Ist der Google Consent Mode datenschutzkonform?

Ist der Google Consent Mode datenschutzkonform?

Seit März ist der Google Consent Mode V2 in aller Munde. Die Faszination liegt in der Möglichkeit des Trackings ohne Cookies. Doch stellt sich die Frage: Ist der Google Consent Mode wirklich datenschutzkonform?

Die Bedeutung des Google Consent Mode für Webshop-Betreiber*innen

Der Consent Mode dient als eine Schnittstelle zwischen den Google Diensten und dem Consent Manager. Damit soll es möglich sein anhand der Einwilligungspräferenz der Website-Besucher*innen die Google Tags auszuspielen. Dies erfolgt dadurch, dass ein Cookie auf dem Endgerät der Website-Besucher*innen platziert wird oder durch die vergeben App-ID. Darüber hinaus werden Daten ohne Cookie Platzierung an Google übermittelt. Laut Google ist das Ziel hierbei u.a. die Einwilligungseinstellungen an verwendete Google Dienste zu übermitteln.

Ist die Nutzung des Google Consent Mode erforderlich?

Entgegen der allgemeinen Annahme, besteht keine Pflicht zur Nutzung des Google Consent Modes. Erfolgt eine Umstellung nicht, so können ab den 06. März 2024 einige der Funktionen wie bspw. Von Google Analytics 4 (Remarketing-Listen, Zielgruppenfunktionen etc.) nicht mehr genutzt werden.

Datenschutzkonformität des Google Consent Mode

Für diese Frage muss zunächst geklärt werden, wofür die Google Dienste genutzt werden. Die beiden Dienste – Google Analytics und Google Ads – werden zweifelsfrei für Marketingzwecke genutzt. Als Folge daraus müssen Webshop-Betreiber*innen eine Einwilligung einholen. Wieso das notwendig ist können Sie in diesem Blog-Beitrag  nachlesen. Eine wichtige Voraussetzung für die Einwilligung ist, dass sie erteilt wird, bevor die Daten erhoben, übermittelt etc. werden.

Ob eine Einwilligung eingeholt wird und dies vor der Datenverarbeitung erfolgt, hängt von der Einbindung des Google Consent Modes ab.

Einfache Implementierung

Bei dieser Einbindung werden die Google-Tags so lange blockiert, bis der Consent Manager erscheint und die Nutzer*innen Ihre Einwilligung erteilen können. Willigen die Nutzer*innen nicht ein, so wird die IP-Adresse der Nutzer*innen erhoben, für die Ableitung des Landes genutzt und danach unmittelbar gelöscht. Anhand dieser Daten werden z.B. bei Google Analytics 4 Modellierungen vorgenommen, die dabei helfen sollen Reports und Datenmessung zu erstellen.

Erweiterte Implementierung

Im Gegensatz dazu werden bei dieser Variante die Tags nicht blockiert, selbst wenn Nutzer*innen ihre Einwilligung verweigern. Es erfolgt die Übermittlung von Pings ohne Cookies an Google, einschließlich der Erfassung der IP-Adresse, wie bei der einfachen Implementierung.

Datenschutzrechtliche Herausforderungen

Je nach Einwilligungseinstellungen und der Konfiguration der Tags werden unterschiedliche Daten an Google übermittelt. Zusammenfassend gibt es zwei datenschutzrelevante Vorgänge, die ausschlaggebend sind.

1. IP-Adresse

Auch wenn Google angibt, dass die IP-Adresse nicht verarbeitet werden, werden diese zum Ableiten des IP-Landes verwendet. IP-Adressen stellen personenbezogene Daten dar, weshalb die DSGVO anwendbar ist. Dabei spielt es keine Rolle, dass Google die IP-Adressen nach der Ableitung löscht. Die Erhebung an sich stellt einen einwilligungsbedürftigen Vorgang nach der Art. 6 Abs. 1 lit. a DSGVO dar.

2. Pings

Pings enthalten Informationen zum User-Agent, Zeitstempel etc. Laut den Angaben von Google enthalten sie keine personenbezogenen Daten. Deshalb ist die DSGVO in diesem Fall nicht anwendbar. Allerdings wird der User Agent regelmäßig von dem Endnutzergerät ausgelesen, weshalb § 25 Abs. 2 TTDSG Anwendung findet. Somit ist eine Einwilligung für diesen Vorgang notwendig.

Die Nutzung des Google Consent Mode wirft Fragen zur Transparenz und Kontrolle der übermittelten Daten auf. Nutzer*innen, die Ihre Einwilligung nicht erteilt haben, gehen davon aus, dass keine Informationen verarbeitet werden. In der Realität sieht die Praxis anders aus.

Fazit

Die Nutzung des Google Consent Mode ist aus Datenschutzperspektive kritisch zu betrachten. Die Verarbeitung personenbezogener Daten, insbesondere IP-Adressen, ohne vorherige Einwilligung ist problematisch. Auch der Zugriff auf Geräteinformationen erfordert eine klare Einwilligung. Webshop-Betreiber*innen sollten die Einbindung des Google Consent Mode daher sorgfältig prüfen und rechtliche Risiken abwägen.

19.04.24
Select Country: