Google Consent Mode: Neue API für die Consent-Entscheidung

Lesedauer: 4 Minuten

Der coronabedingte Lockdown in Deutschland hat den Online-Handel weiter vorangetrieben. Es wurden nicht nur vermehrt Online-Einkäufe durchgeführt, sondern auch ein Anstieg neuer Nutzer registriert. Für Werbetreibende ist es umso wichtiger festzustellen, wie effektiv ihre digitalen Kampagnen den Online-Verkauf fördern. Dabei gilt es jedoch stets die geltenden Datenschutzbestimmungen einzuhalten und die Zustimmung der Nutzer einzuholen. Seit Anfang September bietet die Google Marketing Platform ein neues Feature: den Google Consent Mode. Diese Funktion befindet sich aktuell noch in der Beta-Phase. Was der Consent Mode genau bewirkt und auf was du achten musst, erfährst du hier.

Was ist der Google Consent Mode?

Grundsätzlich stellt der Google Consent Mode eine Schnittstelle (API) dar, mit der deine Website auf Basis der Zustimmung des Nutzers alle Google Dienste wie Google-Analytics, Google-Ads und Google-Tag-Manager ausführen kann. Diese Einwilligung bestimmt darüber, wie tiefgehend die Daten des Besuchers verarbeitet und Cookies gesetzt werden. Hierbei wird konkret in zwei Dimensionen unterschieden. „analytics_storage“ übergibt die Zustimmung zum Tracking, während „ad_storage“ die Marketing Pixel reguliert. Diese können beide jeweils gewährt (granted) oder verweigert (denied) werden. Nachfolgend findest du eine Auflistung der verschiedenen Szenarien:

ad_storage=’granted‘ and analytics_storage=’granted‘ (Standardeinstellung):

Werbungsbezogene Cookies dürfen weiterhin gesetzt und gelesen werden. IP-Adressen werden erfasst und die vollständige URL samt Ad-Click Informationen gesammelt. First- und Third-Party-Cookies sind zugänglich.

analytics_storage: ‚denied‘

Seitenaufrufe und Events werden anonymisiert erfasst. Das bedeutet, dass die Information über die Interaktion in Google Analytics in aggregierter Form zwar zur Verfügung steht, jedoch keinem User oder keiner Sitzung zugeschrieben werden kann. Es kann also gemessen werden, wie viele Nutzer auf die Website gelangt sind, jedoch nicht das weitere Verhalten.

ad_storage: ‚denied‘

Neue werbungsbezogene Cookies können nicht gesetzt und bereits vorhandene Cookies nicht mehr gelesen werden. Einzelne Third-Party-Cookies, die ausschließlich der Erkennung von Spammern und Klick-Betrügern dienen, werden weiterhin gesetzt. IP-Adressen werden nach aggregierter Erfassung des Standorts sofort gelöscht. Falls „analytics_storage“ gewährt wurde, ist zu beachten, dass nun Google Signals inklusive demografischer Daten und Userinteressen nicht an Analytics weitergegeben werden.

ad_storage=’denied‘ + ads_data_redaction=true:

Diese zusätzliche Anweisung führt zu einer strengeren Behandlung von Marketing Pixeln. Anfragen werden über eine andere Domain gesendet, wodurch das Auslesen von Third-Party-Cookies über den Request Header unterbunden wird. Außerdem werden Click-Parameter von Google Ads (gclid) und Doubleclick (dclid) entfernt.

Soweit so gut. Aber wie implementiere ich das auf meiner Website?

Da die Schnittstelle des Consent Mode den dataLayer nutzt, um Informationen zu speichern und auszulesen, müssen Tracking- und Marketing Tags über den Google Tag Manager oder den gtag eingebunden sein. Die Integration muss nativ auf der Website erfolgen, bevor die Einbindung des Google Tag Managers bzw. des Global Site Tags erfolgt. Zunächst muss die Standardeinstellung erfolgen, die Anwendung findet, solange keine Einwilligung ausgelesen wurde. Anschließend werden bereits vorhandene Consent-Einstellungen des Besuchers angepasst. Zu guter Letzt kann auf entsprechende Änderungen der Einstellungen reagiert werden. Eine Integration des Codes ist ebenfalls über den Google Tag Manager möglich.

Datalayer und gtag Initialisierung

window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}

Da die Schnittstelle zum Consent Mode vor der Konfigurierung des GTM bzw. gtag implementiert wird, müssen der dataLayer- und die gtag-Funktion zuerst erzeugt werden.

Standardeinstellungen

gtag('consent', 'default', {
'ad_storage': 'denied',
'analytics_storage': 'denied' 
});

Wie hier zu sehen ist, werden sowohl Marketing als auch Tracking Pixel verweigert. Falls du noch strengere Regeln von ads_data_redaction wünschst, könntest du dies optional mit folgender Zeile konfigurieren:

gtag('set', 'ads_data_redaction');

Zu den Standardeinstellungen zählen ebenfalls regionale Unterschiede im Hinblick auf Datenschutzrichtlinien. Besonders im Hinblick auf den europäischen Raum macht eine entsprechende Unterteilung durchaus Sinn. Im Beispiel werden für alle EU-Länder die Standardeinstellungen auf ‚denied‘ gesetzt, während für den Rest der Welt ‚granted‘ eingesetzt wird:

gtag('consent', 'default', {
    'ad_storage': 'denied',
    'analytics_storage': 'denied',
    'region': ['AT', 'BE', 'BG', 'CY', 'CZ', ...]

gtag('consent', 'default', {
    'analytics_storage': 'granted',
    'ad_storage': 'granted'
});

Anpassungen der Consent Einstellungen der Besucher

Am Beispiel von Usercentrics werden wir nun eine bereits vorhandene Consent-Einstellung auslesen und entsprechend der Google Consent Mode Dimensionen erweitern.

function getGAconsent () { 
var c = JSON.parse(localStorage.usercentrics);
for(var i=0;i<c.consents.length;i++)
{
    if(typeof c.consents[i].dataProcessors[
0] == "string" && c.consents[i].dataProcessors[
0] == "NAMEConsentElement") 
 {
return c.consents[i].consentStatus;
  }
}
return false;
}
if (getGAconsent()) {
  gtag('consent', 'update', {'analytics_storage': 'granted'});
}

Die Vorgehensweise für „ad_storage“ ist ähnlich. Es wird nicht zwischen der Doubleclick-Welt und Google Ads unterschieden. Wenn man für beide Technologien einen eigenen Consent einholt, muss nicht definiert werden, welcher Consent für ad_storage relevant ist. Um datenschutzrechtlich konform zu sein, sollte der Consent sowohl für Ads als auch Floodlights verlangt werden, um ad_storage auf ‚granted‘ zu setzen.

Tracking verzögern

gtag('consent', 'default', {
    'ad_storage': 'denied',
    'wait_for_update': 500
});

Um vorzubeugen, dass das Tracking nicht nach den Standardeinstellungen, sondern der gewünschten Consent-Einstellung gefeuert werden, kann ein zusätzlicher Delay eingebaut werden. Dies wird benötigt, um sicherzustellen, dass das Tracking nicht zwischen Standard-Einstellungen und dem Auslesen des Consents gefeuert wird.

Anpassung von Consent-Änderungen

Bei neuen Besuchern beziehungsweise Benutzern, die ihre Einstellungen ändern möchten, kann es vorkommen, dass die Settings für ad_storage und analytics_storage modifiziert werden müssen. Der zweiten Zeilencode bezieht sieht auf den Sonderfall, wenn ein Benutzer im späteren Verlauf seiner Website-Nutzung doch noch seine Zustimmung zu den Marketing Pixeln gibt.

gtag('consent', 'update', {'ad_storage': 'granted'});gtag('set', 'url_passthrough', true);

Welche Folgen hat das für mein aktuelles Tracking?

Grundsätzlich sollten die Anforderungen für rein aggregierte Webstatistik weiterhin gewährleistet sein, da analytics_storage: ‚denied‘ keine personenbezogenen Daten übermittelt. Um sicherzugehen, solltest du dich noch einmal mit deinem Datenschutzbeauftragen abstimmen. Es wäre jedoch denkbar, dass dies in naher Zukunft aufgrund der DSGVO Änderungen eintreten könnte. Aktuell geht Google von ‚granted‘ aus bei nicht vorhandenen Werten für ad_storage und analytics_storage. Nach der Beta-Phase könnte es durchaus sein, dass für dasselbe Szenario automatisch der Wert ‚denied‘ angenommen wird, da dieser aus Datenschutzsicht sinnvoller scheint. Deshalb solltest du nicht allzu lange damit warten, Maßnahmen zur Consent Mode API auf deiner Website vorzunehmen.