Real Cookie Banner ist kompatibel mit Google Consent Mode (v2 und neuer). Damit kannst du Einwilligungen nach diesem Standard in deiner WordPress-Website einholen. In diesem Artikel erklären wir dir, was der Google Consent Mode ist, wann du ihm aktivieren solltest und wie du dein Google Consent Mode kompatibles Cookie Banner mit Real Cookie Banner einrichtest.
Was ist der Google Consent Mode?
Der Google Consent Mode ist ein von Google entwickeltes Framework, das Website-Betreibern dabei hilft, Einwilligungen für bestimmte Zwecke oder Services über den Google Tag (gtag.js
) zu übertragen. Dieses Tag bzw. diese Marke kann einer Website hinzugefügt werden, um eine Vielzahl von Google-Produkten und -Diensten zu nutzen und um dieses Tag mit mehreren Zielen zu verbinden.
Die Einwilligungen nach Einwilligungsarten (Zwecken) hilft Website-Betreibern dabei, das Verhalten der Google-Services auf ihrer Website zu steuern. Wenn z.B. keine Einwilligung des Website-Besuchers in Cookies und anderen Datenverarbeitungstechnologien vorliegt, setzt Google auch keine neuen nicht sicherheitsrelevante Cookies. Google verspricht auch ohne Einwilligung mit dem Google Consent Mode dann grundlegende Daten (aggregiert und anonymisiert) in Google-Services sammeln zu können, wobei zugleich die Privatsphäre des Website-Besuchers respektiert werden soll.
Datenschutzrechtliche Kritik am Google Consent Mode
Google verspricht, mit dem Google Consent Mode auch ohne Einwilligung eingeschränkt Daten über Website-Besucher sammeln zu können ("Erweiterter Modus" oder "Advanced Consent Mode" genannt). Dies ist sowohl im Interesse von Website-Betreibers als auch Google. Voraussetzung hierfür ist jedoch, dass die entsprechenden Google-Services noch vor der Einwilligung auf der Website geladen werden müssen.
Durch das Laden der Services wird zwangsläufig die IP-Adresse des Website-Besuchers an Server von Google übertragen. Die IP-Adresse wird in der Regel als personenbezogenes Datum angesehen, womit eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 DSGVO vorliegen muss. In der Regel kommt hierbei nur die Einwilligung infrage.
Google setzt in der Kommunikation den Fokus auf das verminderte Setzen von Cookies und damit die Einhaltung der Vorschriften der ePrivacy-Richtlinie. Zu dessen Einhaltung hat Google auch besondere Pflichten, da ihre Scripte letztlich das Setzen und Lesen von Cookie etc. ausführt. Mögliche Datenschutzverstöße durch die Übertragung personenbezogener Daten an Google, ausgelöst und somit mutmaßlich auch haftend durch den Website-Betreiber, überlässt Google hingegen dem Website-Betreiber.
Der Google Consent Mode kann auch so verwendet werden, dass Google Services erst nach einer Einwilligung geladen werden, wobei damit die größten Vorteile des Google Consent Mode für Website-Betreiber verloren gehen, bei gleichzeitig zusätzlicher Komplexität für den Website-Betreiber. In dieser Form ist der Einsatz des Google Consent Mode unserer Ansicht nach datenschutzrechtlich unbedenklich.
Pflicht zur Verwendung des Google Consent Mode
Der Google Consent Mode wird unter andere von Google Analytics, Google Ads, Floodlight und der Google Conversion-Verknüpfung unterstützt. Ab März 2024 verpflichtet Google Website-Betreiber Einwilligungen nach dem Google Consent Mode (v2 oder neuer) einzuholen, um weiterhin alle Features der benannten Services nutzen zu können.
Aus der spärlichen Kommunikation von Google lässt sich entnehmen, dass folgende Features fortan nur noch mit einer Einwilligung nach dem Google Consent Mode funktionieren. Weitere Features können nach der Einführung der Pflicht auch mit einem Zwang zum Google Consent Mode versehen werden.
- Google Analytics: Zielgruppenbildung
- Google Ads: Conversion Tracking und in der Folge Remarketing-Kampagnen
Google fordert Einwilligungen nach dem Google Consent Mode von Website-Betreibern ein, da das Unternehmen von der EU im Digital Markets Act zu einem Gatekeeper (Unternehmen mit Schlüsselrolle im digitalen Markt) ernannt wurde und somit in der EU und EEA weitreichende rechtliche Pflichten einhalten muss.
Neuerungen in Google Consent Mode v2
Der Google Consent Mode v2 unterscheidet sich von dem ursprünglich eingeführten Google Consent Mode, insbesondere durch die Einführung der Einwilligungsarten ad_user_data
und ad_personalization
. Diese ermöglichen eine feinere Steuerung, welche Daten auf Grundlage einer Einwilligung verarbeitet werden dürfen.
Änderungen, welche den Google Consent Mode datenschutzfreundlicher gestalten würden, sind jedoch nicht Bestandteil der Version 2.
Der Google Consent Mode erweitert dein Cookie Banner um weitere Belehrungen und Optionen für deine Website-Besucher. Wir halten dies für den datenschutzrechtlich einzig vertretbaren Weg, um im Rahmen der gegeben strukturellen Einschränkungen des Frameworks möglichst wirksame Einwilligungen auf deiner WordPress-Website einholen zu können. Zugleich kann eine höhere Komplexität des Cookie Banners abschreckend auf Website-Besucher wirken, sodass du abwägen solltest, ob du den Google Consent Mode verwenden möchtest.
Konkret werden folgende Elemente in deinem Cookie Banner hinzugefügt, sobald mindestens eine Standard-Einwilligungsart (Zweck der Datenverarbeitung) nach dem Google Consent Mode angefragt wird. Alle erteilten Einwilligungen in Zwecke werden immer auf alle Services angewendet, da der Google Consent Mode keine Einwilligung pro Services zulässt.
- In der ersten Ansicht des Cookie Banner werden alle Zwecke, für die du nach dem Google Consent Mode eine Einwilligung anfragst, dargelegt (kann deaktiviert werden).
- In den individuellen Privatsphäre-Einstellungen gibt es eine neue Sektion für die Datenverarbeitungen nach dem Google Consent Mode, in der Einwilligungen zu den jeweiligen Zwecken erteilt werden können.
- In den individuellen Privatsphäre-Einstellungen werde in den Details jedes Services ausgeschrieben, welche Zwecke nach dem Google Consent Mode der jeweilige Service laut dir als Website-Betreiber anfragt (Einwilligung in die Zwecke gilt immer für alle Services).
Googles Pflicht Einwilligungen für Datenverarbeitungzwecke nachweislich einzuholen, ergibt sich aus EG 37 Digital Market Act. Demnach muss der Gatekeeper sicherstellen, dass auf Websites, der seine Services einsetzt, "proaktiv eine nutzerfreundliche Lösung für die explizite, klare und unkomplizierte Erteilung, Änderung oder Widerrufung der Einwilligung" im Sinne der DSGVO angezeigt wird. "Insbesondere sollte die Einwilligung durch eine klare bestätigende Handlung [...] erteilt werden, die eine freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung [...] darstellt."
Zieht man dir Maßstäbe der DSGVO heran, ist es vereinfacht gesagt wichtig, dass der Website-Besucher genau weißt, worin er einwilligt, bevor er seine Einwilligung erteilt (Informiertheit). Zudem müssen ihm die Folgen seiner Einwilligung klar werden können. Der Digital Market Act schreibt hier weiter vor, dass "soweit zutreffend [...] der Endnutzer darüber informiert werden [sollte], dass eine Verweigerung der Einwilligung zu einem weniger personalisierten Angebot führen kann, dass der zentrale Plattformdienst aber ansonsten unverändert bleibt und keine Funktionen vorenthalten werden". Zudem muss die Einwilligung explizit sein (Haken setzen). Nicht zu vergessen ist auch darf nicht erzwungen werden, wenn ein Datenverarbeitungszweck nicht zwingend erforderlich ist (Freiwilligkeit). Nachdem Google Services auch ohne Einwilligung in die Zwecke nach dem Google Consent Mode in weniger personalisierter Form verwendet werden kann, muss jeder Zweck optional sein.
Daher ist es unserer Rechtsauffassung nach unumgänglich, im Cookie Banner weitere Informationen und Checkboxen anzuzeigen, um eine wirksame Einwilligung einzuholen. Andere Cookie Banner bieten dies womöglich eine solche Möglichkeit nicht an, da Google selbst dies Cookie Banner Herstellers nicht vorschreibt, sondern die rechtliche Prüfung den Website-Betreibern und Herstellern von Cookie Bannern überlässt.
Wann solltest du den Google Consent Mode verwenden?
In folgenden Fällen ist dazu zu raten, den Google Consent Mode zu verwenden:
- Google Ads: Werbekampagnen werden auf Google Ads mit Conversion Tracking und/oder Remarketing Kampagnen geschaltet.
- Google Analytics: Zielgruppen werden aktiv in Google Analytics ausgewertet und/oder modellierte Daten in Google Analytics sind wirtschaftlich besonders relevant für Geschäftsentscheidungen.
- Google Tag Manager: Als "Zusätzliche Einwilligungen" können Einwilligungen in alle Services über den Google Consent Mode an den Google Tag Manager übertragen werden, um Tags nur dann zu feuern, wenn eine Einwilligung hierfür vorliegt. Details zur Konfiguration von Google Tag Manager mit Google Consent Mode haben wir in einem separaten Artikel erläutert.
- Nutzung von Google-Services ohne Einwilligung: Bei der Einbindung von Google Services z.B. auf der Rechtsgrundlage eines berechtigten Interesses kann die Datenverarbeitung eingeschränkt werden, und nur mit Einwilligung eine erweitertet Datenverarbeitung durchzuführen. Beachte dazu bitte die oben beschrieben datenschutzrechtliche Problematik!
Solle keiner der benannten Fälle auf dich zutreffen, raten wir dir eher ab den Google Consent Mode zu verwenden, um deinen Cookie Banner so schlank wie möglich zu halten.
Mithilfe von Real Cookie Banner kannst du den Google Consent Mode für deine WordPress-Website einrichten. Hierzu sind folgende Schritte nötig:
- Navigiere in deinem WordPress-Backend zu Cookies > Einstellungen > Google Consent Mode und aktiviere den Google Consent Mode.
- You must then decide whether you want to activate or deactivate the “Google Tag Manager Integration” option. You must activate this option if you already use or intend to use Google Tag Manager on your website.
- Alle weiteren Optionen zum Google Consent Mode sind standardmäßig so konfiguriert, dass sie möglichst datenschutzfreundlich sind. Prüfe bitte, ob du diese für deinen Einzelfall umkonfigurieren möchtest! Detailliertere Erklärungen hierzu findest du weiter unten in diesem Artikel.
- Nach der Speicherung der Einstellungen kann es sein, dass dich Real Cookie Banner dazu auffordert, Einstellungen in der Konfigurationen einzelner Services anzupassen (falls Felder noch nicht vorausgefüllt waren). Für eingesetzte Services primär von Google musst du definieren, welche Einwilligungsarten nach dem Google Consent Mode du anforderst. Hierfür findest du in dem Formular zum Bearbeiten/Hinzufügen von Services einen neuen Abschnitt.
Und das war's schon 🥳 Der Google Consent Mode ist nun auf deiner WordPress-Website aktiv und die erhobenen Einwilligungen werden vollautomatisch über den Google Tag an die jeweiligen Services für dich übertragen.
Optionen für den Google Consent Mode
Für den Google Consent Mode kann die Datenübertragungen und Erfüllung der Informationspflichten je nach Zielsetzung konfiguriert werden. Im Folgenden werden alle Optionen näher erläutert.
Google Tag Manager Integration
Der Google Consent Mode kann neben den Standard-Einwilligungsarten (Zwecken der Datenverarbeitung primär für Google-Services) sogenannte "Zusätzliche Einwilligungsarten" an den Google Tag Manager übertragen. Diese Möglichkeit nutzt Real Cookie Banner, um für alle Services, welche in deinem Cookie Banner ausgewiesen sind, die erhobenen Einwilligungen und berechtigte Interessen in den Google Tag Manager zu übertragen.
Diese "Zusätzliche Einwilligungsarten" kannst du in Google Tag Manager nutzen, um Tags nur dann zu feuern, wenn eine Rechtsgrundlage hierfür vorliegt. Aktiviere diese Option daher, wenn du den Google Tag Manager verwendest!
Zur Konfiguration von Google Tag Manager mit Google Consent Mode haben wir einen separaten Artikel mit ausführlichen Erklärungen verfasst.
Empfehlungen für die Nutzung von Google-Services ohne Einwilligung anzeigen
Wie in der "Datenschutzrechtlichen Kritik am Google Consent Mode" weiter oben in diesem Artikel erläutert, kümmert sich vereinfacht gesprochen der Google Consent Mode nur um das Setzen/Lesen von Cookies (primär Google haftend), nicht aber um die Übertragung personenbezogener Daten wie der IP-Adresse (primär du als Website-Betreiber haftend). Daher kommuniziert Google, dass der Google Consent Mode erlaubt, Daten in Google-Services ohne Einwilligung zu sammeln. Voraussetzung hierfür ist jedoch, dass Google-Services ohne Einwilligung geladen werden, was zwangsläufig zur Übertragung der IP-Adresse an Google-Server ohne Einwilligung führt.
In der Europäischen Union gilt die IP-Adresse, die zum Laden von Inhalten im Internet immer übertragen werden muss, als personenbezogenes Datum (siehe EuGH Entscheidung vom 19. Oktober 2016, Case C‑582/14). Folglich musst du, um nach unserer Rechtsauffassung im Einklang mit Art. 6 DSGVO zu handeln, in der Regel eine Einwilligung zur Übermittlung von Daten an z. B. Google für Google Adsense einholen.
Real Cookie Banner empfiehlt dir daher standardmäßig nicht Google Services vor einer Einwilligung zu laden. Die einzige infrage kommende Rechtsgrundlage nach der DSGVO wäre das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), wobei mittlerweile klar sein sollte, dass Google Analytics und Co. nicht nach einem berechtigten Interesse eingesetzt werden kann.
Möchtest du dennoch auf dein Haftungsrisiko hin, Empfehlungen sehen, wie du Services konfigurieren musst, um den Google Consent Mode möglich vorteilhaft zu nutzen und zugleich Datenschutzverstöße zu begehen, aktiviere diese Option.
Zusätzliche Daten über URL-Parameter sammeln
Werden Einwilligungen in die Einwilligungarten (Zwecke) ad_storage
und/oder analytics_storage
des Google Consent Mode nicht erteilt, können Daten, die typischerweise in Cookies gespeichert werden, über diese Option als GET-Parameter auf internen Links übertragen werden. Dies ist insbesondere relevant, wenn du Werbung in Google Ads buchst und das Conversion Tracking auch ohne Einwilligung funktionieren soll. Bitte beachte, dass Daten nur erfasst werden können, wenn du die jeweiligen Google-Services bereits vor einer Einwilligung lädst. Da unter anderem Client IDs übertragen werden können, die als personenbezogenes Datum angesehen werden können, halten wir diese Datenübertragung für datenschutzrechtlich fragwürdig.
Praktisches Beispiel: Ein Website-Besucher ist in einer Google-Suche und kommt über eine Anzeige, die du mittels Google Ads geschaltet hast, auf die Landing-Page deiner Website. In dem Fall befindet sich in der URL z.B. https://example.com/landing-page/?gcid=123456
eine gcid
, welchen den Klick z.B. für Conversion-Tracking eindeutig der Anzeige zuweisen kann. Wechselt der Website-Besucher nun von der Landing-Page auf einer Kontaktformular-Seite (z.B. https://example.com/kontakt/
), würde die gcid
verloren gehen (darf ohne Einwilligung nicht in Cookie gespeichert werden). Diese Option bewirkt nun, dass Google alle internen Links auf deiner Landingpage so manipuliert, dass die gcid
den Links angehängt wird und der Website-Besucher nicht auf https://example.com/kontakt/
wechselt, sondern auf https://example.com/kontakt/?gcid=123456
. Eine ist dadurch beim Absenden des Kontaktformulars (Conversion) weiterhin möglich.
Daten zu Werbeanzeigen ohne Einwilligung reduzieren
Wird die Einwilligung in den Zweck ad_storage
des Google Consent Mode nicht erteilt, werden keine neuen Cookies für Werbezwecke gesetzt, außer zur Bekämpfung von Betrug und Spam. Zusätzlich kann durch diese Option Messungen zu Klicks auf Werbung durch die Domain googleadsyndication.com
anstatt doubleclick.net
oder google.com
geleitet werden, auf welcher keine Cookies für Werbung gesetzt wird, und Identifikatoren zu Klicks und Seiten-URLs werden aus Werbelinks entfernt. Dies ermöglicht ein datenschutzfreundlicheres Conversion Tracking bei gleichzeitigem Verlust von Detailinformationen über die Zurechnung der Zielerreichung.
Welche Daten in welchem Fall damit nicht getrackt werden, erläutert Google selbst leider nicht. Als Werbetreibender gibst du dir mit dieser Option somit größte Mühe alles richtigzumachen, aber ohne die Folgen für deinen Werbeerfolg abschätzen zu können.
Benennung der angeforderten Einwilligungsarten in der ersten Ansicht
Du als Website-Betreiber hast Informationspflichten nach der DSGVO. In den meisten nationalen Umsetzungen der ePrivacy-Richtlinie (z.B. das TDDDG in Deutschland) orientiert sich der Gesetzgeber auch bei den Anforderungen zum Setzen von Cookies und ähnlichen Technologien an den Vorgaben der DSGVO.
Dazu zählt unter anderem, dass nach Art. 13 Abs. 1 lit. c DSGVO "die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung" vor der Einwilligung benannt werden müssen. Bietest du in deinem Cookie Banner einen "Alles akzeptieren" Button an, musst du daher auch bereits in der ersten Ansicht des Cookie Banners darlegen, für welche Zwecke nach dem Google Consent Mode Einwilligungen erhoben werden.
Solltest du hierbei anderer Rechtsauffassung sein, kannst du die Informationen zum Google Consent Mode in der ersten Ansicht deines Cookie Banners ausblenden. In den individuellen Privatsphäre-Einstellungen wird der Google Consent Mode in jedem Fall ausgewiesen, da deine Website-Besucher die Möglichkeit haben müssen, den einzelnen Einwilligungsarten (Zwecken) zustimmen zu können (Freiwilligkeit der Einwilligung nach DSGVO).
Standard-Einwilligungsarten nach dem Google Consent Mode
Der Google Consent Mode kommt mit sogenannten Standard-Einwilligungsarten. Die sind Zwecke, zu dem primär Google Cookies und Cookie-ähnliche Technologien einsetzen und personenbezogene Daten verarbeiten möchte. Daten werden zu diesen Zwecken nur verarbeitet, wenn eine Einwilligung von dem Website-Besucher geben wurde.
Google stellt im Google Consent Mode v2 folgende Standard-Einwilligungsarten zur Verfügung. Welche Google-Services welche Einwilligungsarten anfordern, um möglichst viele Daten deiner Website-Besucher verarbeiten zu können, muss der Dokumentation des einzelnen Google-Services entnommen werden. Daher ist in Real Cookie Banner in den Service-Vorlagen diese Information für alle relevanten Services bereits von uns für dich recherchiert und vorausgefüllt worden.
ad_storage
: Speicherung und Auslesen von Daten wie Cookies (Web) oder Gerätekennungen (Apps) im Zusammenhang mit Werbung.ad_user_data
: Übermitteln von Nutzerdaten an Google für Online-Werbezwecke.ad_personalization
: Auswertung und Anzeige von personalisierter Werbung.analytics_storage
: Speichern und Auslesen von Daten wie Cookies (Web) oder Gerätekennungen (Apps) im Zusammenhang mit Analysen (z. B. Besuchsdauer).functionality_storage
: Speichern und Auslesen von Daten für die Funktionalität der Website oder App (z. B. Spracheinstellungen).personalization_storage
: Speichern und Auslesen von Daten im Zusammenhang mit Personalisierung (z. B. Videoempfehlungen).security_storage
: Speichern und Auslesen von sicherheitsrelevanten Daten (z. B. Authentifizierungsfunktionen, Betrugsprävention und anderer Nutzerschutz).
Regionenabhängige Einwilligungen im Google Consent Mode
In Real Cookie Banner kannst du mit dem Geo-Restriktion Feature bestimmen, dass nur Website-Besucher aus bestimmten Ländern das Cookie Banner sehen sollen. Für alle Website-Besucher, die in Ländern leben, welche aufgrund weniger strikteren Datenschutzvorgaben nicht zwingend ein Cookie Banner sehen müssen, kann z.B. eine implizite Einwilligung erteilt werden.
Der Google Consent Mode zugleich erwartet bei regional unterschiedlicher Behandlung von Website-Besuchern die Art der Behandlung bereits zum Laden der Website – also noch bevor das Cookie Banner angezeigt wurde – mitgeeilt zu bekommen. Somit können Website-Besucher, die eine implizite Einwilligung gegeben haben, besonders gut z.B. getrackt werden.
Wenn du das Geo-Restriktion Feature und Google Consent Mode gleichzeitig aktiv hast, übermittelt Real Cookie Banner daher automatisch an den Google Consent Mode, wie Website-Besucher pro Land behandelt werden sollen. Du selbst musst hierzu keine manuelle Einstellung oder erweiterte Anweisung über den gtag
versenden.
Google bietet mit seinem CMP Partnerprogramm die Möglichkeit für Consent Management Plattformen wie Real Cookie Banner, sich zertifizieren zu lassen und ihre Bemühungen zu zeigen, die Regeln von Google bezüglich des Google Consent Mode zu befolgen. Real Cookie Banner ist nicht Teil des Partnerprogramms.
Du kannst den Google Consent Mode ohne Einschränkungen nutzen, unabhängig davon, ob die Consent Management Platform zertifiziert ist oder nicht.
Wir haben uns gegen eine Zertifizierung im CMP-Partnerprogramm entschieden, weil wir bestimmte Anforderungen im Interesse von Google nicht erfüllen und stattdessen ein Produkt anbieten wollen, das im besten Interesse der Website-Betreiber und Website-Besucher umgesetzt wird. Zu den Punkten, die wir nicht umsetzen wollen, gehören:
- Google Cosent Mode muss standardmäßig für alle Websites aktiviert sein, unabhängig davon, ob du als Website-Betreiber ihn zu deinem Vorteil nutzen willst oder nicht.
- Einwilligungen nach dem TCF-Standard sollten automatisch und ohne weitere Informationen von deinen Website-Besuchern in den Google Consent Mode übertragen werden. Wir sehen hier einen rechtlichen Konflikt mit den Grundsätzen der DSGVO über die Freiwilligkeit und Informiertheit der Einwilligung.
- Real Cookie Banner müsste eine Vorlage für den Google Consent Mode anbieten, mit der das Cookie Banner über den Google Tag Manager geladen werden kann. Da Real Cookie Banner kein Script ist, sondern ein tief integriertes WordPress-Plugin, macht das wenig Sinn. Außerdem wird beim Laden des Google Tag Managers die IP-Adresse deiner Website-Besucher (personenbezogene Daten) bereits an Google übermittelt, bevor die Einwilligung eingeholt wird, was wir in vielen Fällen für rechtlich problematisch halten.