Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?

29.04.2024, 14:33 Uhr | Lesezeit: 6 min
Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?

Seit März 2024 ist die Nutzung der Consent-Tool-Google-Schnittstelle „Google Consent Mode“ für den Zugriff auf alle Tracking-Funktionen von Google Analytics und Google Ads unabdingbar. Der Consent Mode soll dabei eine Übermittlung von Einwilligungspräferenzen auf Websites an Google sicherstellen und in bestimmtem Umfang auch Verhaltensanalysen ohne Cookie-Einwilligung ermöglichen. Doch ist der Consent Mode selbst überhaupt datenschutzkonform nutzbar? Wir klären auf.

I. Funktion und Nutzen des Google Consent Mode

Der Google Consent Mode ist eine von Google verwaltete Funktion, die als Schnittstelle zwischen einem implementierten Cookie-Consent-Tool und Google-Tracking-Diensten, nämlich Google Analytics und den Retargeting- und Remarketing-Funktionen von Google Ads, fungiert.

Ausgehend davon, dass ein cookie-basiertes und damit präzises Google-Tracking nur bei vorheriger ausdrücklicher Einwilligung des Seitenbesuchers zulässig ist, werden über den Consent Mode werden von Seitenbesuchern getätigte Einwilligungspräferenzen an das Google-Netzwerk übermittelt und sollen einerseits sicherstellen, dass die originären Nutzereingaben bei der Bestimmung von Art und Umfang des Google-Trackings mit Google Analytics und Google Ads berücksichtigt werden.

Andererseits verspricht der Consent Mode aber auch eine umfangreduzierte Verhaltensanalyse für Fälle, in denen Cookie-Einwilligungen für die benannten Google-Dienste nicht erteilt oder versagt werden.

Erteilt ein Seitenbesucher dem cookie-basierten Tracking von Google Analytics und/oder Google Ads über ein Cookie-Consent-Tool keine Freigabe und ist damit dessen persönliche Nachverfolgung nicht möglich, können über den Consent Mode dennoch in nicht personenbezogener Form bestimmte vordefinierte Ereignisse des Seitenbesuchs erfasst und statistisch ausgewertet werden.

So soll einerseits die informationelle Selbstbestimmung des Nutzers über Wahrung der Cookie-Präferenzen beachtet werden, dessen „Customer Journey“ für Analysezwecke aber dennoch bestmöglich auswertbar bleiben.

II. Technisches Verfahren des No-Consent-Trackings

Der Google Consent Mode erfasst über eine technische Verknüpfung mit einem Cookie-Consent-Tool die vom Nutzer individuell getätigten Einwilligungseinstellungen und definiert dadurch die Funktionsweise des nachgelagerten Tracking-Verhaltens von Google Analytics und Google Ads.

Die Funktion hebt also nicht die auf der Website eingerichtete Einwilligungsabhängigkeit des cookiebasierten Google-Trackings auf, sondern legt die Consent-Präferenz des Nutzers zugrunde, um die Funktionalitäten von Google Analytics und Google Ads entsprechend zu steuern.

Erteilt der Nutzer über ein Consent-Tool seine Einwilligung bezüglicher der Google-Dienste, leitet der Consent Mode diese Information weiter und ermöglicht die Freigabe aller Tracking-Funktionen.

Erteilt der Nutzer die Einwilligung aber nicht, verhindert der Consent-Mode zwar ein cookie-basiertes Tracking mit weitreichender Verhaltensanalyse, ermöglicht aber gleichzeitig ein cookieloses Event-Tracking in reduziertem, nicht personenbezogenem Umfang.

In solchen „No-Consent“-Konstellationen wird über den Google Consent Mode einerseits die IP-Adresse des Nutzers erhoben und von Google zur Identifikation des Zugriffsursprungslandes genutzt. Über diese Länderabfrage sind sodann innerhalb der Analysestatistik statistisch auswertbare Modellierungen möglich. Laut Google wird die IP-Adresse nach dieser Abfrage unmittelbar wieder gelöscht.

Andererseits werden bei Nichterteilung der Cookie-Einwilligung über den Google Consent Mode aber auch sogenannte „Pings“ an Google gesendet, die kleine Datenpakete repräsentieren und das Eintreten bestimmter vordefinierter Ereignisse (etwa: eine Conversion, das Aufrufen einer bestimmten Seite, die Betätigung einer bestimmten Schaltfläche) entlang des nutzerspezifischen Seitenbesuchs gegenüber Google melden.

Die Pings operieren ohne Cookies und ermöglichen unabhängig von einer erteilten Cookie-Einwilligung die statistische Auswertung von Besuchsinformationen durch die Aufzeichnung bestimmter Vorgänge.

Banner Starter Paket

III. Datenschutzrechtliche Beurteilung des No-Consent-Trackings über IP-Adresse und Pings

Bei oberflächlicher Betrachtung wirkt der Consent-Mode als optimales Instrument, um das Analyseinteresse des Seitenbetreibers mit den Privatsphäre-Interessen von Seitenbesuchern in Einklang zu bringen.

Eine genaue datenschutzrechtliche Würdigung der Tracking-Vorgänge in No-Consent-Fällen (also bei Nichterteilung einer Cookie-Einwilligung) zeigt aber entscheidende datenschutzrechtliche Probleme auf.

1.) Erhebung und Auslesung der IP-Adresse

Die Erhebung und partielle Auswertung der Nutzer-IP-Adresse über den Google Consent Mode im Falle eines No-Consent-Vorgangs ist nämlich eine an sich einwilligungspflichtige Datenverarbeitung. Dass die IP-Adresse laut Google nach der Erfassung sofort wieder gelöscht wird, ändert an dieser Einordnung nichts.

Die IP-Adresse ist nämlich ein personenbezogenes Datum, dessen Verarbeitung einer datenschutzrechtlichen Rechtfertigung bedarf. Zwar kommt neben einer Einwilligungsrechtfertigung über Art. 6 Abs. 1 lit. a DSGVO auch die Legitimation über überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.

Da die Erfassung einer IP-Adresse durch Google aber mit weitreichenden nachgelagerten Verarbeitungsmöglichkeiten, Verknüpfungsoptionen und Streuungsszenarieren über das gesamte Google-Netzwerk einhergehen kann, ist anerkannt, dass bei IP-Adressverarbeitungen durch Google überwiegende Interessen des Seitenbetreibers an Optimierung und Nachverfolgung nicht in Betracht kommen (s. etwa S. 3 des Beschlusses der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 12.05.2020).

2.) Übermittlung von Pings

Sofern Ereignis-Pings in No-Consent-Fällen an Google übermittelt werden, wird zwar auf den Einsatz von Cookies verzichtet.

Wie sich aus der offiziellen Funktionsbeschreibung Googles ergibt, enthalten die Pings aber auch Informationen zum „User Agent“, einer endgerätespezifischen Information.

Zwar wird diese von Google so anonymisiert, dass eine Personenbeziehbarkeit ausgeschlossen wird und die Notwendigkeit einer DSGVO-Rechtfertigung für ihre Verarbeitung entfällt.

Allerdings ist nach § 25 Abs. 1 TTDSG für das Auslesen von Informationen auf Nutzerendgeräten unabhängig von deren Personenbezug eine ausdrückliche Einwilligung erforderlich.

Dies qualifiziert die Übermittlung von Pings mit User-Agent-Informationen als eigenständig einwilligungspflichtigen Vorgang.

3.) Eigenständige Einwilligungspflicht für No-Consent-Tracking

Die datenschutzrechtliche Beurteilung der technischen Abläufe des No-Consent-Trackings über den Google Consent Mode führt zu einem augenscheinlich paradoxen, aber datenschutzrechtlich schlüssigen Ergebnis:

Versagt der Nutzer seine Cookie-Einwilligung, ist das vom Google Consent Mode sodann angestoßene umfangreduzierte eigenständig einwilligungspflichtig.

Sowohl die Verarbeitung der Nutzer-IP-Adresse zum Auslesen des Zugriffsursprungslandes als auch das Auslesen und die Übermittlung des User Agents über „Pings“ an Google sind nach geltendem Datenschutzrecht ohne entsprechende Nutzereinwilligung nicht zulässig.

In der Konsequenz kann das No-Consent-Tracking über den Google Consent Mode ein Einwilligungserfordernis also rechtlich nicht umgehen, sondern führt nur dazu, dass eine nicht vorhandene Cookie-Einwilligung der Notwendigkeit einer nachgelagerten Einwilligung für das cookie-lose No-Consent-Tracking weicht.

Weil diese Einwilligungspflicht aber faktisch die Sinnhaftigkeit des Tracking-Modells aushebelt, wird sie für das No-Consent-Tracking bislang kaum beachtet. Dies birgt für betroffene Seitenbetreiber ein nicht unerhebliches datenschutzrechtliches Risiko.

IV. Fazit

Der Google Consent Mode übermittelt als Schnittstelle zwischen Cookie-Consent-Tools und den Google-Diensten „Google Analytics“ und „Google Ads“ Einwilligungspräferenzen an Google und ermöglicht bei Nichtvorliegen einer Cookie-Einwilligung ein umfangreduziertes Nachverfolgen von Nutzerhandlungen ohne Cookies.

Allerdings erfolgen bei diesem No-Consent-Tracking Informationsverarbeitungen durch eine partielle Verarbeitung der Nutzer-IP-Adresse und ein Auslesen von Endgeräteinformationen mit der Konsequenz einer eigenständigen datenschutzrechtlichen Einwilligungspflicht.

Das No-Consent-Tracking über den Google Consent Mode ist damit also kein datenschutzrechtlicher Freifahrtschein, sondern ersetzt eine Cookie-Einwilligungsnotwendigkeit faktisch nur durch ein anderes Einwilligungserfordernis.

Datenschutzkonform ist das Nutzertracking über den Google-Consent-Mode bei nicht erteilter Cookie-Einwilligung also nur möglich, wenn der Nutzer vor dessen Einsatz eine separate ausdrückliche Einwilligung erteilt.

Ohne diese Einwilligungseinholung ist das No-Consent-Tracking datenschutzkonform nicht durchführbar.

Sofern dieser Umstand den Mehrwert der Funktion insgesamt in Frage stellt, sollte über einen Verzicht auf den Google Consent Mode nachgedacht werden. Dessen Implementierung ist nämlich nicht verpflichtend, sondern führt bei Nichtnutzung bloß zu einem reduzierten Funktionsumfang des Google-Trackings.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

U
Ulrike Pfarre 07.05.2024, 14:42 Uhr
immer wieder Google;-)
Vielen Dank für die detailreiche Information, da einem technischen Laien nicht von allein klar wird, warum die Lösung von Google eigentlich keine ist, sondern nur ein weiteres Problem. Danke für den Hinweis auf eine mögliche Lösung, das hilft.

weitere News

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
(07.06.2024, 11:46 Uhr)
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
(07.06.2024, 11:26 Uhr)
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(06.06.2024, 07:39 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei