Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Consent Mode: Nutzen fraglich, Datenschutz auch

0

Der Google Consent Mode soll die Vorgaben von Nutzern zum Datenschutz berücksichtigen. Unabhängig vom Nutzerverhalten sendet Google Analytics beispielsweise immer Daten, aber nur an Google. Die Betreiber von Webseiten als Google Kunden sind die Dummen und zudem noch verantwortlich für die Praktiken von Google.

Einleitung

Als Consent bezeichnet man üblicherweise die Einwilligung eines Nutzers auf einer Webseite oder App in kritische Datenschutzvorgänge. Kritische Vorgänge involvieren etwa nichtfunktionale Cookies oder das Übertragen technisch nicht notwendiger personenbeziehbarer Daten oder die Bildung von Nutzerprofilen durch Dritte oder über eine Sitzung hinaus. Weil IP-Adressen personenbezogene Daten sind, ist bereits der Abruf eines Bildes von einem Dritt-Server ein einwilligungspflichtiger Vorgang, behaupte ich und nenne hierfür regelmäßig die technischen Gründe und Rechtsgrundlagen. Gleiches gilt für externe Schriften.

Was ist Google Consent Mode?

Der Consent Mode soll Datenschutzvorgaben von Nutzern berücksichtigen. Dazu wird insbesondere die Datenerfassung bestimmter Google Tools abgestuft. Aus Sicht von Marketing und Datenschutz ist der Consent Mode mit Mängeln behaftet.

Offensichtlich ist nicht jeder Nutzer bereit, eine Einwilligung zu erteilen. Viele klicken auf den sogenannten Cookie Popups auf den Ablehnen-Button. Weil einige Consent Tool Anbieter das mitbekamen, bieten sie die Möglichkeit, den Ablehnen-Button auf einer tieferen Ebene (Layer) zu verstecken. Das ist rechtswidrig (sage ich, sagt das LG Rostock, sagen Datenschützer, sagt sicher demnächst auch mal der EuGH). Dennoch wird dieses Vorgehen tagtäglich auf wohl hunderttausenden deutschen Webseiten praktiziert.

Der Google Consent Mode ist ein neuer Ansatz zum Umgehen von Datenschutzgesetzen, mit Google als Hauptprofiteur.

Mein Fazit nach Untersuchung des Google Consent Mode.

Google hat einen anderen Ansatz gewählt. Der neue Google Consent Mode ist noch in der Beta-Phase. Mit dem Consent Mode kann der Willen des Nutzers beim Betrieb von Google Tools berücksichtigt werden, behauptet Google. Der Consent Mode integriert sich auch mit einigen Consent Tools.

Wie funktioniert der Google Consent Mode?

Google bietet mehrere Einstellmöglichkeiten an, die teils spezifisch für einzelne Dienste sind (siehe https://support.google.com/analytics/answer/9976101?hl=de, aus mehreren Gründen nicht als anklickbarer Link ausgeprägt). Die Funktionsweise für Google Analytics ist folgende (vereinfacht):

  1. Code auf Webseite einbinden, um den Consent Mode zu aktivieren
  2. Google Analytics einbinden
  3. Google Analytics wird geladen
  4. Google Analytics setzt bzw. liest Cookies nur, wenn der Parameter ad_storage oder der Parameter analytics_storage positiv gesetzt sind (Wert grante)
  5. Google Analytics sendet ein Collect-Ereignis an Google, welches scheinheilig Google Analytics Ping genannt wird. Wenn der Parameter analytics_storage den Wert denied hat, landen die Daten nur bei Google. Der Google Analytics Kunde hat augenscheinlich nichts davon
  6. Nur bei erteiltem Consent werden die Google Analytics Daten auch für den Kunden sichtbar

Hieraus ergeben sich erhebliche Datenschutzprobleme, die in meinen Augen nicht mit einem sogenannten Consent Mode vereinbar zu sein scheinen. Auch Google Kunden haben mit dem Consent Mode aus meiner Sicht nur Nachteile und keinen einzigen echten (offiziellen) Vorteil.

Zu Google Analytics Ping eine kurze Erklärung. Bei uneingeschränkten Protokollierungen durch Google Analytics zeigt das Google Dashboard für jeden erfassten Nutzer einen Treffer an:

Getrackte Nutzer, die von Google Analytics erfasst und dem Kunden als Statistik bereitgestellt werden.

Die Spalte Client Id zeigt pro Nutzer eine eindeutige Identifikation an, mit der man hervorragend eine parallele und somit weitergehende Nutzerverfolgung programmieren kann. Im Alles-verboten-Modus von Google Analytics landen hier keine Treffer. Im cookielosen Modus von Google Analytics wird pro Neuaufruf einer Webseite für denselben Nutzer jeweils eine neue Id generiert, was für das Marketing schlecht ist. Im cookiebehafteten Modus von Google Analytics hingegen wird pro wiederkehrendem Nutzer dieselbe Id wiederverwendet, worüber sich die Marketing-Abteilung freut.

Wird hingegen ein von Google als Ping bezeichnetes Ereignis an Analytics gesendet, gibt es für den Analytics Kunden, also den Webseitenbetreiber, keinen Eintrag in der eben gezeigtem Statistik des User Explorer. Stattdessen bekommt nur Google die umfangreichen Daten und gibt diese „nur“ in aggregierter Form weiter. Dies gibt Google direkt zu:

Ohne Einwilligung erhält Google die Daten immer noch, gibt sie aber nur aggregiert weiter. Quelle: https://blog.google/products/marketingplatform/360/measure-conversions-while-respecting-user-consent-choices/.

Der Google Analytics Kunde sieht allerdings diese Daten nicht. Selbst in der Gesamtübersicht der Nutzer, die hier nur zahlenmäßig genannt sind, werden keine von Google erhobenen Daten angezeigt:

Audienc Overview zu Google Analytics: Bei nicht gewährtem Consent landen hier keine Daten.

Somit ist der Google Consent Mode für Google Produkte wie Google Analytics in meinen Augen funktionell unbrauchbar (meine Tests fand nicht auf einer öffentlichen Webseite statt, wenngleich ich auf Fallstricke geachtet habe). Jedes beliebige Statistik-Tool kann Daten besser erfassen, was sogar ohne Consent und ohne rechtliche Probleme möglich ist.

Auch für andere Google Werbeprodukte steht der Consent Mode von Google zur Verfügung, so beispielsweise für den Google Tag Manager. Der Tag Manager ist ein in meinen Augen erheblich überbewertetes Tool. Es ist an sich gänzlich entbehrlich. Der angebliche Nutzen ist eher für Google vorhanden, weniger für Agenturen. Wer nicht programmieren kann, sollte sich dem Thema Webseitenerstellung am besten nicht widmen, weil dann Datenschutzprobleme sozusagen vorprogrammiert sind. Wer hingegen programmieren kann, bekommt alles, was der Tag Manager schafft, auch selber hin, ganz ohne Datenschutzprobleme wegen des Tag Managers. Die Mühe, die es macht, den Google Tag Manager einzurichten, ist immens. Viele empfinden das vielleicht nicht so, weil sie sämtliche rechtlichen Bedingungen und Vorgaben, die beim Eröffnen oder Betrieb eines Google Tag Manager Kontos vorgegeben werden, einfach wegklicken. Wie ich in diesem Zusammenhang zeigen konnte, ist die Behauptung falsch, der Google Tag Manager sei eine cookielose Domäne.

Der Consent Mode ist ebenfalls in manchen Cookie Blocker integriert. Das macht es nicht besser, sondern sorgt für mehr Datenschutzprobleme als je zuvor.

Kritik am Google Consent Mode

Einziger offizieller Profiteur des Google Consent Mode ist der Google Konzern, so scheint es mir. Google ist einziger offizieller Profiteur, weil es möglicherweise tatsächlich, neben der von Google zugegebenen Datenerhebung und Datenweitergabe, weitere Profiteure gibt. Offiziell behauptet Google, man müsse Pings senden, um Analytics Daten auf hoher Qualität zu halten. Die Frage ist, wie dies geschehen soll, wenn doch keine personenbeziehbaren Daten verarbeitet werden dürfen, auch nicht von Google. Google darf die Analytics Daten auch nicht mit Daten von Nutzern, die in ihrem Google Konto angemeldet sind, abmischen. Offiziell passiert das wohl auch nicht. Aber warum dann das Ping an Google?

Google gibt selbst zu, dass alle Google Analytics Daten immer in den USA verarbeitet werden. Somit liegt bereits eine Einwilligungspflicht vor, wenn Google Analytics im Consent Mode abgerufen wird.

Wer sich das Collect-Event von Analytics im Consent Mode ansieht, wird schnell sehen, dass die an Google übermittelten Daten geeignet sind, Nutzerprofile zu erstellen. Hier ein Screenshot, der nach Abruf der Cookiebot Webseite erstellt wurde, ohne dass eine Einwilligung erteilt wurde:

Abruf der Webseite https://www.cookiebot.com/de/ (Stand: 06.08.2021), Einwilligung wurde nicht erteilt.

Das Logo ist nur (in rot) geschwärzt, um mögliche Urheberrechtsprobleme zu vermeiden.

Wie man unten im Screenshot sehen kann, finden zahlreiche Datentransfers zur Domäne google-analytics.com statt, obwohl keine Einwilligung erteilt wurde. Die Einwilligungsabfrage auf dem Bild erscheint zudem zum ersten Mal. Bei Stattfinden der gezeigten Datentransfers wurde kein einziger Klick auf der Cookiebot-Webseite vollzogen.

Der Google Consent Mode ist also noch aktiv, weil keine Einwilligung erteilt wurde. Google würde dies wohl nicht mit dem Attribut aktiv versehen, sondern eher mit etwas wie „nicht gewährter Datenfreigabe“ (granted bzw. not granted). Weil mir das hier zu lange ist, schreibe ich aktiv und inaktiv.

Hier ein ausgewählter Datentransfer durch Google Analytics bei aktivem Consent Mode, also ohne Einwilligung:

Datentransfer durch Google Analytics trotz aktiviertem Consent Mode, also ohne Einwilligung.

Die mit rot übermalten Informationen sind personenbezogen. Sie wurden übermalt, um einerseits meine Privatsphäre halbwegs zu schützen, was auf der Cookiebot Webseite m. E. schwierig bis unmöglich ist. Andererseits sieht man direkt, wie viele personenbeziehbare Daten von Google Analytics selbst im Consent Mode übertragen werden.

Der aktivierte Consent Mode jann am Parameter gcs erkannt werden, den ich im Screenshot rot unterstrichen habe. Der Parameter hat den Wert G100. Dieser Wert steht für einen aktivierten Consent Mode.

Erteilt ein Nutzer seine Einwilligung für alles, wird der Consent Mode deaktiviert und der Parameter gcs hat dann den Wert G111. Folgende Werte konnte ich verifizieren:

  • G100: Keine Einwilligung
  • G111: Einwilligung für alles: analytics_storage= granted, ad_storage= granted
  • G101: analytics_storage= granted
  • G110: ad_storage= granted

Die Einstellung ads_data_redaction (trueoder false) gibt an, ob Seiten-URLs mit Kennungen für Anzeigenklicks aus dem Analysedatenbestand entfernt werden oder nicht. Die Einstellung ist wohl nur relevant, wenn ad_storageden Wert denied hat.

Rechtliche Bewertung

Der Datentransfer in die USA ist bereits einwilligungspflichtig. Begründungen hierfür finden sich in diversen Artikeln auf Dr. DSGVO (u.a. Cloud Act, FISA Sektion 702, EO12333). Hier könnte man schon aufhören, den Google Consent Mode zu betrachten, wenn es um Google Analytics geht.

Bei Google Analytics kommt hinzu, dass ohne Einwilligung Nutzerprofile gebildet werden können. Die mit dem Collect-Ereignis übertragene Datenmenge ist dazu bestens geeignet. Auch dies ist einwilligungspflichtig, wie § 15 Abs. 3 TMG besagt (ausgelegt gemäß BGH-Urteil zu Planet 49). Art. 5 Abs. 1 c DSGVO (Datenminimierung) und Art. 25 DSGVO (datenschutzfreundliche Technikgestaltung) besagen Analoges.

Selbst Cookiebot, ein Tool, welches fragwürdige Ergebnisse in der Praxis erzielt, sieht das Collect-Ereignis als einwilligungspflichtig, hält sich selber aber trotzdem nicht daran:

Cookiebot-Einwilligungsfenster (2. Ebene) zum Collect-Event von Google, welches von Cookiebot als einwilligungspflichtig gesehen wird, aber dennoch ohne Einwilligung geladen wird (Stand: 06.08.2021).

Entweder stimmt die Angabe von Cookiebot nicht. Dann fragt sich, wie hoch die Kompetenz von Cookiebot in Datenschutzfragen zu bewerten ist. Oder die Angabe von Cookiebot stimmt. Dann stellt sich die Frage nach der Datenschutzkompetenz von Cookiebot ebenfalls, denn das Collect-Event wird ohne Einwilligung ausgeführt, obwohl eine Einwilligung dafür abgefragt wird.

Neben all dem könnte man Weiteres anführen. Weil das Google Analytics Ping scheinbar nur für Google nützlich ist, kann sich der Verantwortliche für eine Webseite nicht darauf berufen, dieses Ping läge in seinem berechtigten Interesse. Denn die mit Google Analytics im striktesten Modus („alles“ verboten) erfassten Daten landen meinem Test zufolge nicht im Google Analytics Dashboard, dafür aber im internen Datenpool von Google.

Wer einen AVV mit Google abschließt, wird bangen müssen, ob dieser AVV alleine wegen des Consent Mode Gültigkeit hat. Denn offenbar ist das Google Ping nur für Google-eigene Zwecke gedacht, nicht aber für die Zwecke des Webseitenbetreibers als Vertragspartner eines AVV.

Als wäre das nicht genug, löscht der Consent Mode bereits vorhandene Google Analytics Cookies nicht, sondern lässt sie weiter leben. Dadurch kann der Nutzer, sofern er irgendwann (wieder) einer Datenerfassung zustimmen sollte, noch besser nachverfolgt werden.

Ist eine Einwilligung für die Google Analytics Datenspeicherung gegeben, zeigt Google Analytics in Echtzeit an, dass ein Besucher auf der mit Analytics versehenen Webseite ist:

Eigener Test mit erlaubter Google Analytics Datenerfassung mit Consent Mode.

Schaltet man den Google Consent Mode nun aus und ruft die Webseite, die Google Analytics integriert, erneut auf, ist die Anzeige dieselbe! Anders ist es hingegen, wenn man den Consent Mode aktiviert, also die Datenerfassung durch Analytics von Anfang an (oder noch) deaktiviert hatte. Dann nämlich wird kein aktiver Nutzte in der Echtzeitansicht im Analytics Dashboard angezeigt:

Nutzer, die im aktivierten Consent Mode von Analytics erfasst werden, werden im Analytics Dashboard nicht sichtbar.

Datenschutzrechtlich ist das gut, allerdings dennoch fragwürdig, weil Google Nutzerdaten erhält und diese lediglich für sich behält, aber eben erhält und verarbeitet. Das berechtigte Interesse des Webseitenbetreibers wird somit weiter bis zur Unkenntlichkeit herabgewürdigt.

Bewertung des Nutzens

Von Google Analytics Jüngern, die ich hier nicht referenzieren möchte, wird selbst gesagt, dass der Google Consent Mode eine schlechte Idee aus Marketing-Perspektive ist. Wird nämlich cookielos getrackt, was bei aktiviertem Consent Mode der Fall ist, dann landen qualitativ schlechte Daten im Analytics Datenpool des Google Kunden (= Webseitenbetreiber). Ist hingegen der Analytics-Standard mit Cookies aktiv, werden qualitativ hochwertigere Daten in denselben Datenpool erfasst.

Die Durchmischung von hochwertigen mit niederwertigen Daten sorgt für eine schlechtere Datenbasis. Die Daten von Nutzern, die ohne Cookies und ohne Bezug zu Werbeanzeigen erfasst wurden, sind kaum brauchbar (sage ich nach eigenen Tests und sehen auch manche andere so; ob es jeder so sieht, weiß ich nicht).

Fazit

Der Google Consent Mode nützt anscheinend nur dem Google Konzern. Offenbar hat man Angst, durch nicht erteilte Einwilligungen viele Daten zu verlieren. Deswegen kam wohl die Idee auf, einen Consent Mode zu schaffen, der auch ohne Einwilligung Daten erhebt. Das Ganze wird dann als datenschutzfreundlich umschrieben, um in meinen Augen rechtswidrige Datenverarbeitungen zu tarnen.

Der Google Consent Mode erzeugt neue Datenschutzprobleme.

Meine Erkenntnis (Begründung: siehe Artikel).

Selbst einige Marketing-Experten sehen den Consent Mode kritisch, wenngleich nicht aus Datenschutzgründen.

Noch gar nicht betrachtet habe ich hier die Frage, wie der Consent Mode sicherstellen hilft, dass beispielsweise Google Fonts nicht ohne Einwilligung von Google Servern geladen werden. Hier versagen Consent Tools regelmäßig, weil ansonsten deren fragwürdiger Nutzen zutage gefördert werden würde. Kurz gesagt, Consent Tools sind in der Praxis Versager, wie ich qualitativ und quantitativ zeigen kann.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bundestagswahl 2021: Die Werbeausgaben von Parteien und Politikern auf Facebook