Google Consent Mode V2 und der Datenschutz
Lesedauer: 10 Minuten
Einführung in den Consent Mode V2
In der Ära der digitalen Transformation sehen sich Unternehmen mit dem komplexen Spannungsfeld zwischen dem Schutz von Nutzerdaten und der Notwendigkeit, datengesteuerte Entscheidungen zu treffen, konfrontiert. Mit der Einführung des Consent Mode V2 reagiert Google auf eine sich wandelnde rechtliche und gesellschaftliche Landschaft, in der Datenschutz und -sicherheit zunehmend in den Vordergrund rücken. Angesichts verschärfter Datenschutzverordnungen wie der DSGVO und dem Digital Markets Act (DMA), sowie einer wachsenden Sensibilität der Nutzer für ihre Online-Privatsphäre, musste Google mit dem Consent Mode V2 reagieren, damit Unternehmen den Spagat zwischen Compliance und effektiver Datennutzung meistern können.
Warum führt Google den Consent Mode V2 ein?
Google verspricht, dass Unternehmen durch die Implementierung des Consent Mode V2 ihre Compliance-Strategien verbessern können, indem sie den Nutzern mehr Kontrolle über die Verwendung ihrer Daten geben. Dies stärkt nicht nur das Vertrauen der Nutzer in die Produkte, sondern ermöglicht es den Unternehmen auch, innerhalb der gesetzlichen Grenzen zu operieren und gleichzeitig wertvolle Daten für die Optimierung ihrer Online-Präsenz zu sammeln.
Die Implementierung des Consent Mode V2 erfordert technisches Know-how und ein tiefgreifendes Verständnis der geltenden Datenschutzgesetze. Unternehmen müssen sicherstellen, dass ihre Nutzung des Consent Mode V2 mit den Erwartungen und Rechten der Nutzer übereinstimmt und gleichzeitig den gesetzlichen Anforderungen gerecht wird. Die Notwendigkeit einer fortlaufenden Überprüfung und Anpassung der Datenschutzpraktiken bleibt also bestehen, um mit den sich ständig weiterentwickelnden Standards Schritt zu halten.
In der herkömmlichen Tracking-Praxis ist das Erfassen von Nutzerdaten direkt abhängig von der sofortigen Zustimmung beim Website-Besuch. Dieses binäre Modell – Zustimmung führt zu Tracking, keine Zustimmung führt zu keinem Tracking – bietet zwar eine direkte Einhaltung von Datenschutzvorschriften wie der DSGVO, ist jedoch in seiner Anpassungsfähigkeit und im Umgang mit nicht-einwilligenden Nutzern begrenzt. In der aktuellen digitalen Landschaft verzichten immer mehr Nutzer auf den Consent, was zu einer signifikanten Lücke in den Datensätzen der Unternehmen führt. Wenn Nutzer die Datenerfassung ablehnen und dadurch 30% des Traffics nicht erfasst werden, können die daraus resultierenden Analysen und Optimierungsstrategien stark verzerrt und ungenau sein. Der Consent Mode V2 wurde entwickelt, um genau diese Lücke im digitalen Marketing und der Datenanalyse zu schließen.
Die Funktionsweise des Consent Mode V2
Der Consent Mode V2 ist in zwei Hauptmodi unterteilt: den Basic Mode und den Advanced Mode. Diese bieten unterschiedliche Ebenen der Datenerfassung und -verarbeitung, je nachdem, welche Zustimmung der Nutzer erteilt hat.
Funktionsweise Basic Mode
Im Basic Mode des Consent Mode V2 werden Daten in einer Weise erfasst, die die Privatsphäre des Nutzers respektiert, indem keine personenbezogenen Daten oder identifizierbaren Informationen gesammelt werden. Aber wie funktioniert das genau, und was bedeutet das für Unternehmen und Nutzer?
Wenn ein Nutzer die Verwendung von Cookies ablehnt, werden keine Daten erhoben. Für die Conversion-Modellierung in Google Ads & Analytics wird dann ein allgemeines Modell verwendet. In diesem Modus verwendet Google eine Technik namens „Cookieless-Pings“, die es ermöglichen soll, Interaktionen zu messen, ohne Nutzer über Websites hinweg zu verfolgen. Es werden grundlegende Informationen wie die Art der Conversion-Aktion, die Tageszeit oder der Browsertyp erfasst, jedoch ohne Verbindung zu einer eindeutigen Nutzer-ID. Dies kann ohne Network-Calls erfasst werden.
Für den Nutzer bedeutet dies, dass seine Interaktionen auf der Website in einer aggregierten Form erfasst werden. Es gibt keine personalisierte Datenspeicherung oder -analyse, und die Daten können nicht dazu verwendet werden, individuelle Profile zu erstellen oder personalisierte Werbung zu schalten. Unternehmen erhalten durch den Basic Mode wertvolle aggregierte Einblicke in das Nutzerverhalten, die für allgemeine Website-Optimierungen genutzt werden können. Auch wenn die Daten nicht für personalisierte Marketingstrategien geeignet sind, bieten sie doch eine solide Basis für die Verbesserung der Benutzererfahrung und die allgemeine Leistung der Website oder einer Kampagne.
Funktionsweise Advanced Mode
Der Advanced Mode des Consent Mode V2 tritt in Kraft, wenn Nutzer ihre Zustimmung zur Verwendung von Cookies und ähnlichen Technologien geben. Dieser Modus ermöglicht eine weit umfangreichere Datenerfassung und -verarbeitung.
Im Advanced Mode werden personenbezogene Daten wie Cookie-IDs oder gegebenenfalls andere identifizierende Informationen genutzt, um detaillierte Einblicke in das Nutzerverhalten zu gewinnen. Diese Daten ermöglichen es, individuelle Nutzerpfade zu verfolgen, Nutzerinteressen zu analysieren und personalisierte Marketingkampagnen zu entwickeln. In diesem Modus verwendet Google fortschrittliche Algorithmen, um Daten zu erfassen und zu verarbeiten, wodurch Unternehmen nicht nur verstehen können, wie Nutzer mit ihrer Website interagieren, sondern auch, wie sie ihre Optimierungsmaßnahmen an die Bedürfnisse und Präferenzen der Nutzer anpassen können.
Für den Nutzer bedeutet die Zustimmung im Advanced Mode, dass seine Daten genutzt werden können, um ihm eine personalisierte Online-Erfahrung zu bieten. Dies kann personalisierte Inhalte, zielgerichtete Werbung oder Empfehlungen umfassen, basierend auf seinem bisherigen Online-Verhalten. Für Unternehmen bietet der Advanced Mode tiefe Einblicke in das Nutzerverhalten und ermöglicht präzises Targeting und Personalisierung. Mit diesen Informationen können Unternehmen ihre Marketingstrategien feinjustieren, die Konversionsraten verbessern und letztlich die Wirkung ihrer Online-Marketing-Maßnahmen maximieren.
Der Consent Mode V2 kann als Schritt gesehen werden, um ein Gleichgewicht zwischen dem Respektieren der Nutzerpräferenzen und dem Bedarf an detaillierten Daten für die Geschäftsoptimierung zu finden. Durch die Wahl zwischen Basic Mode und Advanced Mode können Unternehmen ihre Datenstrategien flexibel an die Zustimmung ihrer Nutzer anpassen, wodurch sie sowohl den Datenschutzanforderungen gerecht werden als auch wertvolle Einblicke für ihre Geschäftsentscheidungen gewinnen.
Cookieless Pings & Datenmodellierung
Im Rahmen des Google Consent Mode V2 sind Cookieless Pings eine zentrale Innovation, die es ermöglicht, Nutzerinteraktionen zu erfassen, selbst wenn traditionelle Cookies nicht eingesetzt werden können. Diese Technologie ist entscheidend für die Datenerfassung in einem zunehmend restriktiven Cookie-Umfeld.
Technische Funktionsweise von Cookieless Pings
Cookieless Pings sind HTTP-Requests, die von einer Webseite gesendet werden, um bestimmte Interaktionen oder Ereignisse zu melden, ohne dabei auf herkömmliche Browser-Cookies angewiesen zu sein. Diese Pings werden ausgelöst, um Interaktionsdaten direkt an Server zu übermitteln, auch wenn der Nutzer die Speicherung von Cookies abgelehnt hat oder der Browser die Cookie-Verwendung einschränkt.
Für Nutzer bieten Cookieless Pings einen erhöhten Datenschutz. Ihre Interaktionen auf der Webseite tragen zur Verbesserung von Diensten und zur Nutzererfahrung bei, ohne dass ihr Online-Verhalten über längere Zeiträume oder über verschiedene Webseites hinweg nachverfolgt wird. Nur bei einer korrekten Implementierung des Consent Modes stellt dieser sicher, dass die Privatsphäre gewahrt bleibt, während Nutzer weiterhin von einer funktionierenden und reaktionsfähigen Webseite profitieren. Cookieless Pings im Consent Mode V2 können eine zukunftsorientierte Lösung für die Datenerfassung sein, die sowohl den wachsenden Datenschutzbedürfnissen der Nutzer als auch den analytischen Anforderungen der Unternehmen gerecht wird. Durch diese Technologie können Unternehmen weiterhin wertvolle Daten sammeln und analysieren, auch in einer Landschaft, die zunehmend von Datenschutzregulierungen und technologischen Einschränkungen geprägt ist.
Diese Methode kann das Risiko von Datenschutzverletzungen verringern, da individuell identifizierbare Informationen nicht erfasst werden. Jedoch bewegt sich diese Technologie in einer gewissen Grauzone bezüglich der DSGVO-Konformität, da die Anonymisierung und die damit verbundene Datenverarbeitung noch immer Gegenstand von Diskussionen und rechtlichen Überprüfungen sind.
Google Consent Mode V2 = Cookieless-Tracking?
Der Google Consent Mode V2 und das Cookieless-Tracking sind beides Antworten auf die wachsenden Datenschutzbedenken und die technologischen Veränderungen in der digitalen Welt. Obwohl sie Ähnlichkeiten aufweisen, dienen sie unterschiedlichen Zwecken und funktionieren auf unterschiedliche Weisen. In diesem Kapitel werden wir die Beziehung zwischen dem Google Consent Mode V2 und dem Cookieless-Tracking untersuchen, um zu verstehen, wie sie sich ergänzen und worin ihre Unterschiede bestehen.
Sowohl der Google Consent Mode V2 als auch das Tracking ohne Cookies stellen Lösungen dar, um in einer zunehmend cookie-aversen Online-Welt Daten zu erfassen. Sie zielen darauf ab, Einblicke in das Nutzerverhalten zu gewähren, ohne auf traditionelle, oft als invasiv empfundene Tracking-Methoden angewiesen zu sein. Beide Ansätze ermöglichen es, Daten zu sammeln und auszuwerten, selbst wenn Nutzer dem Setzen von Cookies nicht zustimmen.
Während Cookieless-Tracking gänzlich ohne Cookies auskommt und Daten auf alternative Weisen erfasst, bietet der Consent Mode V2 eine flexible Struktur, die sich an die Zustimmung der Nutzer anpasst. Im Basic Mode des Consent Mode V2 werden ähnlich wie beim Cookie-losen Tracking Daten ohne die Verwendung personenbezogener Cookies gesammelt. Der Advanced Mode hingegen ermöglicht eine detailliertere Datensammlung, wenn Nutzer ihre Zustimmung geben, und geht damit über das Konzept des Trackings ohne Cookies hinaus.
Der Consent Mode V2 kann als eine Erweiterung oder ein komplementäres System zum Cookieless-Tracking betrachtet werden. Er integriert die Flexibilität, sowohl mit als auch ohne Cookies zu arbeiten, abhängig von der Nutzerzustimmung. Dieser Ansatz reflektiert die Realität, dass nicht alle Nutzer Tracking vollständig ablehnen; einige sind bereit, ihre Daten für eine bessere Online-Erfahrung zu teilen, solange sie die Kontrolle behalten.
Kritische Betrachtung der DSGVO-Konformität
Es ist wichtig zu betonen, dass sowohl der Consent Mode V2 als auch das Cookie-lose Tracking unter die Bestimmungen der DSGVO fallen. Die Einhaltung der DSGVO hängt nicht nur davon ab, ob Cookies verwendet werden, sondern auch davon, wie Nutzerdaten erfasst, verarbeitet und gespeichert werden. Transparente Kommunikation, die Einholung von Zustimmung und die Gewährleistung der Datensicherheit sind unerlässlich, um den Anforderungen der DSGVO gerecht zu werden.
Der Google Consent Mode V2 bietet einen Ansatz, der das Beste aus beiden Welten zusammenbringen soll: die Flexibilität des Cookieless-Trackings und die Möglichkeit, mit Zustimmung detailliertere Daten zu erfassen. Diese hybride Herangehensweise ermöglicht es Unternehmen, datengesteuerte Entscheidungen innerhalb des rechtlichen Rahmens zu treffen und gleichzeitig die Präferenzen ihrer Nutzer zu respektieren. Durch das Verständnis und die Anwendung dieser Technologien können Unternehmen ihre Analysefähigkeiten in einer sich ständig verändernden digitalen Landschaft verbessern, ohne die Vertrauensbasis mit ihren Nutzern zu untergraben.
Unternehmen sollten diese Technologien nicht als einseitige Lösungen betrachten, sondern als Teil eines größeren Datenschutz- und Datenanalyse-Ökosystems. Die Auswahl und Implementierung dieser Technologien sollte stets von einer gründlichen Bewertung der Datenschutzpraktiken und -ziele des Unternehmens begleitet werden. Eine transparente Kommunikation mit den Nutzern über die verwendeten Tracking-Methoden und der Schutz ihrer Daten sollte im Mittelpunkt jeder digitalen Strategie stehen.
Die Einführung des Consent Mode V2 ist ein wesentlicher Schritt für Unternehmen, um in der heutigen datengetriebenen und datenschutzbewussten Welt erfolgreich zu sein. Während der erste Teil dieses Artikels die technischen und strategischen Aspekte des Consent Mode V2 beleuchtet hat, ist es unerlässlich, den Datenschutz als integralen Bestandteil der Implementierung zu betrachten. In den nächsten Kapiteln dieses Artikels werden wir uns eingehend mit den Datenschutzaspekten einer erfolgreichen Implementierung befassen.
Datenschutzrechtliche Grundlagen
Die digitale Landschaft unterliegt einem ständigen Wandel, insbesondere im Hinblick auf Datenschutz und Regulierung der “Big Player” der Werbeindustrie. Mit Inkrafttreten des Digital Markets Act (DMA) mit 6. März 2024 in der Europäischen Union und der zunehmenden Macht von Unternehmen wie Google, welche als Gatekeeper im DMA definiert wurden, entstehen neue Herausforderungen und Anforderungen im Bereich des Datenschutzes. Diese Anforderungen betreffen auch Webseitenbetreiber direkt, da Google diese an sie weitergegeben hat.
Die Einholung der Einwilligung zur Verarbeitung personenbezogener Daten zu Zwecken von Marketing und Personalisierung ist eine grundlegende Anforderung der Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Aus diesem Grund sind Webseite- und App-Betreiber verpflichtet, klare und transparente Einwilligungen von ihren Nutzern einzuholen.
Zusätzlich zur DSGVO unterliegen bestimmte Datenverarbeitungen im digitalen Raum weiteren Datenschutzgesetzen, die sicherstellen sollen, dass die Privatsphäre der Nutzer respektiert wird. Für Deutschland gilt etwa zusätzlich das Telekommunikations-Datenschutzgesetz (TTDSG), in Österreich das Telekommunikationsgesetz (TKG). Diese beiden Gesetze enthalten auch Regelungen zur Einwilligung der Nutzer im Rahmen von lokalen Speicherungen von Informationen auf Endgeräten.
Der Digital Market Act
Der Digital Market Act (DMA, zu deutsch “Gesetz über digitale Märkte”) ist ein Gesetz der Europäischen Union, das darauf abzielt, die Marktstellung großer digitaler Plattformen (sog. Gatekeeper) zu regulieren und faire Wettbewerbsbedingungen zu schaffen. Im Kontext Datenschutz legt der DMA auch Richtlinien fest, die die Verarbeitung personenbezogener Daten zu Werbezwecken betreffen. Eine der betroffenen Plattformen des DMA ist Google, das wiederum seine Verpflichtungen direkt an die Betreiber von Webseiten und Apps weitergibt. Dafür wurde der Google Consent Mode V2 entwickelt.
Anforderungen von Google
Die Richtlinie zur Einwilligung der Nutzer in der EU von Google legt fest, dass Webseitenbetreiber und Nutzer von Google-Diensten sicherstellen müssen, dass Endnutzer im Europäischen Wirtschaftsraum (EWR) bestimmte Informationen erhalten und ihre Einwilligung zur Verarbeitung ihrer Daten geben.
Nach der Richtlinie sind die Betreiber verpflichtet:
“Sie sind verpflichtet, eine rechtswirksame Einwilligung dieser Endnutzer für folgende Aktivitäten einzuholen:
- den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und
- die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.
Wenn Sie die Einwilligung einholen, sind Sie verpflichtet:
- Aufzeichnungen über die von den Endnutzern abgegebenen Einwilligungen aufzubewahren; und
- den Endnutzern eine klare Anleitung bereitzustellen, wie diese die Einwilligung widerrufen können.”
Die Nichteinhaltung der Richtlinie zur Einwilligung der Nutzer in der EU von Google kann dazu führen, dass Google die Nutzung des betreffenden Dienstes einschränkt, sperrt oder die Vereinbarung mit dem Nutzer kündigt. Dies führt für eine Vielzahl der Unternehmen zu erheblichen Risiken und potenziellen Umsatzeinbußen.
Konkrete Maßnahmen aufgrund des Google Consent Mode V2
Der Google Consent Mode V2 betrifft alle Werbetreibenden, die Google Ads für personalisierte Werbung nutzen und das Tracking mittels Google Analytics durchführen. Wenn auf einer Webseite Google-Dienste wie Google Analytics, Google Ads Pixel, Google Tag Manager oder Google Ads eingesetzt werden und Daten von Nutzern aus dem Europäischen Wirtschaftsraum (EWR) erfasst werden, führt kein Weg am Google Consent Mode V2 herum.
Es ist wichtig zu beachten, dass Google eine wirksame Einwilligung der betroffenen Personen nicht nur bei der Datenerhebung auf Webseiten einfordert, sondern auch dann, wenn Daten in Google-Marketing-Tools hochgeladen werden, die aus Offline-Quellen (zum Beispiel Offline-Conversions oder Daten zu Ladenverkäufen), aus Apps oder aus Programmen stammen, die nicht von Google stammen.
Der Google Consent Mode V2 muss dann genutzt werden, wenn die Funktionen Messung, personalisierte Anzeige und Remarketing genutzt werden.
Weiters ist es entscheidend zu verstehen, dass der Google Consent Mode V2 keine Ersatzlösung für Consent Management Plattformen (CMP) ist, sondern lediglich eine Schnittstelle zu Google darstellt. Diese Schnittstelle überträgt die getroffenen Cookie- und Datenschutzeinstellungen, die im CMP auf der jeweiligen Webseite festgelegt wurden, an die konkret eingesetzten Google-Dienste.
Durch den Google Consent Mode V2 hat sich also nicht die Einwilligung nach der DSGVO bzw. dem TTDSG/TKG verändert, diese gelten weiterhin uneingeschränkt und parallel weiter. Vielmehr kommt es durch den Google Consent Mode V2 zu einer Datenübermittlung an Google, damit Google weiß, ob und welche Dienste der Betroffenen verknüpft werden dürfen.
Folgen der Nicht-Einwilligung durch den Nutzer
Falls die Einwilligung durch die Webseitenbesucher verweigert wird, speichern die ausgelösten Tags keine Cookies. Stattdessen werden Informationen zur Nutzeraktivität gesendet. Diese Informationen sowie der Einwilligungsstatus werden über verschiedene Arten von Pings ohne Cookies oder Signale an den Google-Server gesendet:
- Pings zum Einwilligungsstatus für Google Ads- und Floodlight-Tags übermitteln den standardmäßigen Einwilligungsstatus und aktualisieren diesen, wenn der Besucher die Einwilligung erteilt oder verweigert.
- Conversion-Pings signalisieren eine durchgeführte Conversion.
- Google Analytics-Pings werden von allen Seiten einer Webseite gesendet, auf denen Google Analytics implementiert ist und Ereignisse protokolliert werden.
Diese Pings können funktionsbezogene Informationen wie Zeitstempel, Nutzer-Agent und Referrer-URL sowie zusammengefasste, nicht personenidentifizierbare Informationen wie Hinweise auf Anzeigenklicks, Einwilligungsstatus und zufällige Zahlen umfassen. Zudem können Informationen zur Plattform zur Einwilligungsverwaltung des Webseiteninhabers enthalten sein.
Kompatibilität der Consent-Management-Plattform
Die Kompatibilität der Consent-Management-Plattform mit dem Google Consent Mode V2 ist von entscheidender Bedeutung, um einerseits die Google Richtlinie zu erfüllen und andererseits die Vorgaben der DSGVO einzuhalten.
Eine effektive CMP-Lösung muss nahtlos mit dem Google Consent Mode V2 zusammenarbeiten, um die Einwilligung der Nutzer zur Verarbeitung ihrer Daten zu verwalten. Dabei ist es wichtig, dass die CMP die erforderlichen Funktionen und Integrationen bereitstellt, um den Consent Mode ordnungsgemäß zu implementieren und die Zustimmungsstatus der Nutzer in Echtzeit zu verfolgen. Google stellt eine Übersicht über jene CMP vor, welche den Google Consent Mode V2 bereits integriert haben.
Anpassung Datenschutzhinweise
In den Datenschutzhinweise auf der Webseite muss zusätzlich zum CMP eine transparente Information über die gewählte Variante im Google Consent Mode V2 erfolgen, um die Betroffenen den Anforderungen des Art. 13 DSGVO entsprechend zu informieren. Hintergrund davon ist, dass die DSGVO Transparenzpflichten vorsieht.
Aktuell ist es notwendig, die Datenschutzhinweise zu prüfen und anzupassen, um die Anforderungen vollumfänglich zu erfüllen.
Zusammenfassung
Eine fehlerhafte Implementierungen der Technologie kann die Datenqualität verschlechtern und so die Aussagekraft der eigenen Analysen verfälschen. Im schlimmsten Falle können Verstöße gegen die Richtlinien von Google und insbesondere gegen die DSGVO schwerwiegende Konsequenzen für Unternehmen mit sich bringen. Im Fall von Google-Richtlinien können Verstöße dazu führen, dass das betroffene Unternehmen von Google-Diensten ausgeschlossen werden, was erhebliche Auswirkungen auf die Sichtbarkeit und das Marketingpotenzial haben kann.
Darüber hinaus können im Anwendungsbereich der DSGVO drakonische Geldstrafen verhängt werden. Zusätzlich zu den finanziellen Konsequenzen können Verstöße auch zu Reputationsverlust, Kundenvertrauensverlust und langfristigen Geschäftsschäden führen. Daher ist es von entscheidender Bedeutung, dass Unternehmen sich strikt an die Richtlinien von Google und die DSGVO halten und kontinuierlich ihre Datenschutzpraktiken überwachen und aktualisieren.
SCALELINE Datenschutz
SCALELINE Datenschutz bietet maßgeschneiderte Lösungen, um Unternehmen aus dem gesamten DACH-Raum bei der Umsetzung effektiver Datenschutzmaßnahmen zu unterstützen. Durch eine individuelle Analyse der Bedürfnisse und Anforderungen jedes Unternehmens entwickelt SCALELINE Datenschutz maßgeschneiderte Datenschutzkonzepte, die auf die spezifischen Geschäftsprozesse und -strukturen zugeschnitten sind. Dabei werden nicht nur die gesetzlichen Anforderungen berücksichtigt, sondern auch die individuellen Unternehmensziele und -strategien.