Zum Inhalt springen Zur Navigation springen
Google Consent Mode: Datenschutz bei der Implementierung

Google Consent Mode: Datenschutz bei der Implementierung

Der Google Consent Mode muss seit Kurzem von Websitebetreibern, die Dienste von Google mit personalisierten Marketing- und Werbeleistungen (z.B. Google Ads oder Google Analytics) einsetzen wollen, genutzt werden. Ansonsten ist in diesen Fällen eine Nutzung von Google Ads oder Google Analytics nicht mehr möglich. Doch woher kommt diese Verpflichtung und wie ist der Einwilligungsmodus datenschutzrechtlich zu beurteilen? Ein Überblick.

Unterscheidung zwischen Basic Mode und Advanced Mode

Relevant für die datenschutzrechtliche Beurteilung ist zunächst, dass sich Verantwortliche bei der Nutzung des Consent Mode oder auch Einwilligungsmodus zwischen zwei unterschiedlichen Implementierungen entscheiden müssen. Die Art der Implementierung hat erhebliche Auswirkungen auf die rechtliche Beurteilung. Insofern ist die Aussage, der Consent Mode als solcher bedürfe keiner Einwilligung, falsch. Für eine abschließende Beurteilung des Consent Mode ist es unerlässlich, zu wissen, in welcher Implementierungsvariante dieser genutzt werden soll. Zur Wahl stellt Google den Nutzer den Basic Mode oder auf Deutsch den einfachen Einwilligungsmodus sowie den Advanced Mode, auf Deutsch den erweiterten Einwilligungsmodus.

Basic Mode: Keine Datenverarbeitung ohne Einwilligung laut Google

Den von Google veröffentlichten Informationen zufolge, findet bei dem Basic Mode eine Verarbeitung personenbezogener Daten erst dann statt, wenn ein Nutzer seine Einwilligung hierzu erteilt hat. Denn auf der Google Ads-Hilfe Seite steht, dass die Google-Tags erst dann geladen werden, wenn ein Nutzer mit dem Einwilligungsbanner interagiert. Die Google Tags dienen dazu, die Opt-In-Informationen an Google zu übermitteln. Es geht darum, welche Einwilligungen erteilt wurden. So möchte Google erfahren, welche Dienste zusätzlich gesteuert oder verknüpft werden können (Datenschutz-Generator). Google will damit sicherstellen, dass personenbezogene Daten erst nach der Interaktion mit Google übertragen werden können. Das heißt, dass selbst die Information, dass ein Nutzer seine Einwilligung nicht erteilt hat, nicht an Google gelangen kann.

Dadurch wäre das nach DSGVO gewünschte Ergebnis erreicht, nämlich, dass keinerlei personenbezogene Daten ohne Nutzereinwilligung an Google übertragen werden. Google verweist explizit auf diese Funktionsweise. Auf der relevanten Homepage steht, dass es bei der Basic Implementierung nicht zu einer Verarbeitung der Daten kommt, sofern der Nutzer keine Einwilligung erteilt hat (Darstellung auf der Google Hilfe zum Einwilligungsmodus).

Man muss den Aussagen von Google zum Consent Mode vertrauen können

Wichtig dabei ist, dass die Verantwortlichen prinzipiell sicherstellen müssen, dass Google wirklich keinen Zugriff auf die IP-Adressen nimmt. Denn selbst, wenn es durch das Tätigwerden von Google nicht zu einer Datenverarbeitung i.S.d. DSGVO kommen würde, könnte das TTDSG relevant werden.

Die Verarbeitung technischer Daten wird nach TTDSG relevant, sobald Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, erfolgt (§ 25 Abs. 1 S. 1 TTDSG). Findet das TTDSG Anwendung und liegt keine Ausnahme nach § 25 Abs. 2 TTDSG vor, würde auch deshalb eine Einwilligung benötigt werden. Mehr zum Zusammenspiel der beiden Gesetze finden Sie im Beitrag Cookies und Datenschutz: Zwischen TTDSG und DSGVO.

Es muss im Weiteren also ein Verständnis der Funktionsweise von Google Consent Mode im Basis Mode zugrunde gelegt werden, bei dem in der Basic Implementation tatsächlich keine personenbezogenen Daten verarbeitet werden und auch kein Zugriff auf in der Endeinrichtung gespeicherte Informationen nach TTDSG erfolgen. Laut den Aussagen findet – wie gesagt – im Basic Mode keine Datenübertragung an Google statt (Darstellung Google zum Einwilligungsmodus, zuletzt abgerufen am 13.03.2024). Diesen Aussagen zufolge wird auch § 25 Abs. 1 S. 1 TTDSG nicht relevant, weil insofern kein Zugriff auf Informationen erfolgt.

Datenübertragung im Advanced Mode

Wenn sich der Verantwortliche für den Advanced Mode entscheidet, sieht das anders aus. Hier wird das Laden der Google Tags nicht verhindert. Es erfolgt schon bei Aufruf der Website oder Öffnung der App. Wesentlich ist an dieser Stelle, dass Google angibt, dass selbst bei verweigerter Einwilligung Daten übertragen werden. So soll es zu einer Übertragung des Einwilligungsstatus und Pings ohne Cookies kommen, auch wenn die Einwilligung verweigert wird (Darstellung Google zum Einwilligungsmodus, zuletzt abgerufen am 13.03.2024).

Hierin ist dann auch der beworbene Mehrwert der Anwendung zu sehen. Weil auf diese Art weiterhin Signale übermittelt werden, wird damit geworben, dass das Nutzerverhalten trotz fehlender Einwilligung weiterhin nachvollziehbar sein soll. So sollen dann Conversions wiederhergestellt werden können, die sonst aufgrund von Browser-Einschränkungen verloren gehen würden und Messlücken geschlossen werden (Eine Conversion liegt z.B. vor, wenn ein Nutzer über eine Anzeige auf einen Online-Shop gelangt und dort dann einen Warenkauf tätigt. Eine weitere Erklärung bietet Google-Ads-Glossar zur Marketing-Definition von Conversions.). Dennoch wird damit geworben, dass der Consent Mode ein datenschutzfreundliches Analysetool sei. Klingt komisch? Ist auch so.

Kein „Mehr“ an Datenschutz durch den Consent Mode, sondern nur Umsetzung der gesetzlichen Pflichten

Teilweise wird der Google Consent Mode so dargestellt, als ob mit dessen Nutzung ein Mehr an Datenschutz gewährleistet werden kann. So z.B. in der Zusammenfassung zum Consent Mode von Usercentrics.

Tatsächlich setzt Google mit dem Consent Mode aber nur die Pflichten um, die Google als sog. Gatekeeper nach dem Digital Markets Act treffen. Bisher hatte Google nämlich Daten zwischen verschiedenen Google-Diensten geteilt, um personalisierte Werbung schalten zu können. Das Problem dabei war, dass Google durch die Verknüpfung von Diensten Daten aus anderen Stellen verwenden konnten und so Marktvorteile gegenüber anderen Wettbewerbern ausgespielt hat. Damit ist nach dem DMA jetzt Schluss. Ab sofort muss Google seinen Nutzern in den Einstellungen des Google Accounts die Möglichkeit bereitstellen, die Verknüpfung von Daten mit anderen Google Diensten zu unterbinden. Eine Anleitung, wie die Verknüpfung der Google-Dienste verwaltet werden kann und die Weitergabe von Daten innerhalb dieser durch den Nutzer abgestellt werden kann, stellt Google zur Verfügung.

Im Übrigen gilt die Pflicht, die Einwilligung der Nutzer einer Website zu berücksichtigen, für alle Verantwortlichen nach der DSGVO. Insofern ist auch die Befolgung dieser Pflichten, die durch den Consent Mode möglich gemacht werden soll, kein Vorteil im Sinne des Datenschutzes. Es handelt sich lediglich um die Umsetzung der datenschutzrechtlichen Vorgaben an Websitebetreiber, die Tracking Technologien einsetzen wollen. Das heißt aber wiederum nicht, dass mit dem Einsatz des Consent Mode in jedem Fall DSGVO-Konformität hergestellt werden kann oder dass der Consent Mode verpflichtend ist, um dies zu tun.

Consent Mode: Nutzung für Websitebetreiber nicht verpflichtend

Aus datenschutzrechtlicher Sicht ist es so, dass eine Verpflichtung zur Einholung von Einwilligungen nur besteht, wenn einwilligungspflichtige Handlungen (z.B. Tracking) erfolgen, für die keine andere Rechtsgrundlage in Betracht kommt. Die Einwilligungen können dann über eine Consent Managing Plattform (CMP) oder auch Cookie-Banner, eingeholt werden. Dabei besteht keine generelle Pflicht zur Nutzung des Google Consent Mode, um DSGVO-konform agieren zu können. Es gilt jedoch, dass Unternehmen, die Dienste von Google einsetzen, die personalisierte Marketing- und Werbeleistungen beinhalten (Google Ads oder Google Analytics), diese nur noch mit dem Google Consent Mode verwenden können. Nur insofern ist die Nutzung des Google Consent Mode für Webseitenbetreiber verpflichtend gewesen.

Die betroffenen Unternehmen sind dann aber weiterhin verpflichtet, zu überprüfen, wie eine DSGVO-konforme Verwendung des Google Consent Mode gestaltbar ist. Sehr relevant wird hierbei wie bereits erwähnt die Frage, in welcher Implementierung dieser Dienst genutzt wird.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • „Keine Datenverarbeitung ohne Einwilligung“ ist beim Consent-Mode leider nachweislich falsch. Hier nur ein Beispielartikel (von zig weiteren), der das zeigt: simoahava.com/gtmtips/consent-granted-reprocesses-previously-denied-hits/

    In kurz: Google verarbeitet die Daten auch ohne Einwilligung, nur werden sie dem Anwender nicht gezeigt. Ein klarer Verstoß gegen die DSGVO. Schade, dass der Artikel nicht kritisch darauf hinweist, obwohl es seit Monaten zahlreiche Untersuchungen dazu gibt.

    • Wie im Beitrag dargestellt, kommt es bei der Frage, ob eine Datenverarbeitung stattfindet, darauf an, in welcher Implementierungsvariante der Consent Mode eingesetzt wird.

      Im zweiten Absatz ihres Beispielartikels wird ausdrücklich gesagt, dass es um den Advanced Consent Mode geht. Ebenso wie wir, weist der Artikel darauf hin, dass in diesem auch bei einer verweigerten Einwilligung Daten an Google übertragen werden.

  • Ich würde mir wünschen, dass auch die juristische Seite transparent bleibt. Google selbst erklärt zum Advanced Mode, dass keine PERSONENBEZOGENEN Daten an Google fließen, sondern Ping-Signale. Und nicht die Tags selbst kommunizieren den Consent, sondern eigene Signale bzw. Parameter triggern hierfür die Tags. Ein Internet ohne Datenaustausch ist eine komplette Utopie. Es geht nur darum, welche Datentypen welchem Nutzerkreis in welchem Umfang zur Verfügung gestellt werden. Oder sehen das die Autoren dieses Portals anders? Viele Grüße, Wolfgang Müller

    • Vielen Dank für Ihren Kommentar. Wir sehen das ähnlich, es kommt aus datenschutzrechtlicher Sicht zum einen darauf an, zu untersuchen, ob es zu einer Verarbeitung von sog. personenbezogenen Daten kommt. Der Begriff der personenbezogenen Daten wird in unserem Beitrag Personenbezogene Daten nach DSGVO einfach erklärt erläutert. Speziell zum Thema IP-Adressen bietet folgender Artikel den rechtlichen Hintergrund: Sind IP-Adressen personenbezogene Daten?. Neben der Verarbeitung von personenbezogenen Daten wird hier aber zum anderen auch das TDDDG (ehemals TTDSG) relevant, demzufolge es auch darauf ankommt, zu bestimmen, ob eine Speicherung von Informationen bzw. ein Zugriff von Informationen im Sinne dieses Gesetzes erfolgt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.