Kontakt
Datenschutz zwischen USA und EU: Was ist das Problem und wie sollten Deutsche Unternehmen damit umgehen?

Datenschutz zwischen USA und EU: Was ist das Problem und wie sollten Deutsche Unternehmen damit umgehen?

von | Apr. 11, 2025 | Datenschutz, Meinungen, News & Trends

Viele Deutsche Unternehmen wissen nicht, dass sie ihre Daten in den USA liegen.

 

Alle Unternehmen innerhalb der EU sollten inzwischen verstanden haben, dass die DSGVO (Datenschutz-Grundverordnung), ein essentieller Bestandteil des Alltags geworden ist.

Sobald Microsoft 356, Google Workspace, Meta oder Amazon im Einsatz sind, findet meist ein Datenaustausch zwischen den USA und der EU statt.

Auch wenn es inzwischen die Möglichkeit gibt, die Datenspeicherung auf EU-Raum einzugrenzen, ist oftmals noch der Einblick in die Daten, aus sogenannten Drittländern, möglich.

Doch gerade in der aktuellen Zeit, wo die politische Lage zwischen den USA und der EU so unvorhersehbar ist, wie seit langem nicht mehr, stellen sich viele Deutsche Unternehmen die folgende Frage: Was ist eigentlich das Problem und wie gehe ich am besten damit um?

Die Fragen sind berechtigt. Politik und Datenschützer:innen sind seit vielen Jahren im Austausch und noch immer sieht NOYB von Max Schrems Schwachstellen in aktuellen Regelungen.

 

Was ist das Problem beim Datenschutz zwischen den USA und der EU?

Das grundlegende Problem besteht darin, dass die USA und die EU unterschiedliche Anforderungen an den Datenschutz stellen.

Die DSGVO stellt sehr hohe Anforderungen an den Schutz personenbezogener Daten, auch bei der Übermittlung in sogenannte Drittstaaten außerhalb der EU.

Die USA gelten datenschutzrechtlich nicht als sicheres Drittland, weil:

  • US-Behörden weitreichende Zugriffsmöglichkeiten auf Daten haben (z.B. durch Gesetze wie den CLOUD Act oder FISA 702).
  • Es keinen vergleichbaren Datenschutz wie in der EU gibt, insbesondere kein einklagbares Recht für EU-Bürger auf Datenschutz in den USA.

 

Wie wurde bisher versucht , um den Datenschutz zwischen den USA und der EU zu harmonisieren?

Es gibt immer wieder Initiativen, um einen gleichen gemeinsamen Nenner zu finden, doch Datenschützer:innen stellen immer wieder deutliche Schwächen fest. Max Schrems gilt hier als Vorreiter und setzt sich aktiv für die Sicherung des Datenschutzes ein.

 

Safe Harbor (bis 2015) — gescheitert

  • Ein Abkommen zur Erleichterung von Datentransfers in die USA.
  • Vom EuGH („Schrems I“-Urteil) für ungültig erklärt.

 

Privacy Shield (2016–2020) — gescheitert

  • Nachfolger von Safe Harbor.
  • Wieder vom EuGH („Schrems II“-Urteil) gekippt, weil US-Überwachungsgesetze im Konflikt mit EU-Recht stehen.

 

Aktuell: EU-U.S. Data Privacy Framework (seit 2023)

  • Neues Abkommen zwischen EU und USA, um sicheren Datentransfer zu ermöglichen.
  • Die EU-Kommission hat einen Angemessenheitsbeschluss erlassen — das heißt: Datenübertragungen an zertifizierte US-Unternehmen sind wieder theoretisch erlaubt.
  • Diese Angemessenheitsbeschlüsse für zertifizierte Unternehmen besagen, dass die Datenschutzstandarts des Unternehmens gleichwertig mit die der DSGVO sind.

 

Und jetzt auch noch die Unsicherheit durch die aktuelle USA Politik.

Es ist aktuell nicht vorhersehbar, in welche Richtung sich der Datenschutz zwischen den USA und der EU bewegen. In jüngster Vergangenheit wurde deutlich, dass sich langfristige Abkommen rasand ändern können.

So beobachtet die EU die Veränderungen in den USA sehr scharf, ob die datenschutzrechtlichen Standards der Angemessenheitsbeschlüsse noch eingehalten werden können. Kippt dies, würden zahlreiche Unternehmen in den USA plötzlich die datenschutzrechliche Grundlage fehlen, um der DSGVO zu genügen.

Besorgniserregend ist, dass in den USA das “PCLOB” (Privacy and Civil Liberties Oversight Board), ein zentrales Kontrollorgan für den Datenschutz und Bürgerrechte, faktisch handlungsunfähig gemacht wurde, durch die Aufforderung zum Rücktritt von demokratischen Mitgliedern.

Dies untergräbt die unabhängige Aufsicht über US-Geheimdienste und gefährdet die Grundlage des Angemessenheitsbeschlusses.

 

Was bedeutet das jetzt für Unternehmen in der EU?

Wie am Anfang des Artikels angemerkt, findet schnell ein Datenaustausch zwischen dem eigenen Unternehmen und der USA statt.

Die Faustregel lautet: Wer personenbezogene Daten in die USA überträgt (z.B. über Tools wie Google Analytics, Meta, Microsoft, Amazon Web Services), sollte genauer hinschauen:

Prüfung: Ist der Anbieter nach dem EU-U.S. Data Privacy Framework zertifiziert? Schaue, ob ein Angemessenheitsbeschluss verfügbar ist.

Vertrag:  Welche datenschutzrechtliche Regelungen sind im Vertrag vorhanden? Sind Standardvertragsklauseln (SCC) als zusätzliche Absicherung integriert? Gibt es einen Vertrag für die Auftragsdatenverarbeitung (ADV)?

Risikoanalyse: Um das Risiko vollumfänglich einschätzen zu können, könnte eine „Datenschutz-Folgenabschätzung (DSFA)“ sinnvoll sein, insbesondere bei sensiblen Daten.

Transparenz: Es ist wichtig, die Informationspflicht ggü. der Nutzer:innen und der Aufsichtsbehörde nachzukommen. Vollumfängliche Datenschutzerklärungen und rechtlich und technisch korrekte Cookie-Consent-Banner sind u.a. unerlässlich.

Technische Schutzmaßnahmen:  Prüfe, inwiefern technische Verschlüsselungen und Anonymisierungen beim Umgang mit Daten angewendet werden. Wenn möglich, sollte die Serverstandortwahl auf ein EU-Land oder sogar Deutschland angepasst werden.

 

Und jetzt? Konkrete Empfehlung:

Wer aktuell Google Workspace, Microsoft 356, Meta oder andere Tools von Unternehmen aus den USA oder anderen unsicheren Drittstaaten im Einsatz hat, sollte die oben genannten Prüfpunkte durchgehen.

In den meisten Fällen, dürfte der Einsatz dieser Tools durch ein Angemessenheitsbeschluss geregelt sein. So zumindest bei Google, Microsoft und Meta und zum jetzigem Zeitpunkt.

Trotzdem bleibt die politische Unsicherheit bestehen und aktuelle Abkommen zwischen den USA und der EU könnten sich schnell verändern. Dann sollte man als Unternehmen entweder bereits vorgesorgt haben oder schnell reagieren können.

Jetzt vorsorgen bedeutet, die Datenhoheit komplett in der EU, oder noch besser, in Deutschland zu sichern.

Hierfür gibt es konkrete Anbieter, die vergleichbare Tools mit Sitz in Deutschland oder der EU anbieten, und komplett den Datenschutz einhalten. Als Unternehmer löse ich so komplett die Unsicherheit hinsichtlich der USA auf und setze mich für einen verantwortungsvollen Umgang mit Daten ein.

Was ist der EU Data Act?

Was ist der EU Data Act?

von | Sep. 18, 2024 | Datenschutz

Der European Data Act

In einer Welt, in der Daten zunehmend an Bedeutung gewinnen, ist es von entscheidender Bedeutung, die Auswirkungen gesetzlicher Bestimmungen auf den Umgang mit Daten zu verstehen. Insbesondere hat das Europäische Datenschutzgesetz erhebliche Auswirkungen auf Unternehmen und Organisationen, die Daten für ihre Geschäftsaktivitäten nutzen. Dieser Artikel untersucht das Europäische Datenschutzgesetz, insbesondere den European Data Act, der als Teil der Europäischen Datenstrategie 2020 eingeführt wurde.

 

Was ist der Data Act?

Das Europäische Datenschutzgesetz, auch als European Data Act bekannt, wurde am 28. Juni 2023 als weiterer Meilenstein für die Europäische Union eingeführt. Es baut auf dem bereits bestehenden GDPR-Gesetz auf, welches erstmals seit 1995 einen neuen Standard für den Schutz personenbezogener Daten festgelegt hat. Der Fokus des European Data Act liegt auf der Regelung, wie große Technologieunternehmen und andere Organisationen europäische Verbraucher- und Unternehmensdaten nutzen.

 

Ziele des European Data Act

Das Hauptziel des European Data Act besteht darin, den Wert von Daten in Europa zu erschließen und das Wachstumspotenzial für die europäische Datenwirtschaft zu nutzen. Hierbei werden klare Regeln und Verpflichtungen geschaffen, die es verschiedenen Parteien ermöglichen sollen, auf Daten aus verschiedenen Bereichen zuzugreifen und diese zu nutzen.

Ein zentraler Schwerpunkt liegt auf der Nutzung von Daten, die von intelligenten Geräten, Maschinen und Verbraucherprodukten erzeugt werden. Der Act zielt darauf ab, mehr Daten zu generieren, die Qualität der Daten zu verbessern und die Fähigkeit zur ganzheitlichen Nutzung von Daten zwischen verschiedenen Organisationen zu fördern.

 

Datenschutzverordnung im Detail

Der European Data Act legt Rechte und Pflichten fest, die die Nutzung von europäischen Verbraucher- und Unternehmensdaten regeln. Dies betrifft insbesondere Big Tech-Unternehmen, die eine Fülle von Daten für ihre Dienste verwenden. Der Fokus liegt auf der Schaffung eines klaren Rahmens, wer sektorübergreifende Daten erhalten darf und zu welchem Zweck.

Um die Ziele des Gesetzes zu unterstützen, wurden klare Regelungen für die Nutzung von sektorübergreifenden Daten geschaffen. Hierbei geht es nicht nur um den Zugang zu diesen Daten, sondern auch um die Sicherstellung, dass die Daten in Übereinstimmung mit den Datenschutzbestimmungen verarbeitet werden.

 

Vorteile des Data Acts

 

1. Umfassende Datennutzung

Eine der positiven Auswirkungen des European Data Act besteht darin, dass Daten in vollem Umfang genutzt werden können, um Menschen, Unternehmen und den öffentlichen Sektor zu unterstützen. Dies eröffnet neue Möglichkeiten für innovative Anwendungen und Dienstleistungen.

 

2. Freiheit für Verbraucher

Verbraucher erhalten mehr Freiheit bei der Nutzung ihrer eigenen Daten. Sie können diese Daten auch mit anderen Parteien teilen, um neue Dienste zu erhalten. Dies stärkt die Kontrolle der Verbraucher über ihre persönlichen Informationen.

 

3. Kostenreduktion in der Branche

Die Offenlegung von Daten kann zu einer Reduzierung der Kosten in verschiedenen Branchen führen. Unternehmen sind nicht mehr an bestimmte Anbieter gebunden, was zu einem intensiveren Wettbewerb führen kann.

 

4. Entkoppelung von Kundendienst und Service

Durch die Möglichkeit, auf sektorübergreifende Daten zuzugreifen, können Kundendienst und Service von den ursprünglichen Anbietern entkoppelt werden. Dies ermöglicht es Verbrauchern, Dienstleistungen von verschiedenen Anbietern in Anspruch zu nehmen.

 

5. Gleiche Grundlage für kleinere Unternehmen

Kleinere Unternehmen erhalten die gleiche Grundlage für den Datenzugang wie größere Unternehmen. Dies fördert die Innovation und schafft einen stärkeren Wettbewerb zwischen verschiedenen Akteuren auf dem Markt.

 

Kritik am Data Act

 

1. Datenschutz und Missbrauchsgefahr

Eine der Hauptkritiken am European Data Act ist die Balance zwischen Datennutzung und Datenschutz. Während das Gesetz darauf abzielt, Daten für verschiedene Zwecke zugänglich zu machen, besteht die Gefahr des Missbrauchs und einer Verletzung der Datenschutz-Grundverordnung (DSGVO).

 

2. Schutz sensibler Daten

Daten können äußerst sensibel sein, und es ist von größter Wichtigkeit, sie jederzeit vor unberechtigtem Zugriff zu schützen. Die Offenlegung von Daten darf nicht zu einem Verstoß gegen Datenschutzbestimmungen führen.

 

3. Unsicherheiten für Unternehmen

Für Unternehmen, die Daten als wesentlichen Vermögenswert betrachten, könnten Unsicherheiten entstehen. Offen zugängliche Daten könnten die bisherige Lizenzierung von Daten in Frage stellen und zu rechtlichen Unsicherheiten führen.

 

4. Technische Barrieren

Die Umsetzung des European Data Act erfordert die Überwindung verschiedener technischer Barrieren. Dazu gehören IT-Strukturen vor Ort, Cloud-Infrastrukturen und Plattformen zur gemeinsamen Nutzung. Diese Barrieren müssen nicht nur mit dem European Data Act, sondern auch mit der DSGVO konform sein.

 

5. Monetarisierung von Daten

Es besteht Unklarheit darüber, wie das Datenmodell letztendlich monetarisiert werden soll. Da verschiedene technische Lösungen zur Verfügung stehen, bleibt abzuwarten, wie die EU dies zu regeln gedenkt und wie dies mit den Datenschutzbestimmungen in Einklang gebracht wird.

 

Auswirkungen auf Unternehmen mit Datenbeständen

Derzeit (August 2023) wird darauf gewartet, dass das Datengesetz formelle verabschiedet wird und anschließend, 20 Monate nach seiner Veröffentlichung im Amtsblatt, in Kraft tritt. Dies gibt uns Zeit, um zu verstehen, wie das Gesetz in der Praxis umgesetzt werden kann.

In dieser Zeit ist es wichtig, die theoretischen Ideen in praktische technische Lösungen umzusetzen. Insbesondere Unternehmen müssen sich der potenziellen Chancen für ihr Geschäft sowie der Veränderungen und Risiken bewusst sein, die mit der gemeinsamen Nutzung von Daten, der Datenzugänglichkeit und der Einhaltung von Vorschriften verbunden sind.

Andererseits könnte der Datenaustausch monetarisiert werden und neue Geschäftsmodelle eröffnen. Unternehmen, die IoT-Geräte herstellen, könnten beispielsweise von den von ihnen generierten Daten profitieren, indem sie sie ihren Kunden zugänglich machen und sie an andere Parteien verkaufen. Es bleibt jedoch abzuwarten, wie beim Verkauf von Daten Konflikte mit der Datenschutz-Grundverordnung vermieden werden können.

 

Daten sind für jedes Unternehmen wichtig, das nicht zurückfallen möchte

Nicht nur für die EU sind Daten von zentraler Bedeutung, um im Wettbewerb zu den anderen Nationen nicht hinterher zu bleiben, sondern auch für Unternehmen. Diese müssen in der aktuellen Zeit umso mehr darauf achten, dass sie Daten verantwortungsbewusst sammeln und effektiv für ihren Geschäftszweck nutzen.

Eine übergeordnete Datenstrategie, welche als Fahrplan für das Unternehmen gilt, kann helfen, Klarheit zu schaffen und Daten kurz- und langfristig effektiv einzusetzen. Sollten Sie Fragen haben oder Unterstützung bei der Erstellung einer Datenstrategie haben, melden Sie sich gerne.

Was ist Google Consent Mode V2 und warum ist es jetzt verpflichtend?

Was ist Google Consent Mode V2 und warum ist es jetzt verpflichtend?

von | Sep. 11, 2024 | Digital Analytics

Google greift den Datenschutz auf

Das Thema „Datenschutz“ wird immer präsenter und auch Tech-Giganten wie Google sehen keine Zukunft ohne die integrale Berücksichtigung von Datenschutz-orientieren Lösungen bei Ihren Produkten.

Dabei hat es seit der Inkraftsetzung der DSGVO im Mai 2018 relativ lange gedauert, bis Google mit den ersten Consent-Lösungen im GTM, den sogenannten Consent Mode, auf den Markt kam.

Nun geht es soweit, dass der Consent Mode V2 verpflichtend wird am März 24, wenn Google Analytics 4 (GA4) im Zusammenhang mit Audiences und Retargeting genutzt wird.

Warum das Thema gerade jetzt aufkocht und für Websitebetreibende relevant ist, erkläre ich im folgenden.

 

Was ist der Google Consent Mode?

Grundsätzlich ist der Google Consent Mode eine Funktion im Google Tag Manager (GTM), welche den spezifischen Consent Status eines Nutzers and die Google Tag anheftet. Google weiß so, welche Consent vorgelegen hat, zum Zeitpunkt des Triggers.

Der Consent Mode arbeitet in den meisten Fällen nahtlos mit einer Consent Management Plattform (CMP) zusammen. Diese ist auch zu empfehlen, da hier der gewählte Nutzer-Consent direkt in den dataLayer gepushed wird, wo der Consent Mode drauf zugreift.

Es ist zu beachten, dass es zwei verschiedene Versionen gibt, wobei davon auszugehen ist, dass es in der Zukunft nur noch die V2 geben wird. Der Unterschied liegt nur in der Anzahl der Parameter, die den spezifischen Consent Status wiedergeben.

 

Google Consent Mode V1

Dieser Version wird aktuell durch die V2 Version abgelöst und beinhaltet folgende Parameter für die Übertragung des Consents zum Zeitpunkt der Datenerhebung:

ad_storage: Einwilligung für Advertisment Cookies

analytics_storage: Einwilligung für Analytics Cookies

 

Google Consent Mode V2

Im November 2023 führte Google zwei zusätzliche Parameter für den Consent Mode in der Consent Mode-API ein. Diese finden Anwendung bei der Verarbeitung der Daten.

ad_user_data: Einwilligung zum Senden von Nutzerdaten an Google für Werbezwecke.

ad_personalization: Einwilligung zum Senden von Nutzerdaten an Google für personalisierte Werbung.

Info: Die weiteren Parameter functionality_storage und security_storage werden ebenfalls automatisch aus der CMP ausgegeben und benötigen keine weitere Verwendung. Sie können als optional angesehen werden.

Consent Mode V2 Parameter im GTM (links ohne Consent, rechts mit consent)

Consent Mode Implementierung

Wie bereits oben angedeutet, wird der Consent Mode in den meisten Fällen in Zusammenarbeit mit der CMP implementiert. Das bedeutet, dass die Consent Mode in der CMP aktiviert werden muss und der GTM diese Werte nur noch abliest und weitergibt. Dies erfordert zudem noch die Konfiguration des GTMs, damit die Google Tags auch mit den Parametern ausgestattet sind.

Die Implementierung vom Google Consent Mode kann in der einfachen Form (Basic) stattfinden oder in der umfangreicheren (Advanced). Anzumerken ist, dass nur die Basic Implementierung verpflichtend wird. Die Nutzung der Advanced Implementierung ist datenschutzrechtlich kritisch zu betrachten und ist an dieser Stelle, ohne weitere Rücksprache mit der internen Datenschutzabteilung, nicht zu empfehlen.

 

Basic Implementierung

Sendet nur Daten an Google, wenn Consent gegeben wurde und ergänzt lediglich die spezifischen Consent-Informationen vom Nutzer. Dies ist die Form, welche seitens Google ausreicht, um weiterhin Audiences und Remarketing betreiben zu können.

Google Consent Mode V2 Basic Implementierung

Advanced Implementierung

Auch bekannt als Cookieless Tracking, sendet diese Implementierung auch Daten an Google, wenn kein Consent gegeben wurde. Dabei wird komplett auf Cookies verzichtet und es gibt keine persistente Nutzeridentifiaktion (Client-ID). Die IP-Adresse wird noch vor Verarbeitung und Speicherung der Daten entfernt.

Google Consent Mode V2 Advanced Implementierung

Modellierung mit Consent Mode

Durch die Implementierung von Consent Mode wird das Modelling in der GA4 Property und in Google Ads ermöglicht. Dies ist ein sehr relevanter und wichtiger Faktor, um zukünftig weiterhin aussagekräftige Informationen aus den Daten zu ziehen. Es geht darum, dass der Nutzeranteil, welcher keinen Consent gegeben hat, nachmodelliert wird, um Conserversion, Attribution und Nutzerverhalten hochzurechnen.

In der Basic Implementierung werden nur Daten mit Consent zur Conversion Modellierung genutzt.

In der Advanced Implementierung werden alle Daten und insbesondere die Cookieless Daten zur Modellierung genutzt, um den Anteil an Nutzern zu kalkulieren, welcher keinen Consent gegeben hat. Zusätzlich zum Conversion Modelling (GA4 & Ads) wird hier Behavioral Modelling (GA4) angewendet.

 

Was ändert sich nun und was bedeutet das für mich?

Ab März 2024 wird für Websitebetreibende der Consent Mode V2 verpflichtend seitens Google, sofern sie GA4 in Zusammenhang mit Audiences und Remarketing nutzen möchten.

Für Websitebetreibende, die bereits den Consent Mode V1 implementiert haben, wird der Parameter ad_storage auf den neuen Parameter ad_user_data gespiegelt. Somit besteht an der Stelle kein Implementierungsaufwand.

Allerdings muss der ad_personalization Parameter aktiv durch die CMP gesetzt werden, da hier keine automatische Zuordnung generiert wird.

Es ist somit zu empfehlen, dass die CMP auf den Consent Mode V2 aktualisiert wird und der GTM entsprechend konfiguriert wird, um weiterhin problemlos Audiences und Remarketing mit GA4 durchführen zu können.

Google greift den Datenschutz auf

Das Thema „Datenschutz“ wird immer präsenter und auch Tech-Giganten wie Google sehen keine Zukunft ohne die integrale Berücksichtigung von Datenschutz-orientieren Lösungen bei Ihren Produkten.

Dabei hat es seit der Inkraftsetzung der DSGVO im Mai 2018 relativ lange gedauert, bis Google mit den ersten Consent-Lösungen im GTM, den sogenannten Consent Mode, auf den Markt kam.

Nun geht es soweit, dass der Consent Mode V2 verpflichtend wird am März 24, wenn Google Analytics 4 (GA4) im Zusammenhang mit Audiences und Retargeting genutzt wird.

Warum das Thema gerade jetzt aufkocht und für Websitebetreibende relevant ist, erkläre ich im folgenden.

 

Was ist der Google Consent Mode?

Grundsätzlich ist der Google Consent Mode eine Funktion im Google Tag Manager (GTM), welche den spezifischen Consent Status eines Nutzers and die Google Tag anheftet. Google weiß so, welche Consent vorgelegen hat, zum Zeitpunkt des Triggers.

Der Consent Mode arbeitet in den meisten Fällen nahtlos mit einer Consent Management Plattform (CMP) zusammen. Diese ist auch zu empfehlen, da hier der gewählte Nutzer-Consent direkt in den dataLayer gepushed wird, wo der Consent Mode drauf zugreift.

Es ist zu beachten, dass es zwei verschiedene Versionen gibt, wobei davon auszugehen ist, dass es in der Zukunft nur noch die V2 geben wird. Der Unterschied liegt nur in der Anzahl der Parameter, die den spezifischen Consent Status wiedergeben.

 

Google Consent Mode V1

Dieser Version wird aktuell durch die V2 Version abgelöst und beinhaltet folgende Parameter für die Übertragung des Consents zum Zeitpunkt der Datenerhebung:

ad_storage: Einwilligung für Advertisment Cookies

analytics_storage: Einwilligung für Analytics Cookies

 

Google Consent Mode V2

Im November 2023 führte Google zwei zusätzliche Parameter für den Consent Mode in der Consent Mode-API ein. Diese finden Anwendung bei der Verarbeitung der Daten.

ad_user_data: Einwilligung zum Senden von Nutzerdaten an Google für Werbezwecke.

ad_personalization: Einwilligung zum Senden von Nutzerdaten an Google für personalisierte Werbung.

Info: Die weiteren Parameter functionality_storage und security_storage werden ebenfalls automatisch aus der CMP ausgegeben und benötigen keine weitere Verwendung. Sie können als optional angesehen werden.

Consent Mode V2 Parameter im GTM (links ohne Consent, rechts mit consent)

Consent Mode Implementierung

Wie bereits oben angedeutet, wird der Consent Mode in den meisten Fällen in Zusammenarbeit mit der CMP implementiert. Das bedeutet, dass die Consent Mode in der CMP aktiviert werden muss und der GTM diese Werte nur noch abliest und weitergibt. Dies erfordert zudem noch die Konfiguration des GTMs, damit die Google Tags auch mit den Parametern ausgestattet sind.

Die Implementierung vom Google Consent Mode kann in der einfachen Form (Basic) stattfinden oder in der umfangreicheren (Advanced). Anzumerken ist, dass nur die Basic Implementierung verpflichtend wird. Die Nutzung der Advanced Implementierung ist datenschutzrechtlich kritisch zu betrachten und ist an dieser Stelle, ohne weitere Rücksprache mit der internen Datenschutzabteilung, nicht zu empfehlen.

 

Basic Implementierung

Sendet nur Daten an Google, wenn Consent gegeben wurde und ergänzt lediglich die spezifischen Consent-Informationen vom Nutzer. Dies ist die Form, welche seitens Google ausreicht, um weiterhin Audiences und Remarketing betreiben zu können.

Google Consent Mode V2 Basic Implementierung

Advanced Implementierung

Auch bekannt als Cookieless Tracking, sendet diese Implementierung auch Daten an Google, wenn kein Consent gegeben wurde. Dabei wird komplett auf Cookies verzichtet und es gibt keine persistente Nutzeridentifiaktion (Client-ID). Die IP-Adresse wird noch vor Verarbeitung und Speicherung der Daten entfernt.

Google Consent Mode V2 Advanced Implementierung

Modellierung mit Consent Mode

Durch die Implementierung von Consent Mode wird das Modelling in der GA4 Property und in Google Ads ermöglicht. Dies ist ein sehr relevanter und wichtiger Faktor, um zukünftig weiterhin aussagekräftige Informationen aus den Daten zu ziehen. Es geht darum, dass der Nutzeranteil, welcher keinen Consent gegeben hat, nachmodelliert wird, um Conserversion, Attribution und Nutzerverhalten hochzurechnen.

In der Basic Implementierung werden nur Daten mit Consent zur Conversion Modellierung genutzt.

In der Advanced Implementierung werden alle Daten und insbesondere die Cookieless Daten zur Modellierung genutzt, um den Anteil an Nutzern zu kalkulieren, welcher keinen Consent gegeben hat. Zusätzlich zum Conversion Modelling (GA4 & Ads) wird hier Behavioral Modelling (GA4) angewendet.

 

Was ändert sich nun und was bedeutet das für mich?

Ab März 2024 wird für Websitebetreibende der Consent Mode V2 verpflichtend seitens Google, sofern sie GA4 in Zusammenhang mit Audiences und Remarketing nutzen möchten.

Für Websitebetreibende, die bereits den Consent Mode V1 implementiert haben, wird der Parameter ad_storage auf den neuen Parameter ad_user_data gespiegelt. Somit besteht an der Stelle kein Implementierungsaufwand.

Allerdings muss der ad_personalization Parameter aktiv durch die CMP gesetzt werden, da hier keine automatische Zuordnung generiert wird.

Es ist somit zu empfehlen, dass die CMP auf den Consent Mode V2 aktualisiert wird und der GTM entsprechend konfiguriert wird, um weiterhin problemlos Audiences und Remarketing mit GA4 durchführen zu können.