keine Google Requests blockiert sondern nur den Storage Zugriff regelt (Cookies, localStorage und andere Browserspeicher).

Gibt der User keine Zustimmung werden zwar keine Cookies gesetzt, die Google Tags werden trotzdem gefeuert, wie du beim Testing eben gesehen hast. Jedoch – und das ist der große Unterschied – cookieless, also ganz ohne Verwendung von Cookies.

Hinweis: Viele Blogs schreiben, dass Google Analytics 4 cookieless arbeitet. Das ist derzeit per Default nicht so – auch nicht wenn du den Google Consent Mode nutzt! Es gibt auch sonst keine Einstellung die du aktivieren kannst um in GA4 cookieless zu tracken.

Cookieless bedeutet, dass die Google Analytics Pageviews und Events trotz Ablehnung gefeuert werden – allerdings wird jeder Pageview einer eigenen Sitzung und erst recht einem eigenen User zugeordnet. Ohne Cookies ist der Browser nämlich dumm. Er merkt sich nicht, dass der User schon auf deiner Website ist und gerade zuvor eine Seite angeschaut hat.

Wie Cookieless-Tracking konzeptionell funktioniert, soll folgende Grafik veranschaulichen:

Jeder Page Reload erzeugt also eine neue Sitzung.

Jede neue Sitzung erhält eine neue und somit DSGVO-konforme ClientID und wird somit als neuer User in Google Analytics gezählt.

Diese Daten scheinen aber NICHT in Google Analytics auf.

Das wäre auch fatal!

Stell dir vor 50 Personen geben Consent und werden somit richtig und wie gewohnt in Google Analytics erfasst: Einzelne Events werden einer Sitzung zugeordnet. Mehrere Sitzungen werden dem User zugeordnet. Nichts außergewöhnliches.

Weitere 50 Personen geben jedoch KEINEN Consent. Diese erzeugen aber bspw. jeweils 2 Seitenaufrufe. Gezählt werden also 100 Personen mit 100 Sitzungen, weil der Browser ja “dumm” ist und sich nicht merkt, dass die Personen bereits da waren. Es gibt keine Zuordnung!

Würde man diese beiden Datenhaufen nun in denselben Datentopf schmeißen, würde das die Reports mehr als verfälschen. Du hättest einen deutlichen User- und Sitzungs-Zuwachs (bei gleichbleibenden Pageviews) und könntest dadurch annehmen, dass deine Website einen regelrechten Boost erfährt.

Das ist nur leider nicht so.

Das Gegenteil ist der Fall: Ohne Consent, weniger User die auf deiner Website getrackt werden möchten und somit weniger Daten in Google Analytics.

Deswegen macht es überhaupt keinen Sinn die beiden Datenhaufen zu kombinieren – auch deshalb nicht, weil es unterschiedliche Tracking- und Verarbeitungsmethoden sind und du sozusagen Äpfel🍎 mit Birnen🍐 vergleichen würdest.

Und deswegen kommen bei Ablehnung trotz Einsatz des Google Consent Mode Advanced keine Daten in Google Analytics an.

Hinweis: Die Daten sind  jedoch in BigQuery verfügbar! 🤓

Stattdessen nutzt Google diese Daten für Modellings, ein Ansatz um mittels Hochrechnungen Datenlücken zu schließen.

Das macht durchaus Sinn, denn dann bekommst du tatsächlich aggregierte (und natürlich anonyme) Daten zur Verfügung gestellt, die zusammen mit deinen Zustimmern im selben Datentopf analysiert werden können.

Gemeinsam ergibt das eine ganz gute und relevante Datenbasis.

Fazit und welchen GCM-Modus ich nutze

Zusammengefasst regelt der Google Consent Mode in der Basic-Version nichts anderes, als jedes andere Consent Management Tool auch – mit Beschränkung auf die Google Tags und ohne Dokumentation der Zustimmung.

Zusätzlich werden durch den GCM „Advanced“ deine Daten, wenn auch cookieless und völlig anonym, an Google gesendet – und zwar nicht in deine Google Analytics Property sondern auf irgendwelchen Google Servern:

Eigentlich genau das, was der User nicht möchte – und eigentlich auch das, was ich nicht möchte!

Mit einer clientseitigen Implementierung ist der Google Consent Mode „Advanced“ also unter keinen Umständen zu verwenden, da er NICHT DSGVO-konform ist. Das wird dir jeder Datenschützer bestätigen.

Mit einer serverseitigen Implementierung ist die Nutzung nur halb so dramatisch, wenn serverseitig korrekt konfiguriert wird.

Denn mit einer serverseitigen Implementierung werden die Daten nicht 1:1 an Google gesendet, sondern zuvor an den eigenen Tracking-Server geleitet. Hier können noch Anpassungen vorgenommen wie bspw. die IP-Adresse anonymisiert oder gänzlich entfernt werden, bevor der Request weiter zu Google geleitet wird.

Deswegen gilt: Wenn mit dem Google Consent Mode cookieless getrackt wird (= Advanced Mode), dann im besten Fall mit einer serverseitigen Tracking-Implementierung.

Alle Details zum serverseitigen Tracking können hier nachgelesen werden: >> Serverseitiges Tracking: Die Zukunft der Webanalyse trackt serverseitig – aber wie?

WICHTIG: Bitte kläre den Einsatz des cookielosen Trackings trotzdem vorab mit deinem Datenschutzbeauftragten ab.

Ich habe eine serverseitige Tracking-Implementierung.

Ich entferne die IP-Adresse aus meinen GA4-Streams.

Deswegen habe ich den Google Consent Mode Advanced aktiv, obwohl ich Tracking bei Ablehnung nicht gut finde… Ein „Nein“ sollte ein „Nein“ sein…

Hinweis: Der GCM Advanced bringt mir persönlich auch nur wenig, weil ich viel zu wenige Daten erfasse um Modellings aktiviert zu bekommen. Außerdem nutze ich keine Google Werbetools.

Vielmehr nutze ich den GCM Advanced zu Testzwecken, zum ausprobieren und um weitere Blogartikel schreiben zu können. 😬

Zudem setze ich vollständig auf Cookiebot:

Vorteile: Cookiebot

Der große Vorteil von Cookiebot und warum ich mich für dieses Consent Management Tool entschieden habe ist, dass Cookiebot

• super leicht auf der Website integrierbar ist, wenn du bereits den Google Tag Manager nutzt, da Cookiebot fix fertige GTM Templates zur Verfügung stellt.
• dir automatisch eine Cookie-Liste für deine Datenschutzerklärung zur Verfügung stellt und regelmäßig aktualisiert – kein zusätzlicher Aufwand für dich.
• nahtlos mit dem Google Consent Mode zusammenarbeitet.
• kostenlos für eine Domain mit max. 100 Seiten bzw. kostengünstig für größere Seiten ist. Es ist ein Tool für jedermann und keine super komplexe, gigantische Consent Management Plattform.

Das hat mich überzeugt, deswegen meine Empfehlung: 👇

Fragen?

Du hast eine Frage zum Google Consent Mode Basic, Advanced oder Cookiebot?

👉 Immer her damit. Ich helfe wo ich kann.

Schreib auch gerne in die Kommentare ob du den Google Consent Mode Advanced nutzt, wie zufrieden du mit ihm bist und welche Vorteile er aus deiner Sicht hat – oder ob du momentan eher die Finger von ihm lässt.

Happy Analyzing,

deine Michaela

Alle Links zu kostenpflichtigen Tools sind Affiliate Links.