Google Consent Mode im Datenschutz-Check: Tracking-Revolution oder rechtliches Risiko?
Seit März 2024 ist die Nutzung der Consent-Tool-Google-Schnittstelle „Google Consent Mode“ für den Zugriff auf alle Tracking-Funktionen von Google Analytics und Google Ads unabdingbar. Der Consent Mode soll dabei eine Übermittlung von Einwilligungspräferenzen auf Websites an Google sicherstellen und in bestimmtem Umfang auch Verhaltensanalysen ohne Cookie-Einwilligung ermöglichen. Doch ist der Consent Mode selbst überhaupt datenschutzkonform nutzbar? Wir klären auf.
Inhaltsverzeichnis
- I. Funktion und Nutzen des Google Consent Mode
- II. Technisches Verfahren des No-Consent-Trackings
- III. Datenschutzrechtliche Beurteilung des No-Consent-Trackings über IP-Adresse und Pings
- 1.) Erhebung und Auslesung der IP-Adresse
- 2.) Übermittlung von Pings
- 3.) Eigenständige Einwilligungspflicht für No-Consent-Tracking
- IV. Fazit
I. Funktion und Nutzen des Google Consent Mode
Der Google Consent Mode ist eine von Google verwaltete Funktion, die als Schnittstelle zwischen einem implementierten Cookie-Consent-Tool und Google-Tracking-Diensten, nämlich Google Analytics und den Retargeting- und Remarketing-Funktionen von Google Ads, fungiert.
Ausgehend davon, dass ein cookie-basiertes und damit präzises Google-Tracking nur bei vorheriger ausdrücklicher Einwilligung des Seitenbesuchers zulässig ist, werden über den Consent Mode werden von Seitenbesuchern getätigte Einwilligungspräferenzen an das Google-Netzwerk übermittelt und sollen einerseits sicherstellen, dass die originären Nutzereingaben bei der Bestimmung von Art und Umfang des Google-Trackings mit Google Analytics und Google Ads berücksichtigt werden.
Andererseits verspricht der Consent Mode aber auch eine umfangreduzierte Verhaltensanalyse für Fälle, in denen Cookie-Einwilligungen für die benannten Google-Dienste nicht erteilt oder versagt werden.
Erteilt ein Seitenbesucher dem cookie-basierten Tracking von Google Analytics und/oder Google Ads über ein Cookie-Consent-Tool keine Freigabe und ist damit dessen persönliche Nachverfolgung nicht möglich, können über den Consent Mode dennoch in nicht personenbezogener Form bestimmte vordefinierte Ereignisse des Seitenbesuchs erfasst und statistisch ausgewertet werden.
So soll einerseits die informationelle Selbstbestimmung des Nutzers über Wahrung der Cookie-Präferenzen beachtet werden, dessen „Customer Journey“ für Analysezwecke aber dennoch bestmöglich auswertbar bleiben.
II. Technisches Verfahren des No-Consent-Trackings
Der Google Consent Mode erfasst über eine technische Verknüpfung mit einem Cookie-Consent-Tool die vom Nutzer individuell getätigten Einwilligungseinstellungen und definiert dadurch die Funktionsweise des nachgelagerten Tracking-Verhaltens von Google Analytics und Google Ads.
Die Funktion hebt also nicht die auf der Website eingerichtete Einwilligungsabhängigkeit des cookiebasierten Google-Trackings auf, sondern legt die Consent-Präferenz des Nutzers zugrunde, um die Funktionalitäten von Google Analytics und Google Ads entsprechend zu steuern.
Erteilt der Nutzer über ein Consent-Tool seine Einwilligung bezüglicher der Google-Dienste, leitet der Consent Mode diese Information weiter und ermöglicht die Freigabe aller Tracking-Funktionen.
Erteilt der Nutzer die Einwilligung aber nicht, verhindert der Consent-Mode zwar ein cookie-basiertes Tracking mit weitreichender Verhaltensanalyse, ermöglicht aber gleichzeitig ein cookieloses Event-Tracking in reduziertem, nicht personenbezogenem Umfang.
In solchen „No-Consent“-Konstellationen wird über den Google Consent Mode einerseits die IP-Adresse des Nutzers erhoben und von Google zur Identifikation des Zugriffsursprungslandes genutzt. Über diese Länderabfrage sind sodann innerhalb der Analysestatistik statistisch auswertbare Modellierungen möglich. Laut Google wird die IP-Adresse nach dieser Abfrage unmittelbar wieder gelöscht.
Andererseits werden bei Nichterteilung der Cookie-Einwilligung über den Google Consent Mode aber auch sogenannte „Pings“ an Google gesendet, die kleine Datenpakete repräsentieren und das Eintreten bestimmter vordefinierter Ereignisse (etwa: eine Conversion, das Aufrufen einer bestimmten Seite, die Betätigung einer bestimmten Schaltfläche) entlang des nutzerspezifischen Seitenbesuchs gegenüber Google melden.
Die Pings operieren ohne Cookies und ermöglichen unabhängig von einer erteilten Cookie-Einwilligung die statistische Auswertung von Besuchsinformationen durch die Aufzeichnung bestimmter Vorgänge.
III. Datenschutzrechtliche Beurteilung des No-Consent-Trackings über IP-Adresse und Pings
Bei oberflächlicher Betrachtung wirkt der Consent-Mode als optimales Instrument, um das Analyseinteresse des Seitenbetreibers mit den Privatsphäre-Interessen von Seitenbesuchern in Einklang zu bringen.
Eine genaue datenschutzrechtliche Würdigung der Tracking-Vorgänge in No-Consent-Fällen (also bei Nichterteilung einer Cookie-Einwilligung) zeigt aber entscheidende datenschutzrechtliche Probleme auf.
1.) Erhebung und Auslesung der IP-Adresse
Die Erhebung und partielle Auswertung der Nutzer-IP-Adresse über den Google Consent Mode im Falle eines No-Consent-Vorgangs ist nämlich eine an sich einwilligungspflichtige Datenverarbeitung. Dass die IP-Adresse laut Google nach der Erfassung sofort wieder gelöscht wird, ändert an dieser Einordnung nichts.
Die IP-Adresse ist nämlich ein personenbezogenes Datum, dessen Verarbeitung einer datenschutzrechtlichen Rechtfertigung bedarf. Zwar kommt neben einer Einwilligungsrechtfertigung über Art. 6 Abs. 1 lit. a DSGVO auch die Legitimation über überwiegende berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Da die Erfassung einer IP-Adresse durch Google aber mit weitreichenden nachgelagerten Verarbeitungsmöglichkeiten, Verknüpfungsoptionen und Streuungsszenarieren über das gesamte Google-Netzwerk einhergehen kann, ist anerkannt, dass bei IP-Adressverarbeitungen durch Google überwiegende Interessen des Seitenbetreibers an Optimierung und Nachverfolgung nicht in Betracht kommen (s. etwa S. 3 des Beschlusses der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 12.05.2020).
2.) Übermittlung von Pings
Sofern Ereignis-Pings in No-Consent-Fällen an Google übermittelt werden, wird zwar auf den Einsatz von Cookies verzichtet.
Wie sich aus der offiziellen Funktionsbeschreibung Googles ergibt, enthalten die Pings aber auch Informationen zum „User Agent“, einer endgerätespezifischen Information.
Zwar wird diese von Google so anonymisiert, dass eine Personenbeziehbarkeit ausgeschlossen wird und die Notwendigkeit einer DSGVO-Rechtfertigung für ihre Verarbeitung entfällt.
Allerdings ist nach § 25 Abs. 1 TTDSG für das Auslesen von Informationen auf Nutzerendgeräten unabhängig von deren Personenbezug eine ausdrückliche Einwilligung erforderlich.
Dies qualifiziert die Übermittlung von Pings mit User-Agent-Informationen als eigenständig einwilligungspflichtigen Vorgang.
3.) Eigenständige Einwilligungspflicht für No-Consent-Tracking
Die datenschutzrechtliche Beurteilung der technischen Abläufe des No-Consent-Trackings über den Google Consent Mode führt zu einem augenscheinlich paradoxen, aber datenschutzrechtlich schlüssigen Ergebnis:
Versagt der Nutzer seine Cookie-Einwilligung, ist das vom Google Consent Mode sodann angestoßene umfangreduzierte eigenständig einwilligungspflichtig.
Sowohl die Verarbeitung der Nutzer-IP-Adresse zum Auslesen des Zugriffsursprungslandes als auch das Auslesen und die Übermittlung des User Agents über „Pings“ an Google sind nach geltendem Datenschutzrecht ohne entsprechende Nutzereinwilligung nicht zulässig.
In der Konsequenz kann das No-Consent-Tracking über den Google Consent Mode ein Einwilligungserfordernis also rechtlich nicht umgehen, sondern führt nur dazu, dass eine nicht vorhandene Cookie-Einwilligung der Notwendigkeit einer nachgelagerten Einwilligung für das cookie-lose No-Consent-Tracking weicht.
Weil diese Einwilligungspflicht aber faktisch die Sinnhaftigkeit des Tracking-Modells aushebelt, wird sie für das No-Consent-Tracking bislang kaum beachtet. Dies birgt für betroffene Seitenbetreiber ein nicht unerhebliches datenschutzrechtliches Risiko.
IV. Fazit
Der Google Consent Mode übermittelt als Schnittstelle zwischen Cookie-Consent-Tools und den Google-Diensten „Google Analytics“ und „Google Ads“ Einwilligungspräferenzen an Google und ermöglicht bei Nichtvorliegen einer Cookie-Einwilligung ein umfangreduziertes Nachverfolgen von Nutzerhandlungen ohne Cookies.
Allerdings erfolgen bei diesem No-Consent-Tracking Informationsverarbeitungen durch eine partielle Verarbeitung der Nutzer-IP-Adresse und ein Auslesen von Endgeräteinformationen mit der Konsequenz einer eigenständigen datenschutzrechtlichen Einwilligungspflicht.
Das No-Consent-Tracking über den Google Consent Mode ist damit also kein datenschutzrechtlicher Freifahrtschein, sondern ersetzt eine Cookie-Einwilligungsnotwendigkeit faktisch nur durch ein anderes Einwilligungserfordernis.
Datenschutzkonform ist das Nutzertracking über den Google-Consent-Mode bei nicht erteilter Cookie-Einwilligung also nur möglich, wenn der Nutzer vor dessen Einsatz eine separate ausdrückliche Einwilligung erteilt.
Ohne diese Einwilligungseinholung ist das No-Consent-Tracking datenschutzkonform nicht durchführbar.
Sofern dieser Umstand den Mehrwert der Funktion insgesamt in Frage stellt, sollte über einen Verzicht auf den Google Consent Mode nachgedacht werden. Dessen Implementierung ist nämlich nicht verpflichtend, sondern führt bei Nichtnutzung bloß zu einem reduzierten Funktionsumfang des Google-Trackings.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar