Was ist der Consent Mode?
Seit dem 3. September 2020 befindet sich Google Consent Mode in der offenen Beta. Der Consent Mode, zu deutsch Einwilligungsmodus, ermöglicht es uns Google mitzuteilen, für welche Art des Trackings unsere Website Besucher ihre Einwilligung gegeben haben – und für welche nicht. Je nach Einwilligungseinstellung der Nutzer arbeiten anschließend unsere verknüpften Google-Dienste — etwa Google Analytics oder Google Ads Cookies — unterschiedlich. Damit soll es nun möglich sein auch Nutzer, die Cookies verweigern auf legale Weise „tracken“ und mittels Machine Learning Lücken in den gemessenen Conversions nachmodellieren zu können.
An dieser Stelle sollte bereits erwähnt werden: Der Google Consent Mode ist kein Consent Management Tool, d.h. ihr werdet um Tools wie Borlabs Cookie nicht umhin kommen. Der Consent Mode liefert uns hier aber eine API, mit der diese Third-Party-Tools die von Nutzern übermittelten Einwilligungseinstellungen an Google übermitteln können.
Mit der Einführung des Consent Mode sind direkt zu Beginn zwei neue Tag-Einstellung (Consent Types) eingeführt worden, mit denen sich unsere Google Analytics und Google Ads Cookies besser kontrollieren lassen:
- analytics_storage: zur Kontrolle und Steuerung von Statistik Cookies, die etwa für Google Analytics zum Einsatz kommen.
- ad_storage: zur Kontrolle und Steuerung von Marketing-Cookies, etwa für Google Ads oder Google Floodlight.
Inzwischen sind drei weitere Consent Types hinzugekommen (functionality_storage, personalization_storage, security_storage), die extra für Nicht-Google Tags verwendet werden können. Auch auf diese gehen wir noch genauer ein.
Wie funktioniert der Google Consent Mode?
Die Funktionsweise des Consent Mode lässt sich ungefähr wie folgt skizzieren:
1. Ein Nutzer besucht unsere Website erstmalig und der Cookie-Banner ploppt auf.
2. Der Nutzer hat hier nun die Option zuzustimmen, welche Cookies er akzeptiert oder ablehnt. Das kann pauschal passieren (alle Cookies ablehnen, oder alle akzeptieren), aber auch vom Nutzer gefinetuned werden.
3. Das hinter dem Cookie-Banner stehende Tool speichert die Einstellungen des Nutzer und übergibt diese über die Consent Mode API an die verknüpften Google Dienste.
4. Auf Basis dieser Informationen hat Google jetzt die Möglichkeit, seine Dienste unter Berücksichtigung der Nutzereinwilligung auszusteuern. Kurz zusammengefasst gibt es hier für die beiden bereits erwähnten Tag-Einstellungen analytics_storage und ad_storage zwei Optionen.
4a. Der Nutzer akzeptiert alle Cookies, d.h. die Tag-Einstellung erhält den Wert „granted“. In diesem Fall funktioniert das Tracking so, wie wir es bereits kennen.
4b. Der Nutzer lehnt einen oder alle Cookies ab, d.h. die Tag-Einstellung erhält den Wert „denied“. Hier schaltet Google seine Trackingfunktionalität so um, dass die die Cookie-Einstellungen des Nutzers weiterhin akzeptiert werden, aber trotzdem und ganz ohne Cookies weiterhin Conversions und weitere statistisch interessante Daten dennoch gemessen, bzw. mittels Machine Learning modelliert werden können. Das ist einer von Googles Schritten in die sagenumwobene Welt des Cookieless Trackings. Zu den in diesem Fall an Google gesendeten Informationen gehören einmal funktionsbezogene Informationen (etwa Zeitstempel oder Referrer-URL) und nicht personenbezogene / zusammengefasste Daten.
ad_storage
Wie bereits erwähnt kümmert sich die Einstellung ad_storage um Googles Marketing-Cookies, wie sie etwa beim Google Ads-Conversion-Tracking, Google Ads Remarketing oder Floodlight zum Einsatz kommen.
Szenario 1: Der Nutzer gibt seine Einwilligung (ad_storage = granted)
Damit ist personalisierte Werbung, d.h. Werbung auf Basis von „persönlichen Daten“ (wobei diese nicht personenidentifizierbar sind), etwa Remarketing oder Zielgruppen-targetierten Anzeigen, weiterhin möglich. Ebenso können Conversions einzelnen Nutzern zugewiesen werden können. Werden keine Informationen an die Consent Mode API weitergesendet, so ist diese Einstellung Standard.
Szenario 2: Der Nutzer verweigert seine Einwilligung (ad_storage = denied)
Conversions lassen sich hier nicht länger einzelnen Nutzern zuordnen, werden aber dennoch getrackt, aggregiert und lassen sich so beispielsweise weiterhin euren Google Ads Kampagnen zuordnen.
Hinter dem Vorhang geschieht hier folgendes:
- Es werden weder neue Werbe-Cookies gesetzt, noch dürfen evtl. bereits bestehende Werbecookies (noch aus der Zeit vor dem Consent Mode) ausgelesen werden.
- Es werden weiterhin Third-Party-Cookies zur Erkennung von Spammern und Klickbetrügern gesetzt.
- Google wertet weiterhin anonymisiert IP-Adressen aus, um aggregiert die Standorte von Nutzer zu erfassen. Geotargeting ist damit weiterhin möglich. Die erfassten Daten werden jedoch dauerhaft gespeichert, sondern direkt wieder gelöscht.
- Die URL der vom Nutzer aktuell besuchten Seite werden erfasst.
- Ebenso werden Infos zum Klick auf Anzeigen ausgelesen, die sich in URL-Parametern befinden.
- Demografische und Interessensdaten, werden nicht an Google Analytics weitergegeben – selbst wenn analytics_storage eingewilligt wurde.
Szenario 3: Der Nutzer verweigert seine Einwilligung und hat zusätzlich ads_data_redaction aktiviert. (ad_storage = denied & ads_data_redaction = true)
Mit dieser Einstellung wird die Verwendung von Marketing-Cookies noch zusätzlich eingeschränkt.
- gclid-Parameter (von Google Ads) und dclid-Parameter (Doubleclick) werden hier nicht übergeben. Auch alle weiteren Informationen aus URL-Parametern, die sich auf Anzeigenklicks beziehen werden entfernt.
- Daten werden zusätzlich über eine andere Domain (googleadsyndication.com) versendet, um zusätzliche Anonymität zu gewährleisten.
analytics_storage
Mit der Einstellung analytics_storage wird der Einwilligungsstatus des Nutzers für Google Analytics kontrolliert. Hier gibt es zwei Szenarien.
Szenario 1: Der Nutzer gibt seine Einwilligung (analytics_storage = granted)
Der Nutzer wird ganz normal getrackt. Werden keine Informationen an die Consent Mode API weitergesendet, so ist diese Einstellung Standard.
Szenario 2: Der Nutzer verweigert seine Einwilligung (analytics_storage = denied)
Hier werden von Google Analytics keine Cookies gesetzt oder ausgelesen. Einige Messungen und Datenerhebungen im Kontext des cookieless Tracking sind hier aber dennoch möglich. Es ist wichtig zu verstehen: analytics_storage = denied bedeutet nicht das nun überhaupt Daten mehr an Google Analytics geschickt werden.
- Events und Seitenaufrufe werden beispielsweise weiterhin anonymisiert erfasst und aggregiert. Diese aggregierten Daten stehen zum aktuellen Zeitpunkt noch nicht in Google Analytics Reports zur Verfügung. Vermutlich werden diese Daten aktuell bloß als Basis für Google’s Machine Learning verwendet.
- Google Optimize ist von diesen Einstellungen nicht betroffen. Hier kommt weiterhin normales Tracking zum Einsatz.
Der Consent Mode und der Google Tag Manager
Wollte man in der Vergangenheit den Consent Mode in Verbindung mit dem Google Tag Manager nutzen, musste man hier in der Vergangenheit mehr oder weniger komplizierte Konstrukte mit einer Vielzahl an Triggern basteln. Seit Mai 2021 ist das allerdings Geschichte. Seit dem Mai-Update verfügt der Google Tag Manager nun über die Möglichkeit das Verhalten von Tags entsprechend der Nutzereinwilligung ganz bequem zu steuern.
Die neuen Funktionen im Überblick
Seit Mai findet ihr eure Tags nun um die folgenden Einstellungsmöglichkeiten („Einstellungen zur Nutzereinwilligung) ergänzt;
Zu dem Tag Manager Update gehören zusätzlich die folgenden Funktion:
- Drei neue Einwilligungseinstellungen: Zu den oben bereits vorgestellten Einstellungen ad_storage und analytics_storage gesellen sich nun functionality_storage, personalization_storage und security_storage.
- Eine Einwilligungsübersicht.
- Zwei neue Trigger: „Initialisierung der Einwilligung“ und „Initialisierung„
- sowie neue APIs, die man für eigene Vorlagen nutzen kann.
Neue Einwilligungsoptionen
Die Einwilligungseinstellungen ad_storage und analytics_storage wurden von Google bereits direkt zum Lauch der offenen Beta des Consent Mode eingeführt. Mit diesen Einstellungen lassen sich Google-eigene Tags steuern. Mit den neu hinzugekommenen Einstellungen lassen sich jetzt auch Nicht-Google-eigene Tags kontrollieren.
- functionality_storage: Ermöglicht Zugriff auf Cookies, welche die Funktionalität der Website steuern (etwa Spracheinstellungen).
- personalization_storage: Ermöglicht Zugriff auf Cookies, die der Personalisierung der Website dienen.
- security_storage: Ermöglicht Zugriff auf Security-Cookies, etwa solche die der Authentifizierung des Nutzers dienen oder anderweitig Nutzer schützen sollen.
Die Einstellungen zur Nutzereinwilligung
Die Einstellungen zur Nutzereinwilligung lassen sich in zwei Arten unterteilen: Integrierte Einwilligungsprüfungen & Checks auf zusätzliche Einwilligungen.
Integrierten Einwilligungsprüfung
Die integrierten Einwilligungsprüfung betrifft derzeit nur die Google-spezifischen Einwilligungseinstellungen, nämlich ad_storage & analytics_storage. Die integrierte Prüfung bedeutet letztlich, dass der Tag sein Messverhalten dynamisch entlang der Einwilligungseinstellungen des Nutzers anpasst. Was hier genau passiert haben wir bereits oben in den Abschnitten zu ad_storage und analytics_storage gesehen. Weitere und detailliertere Informationen finden sich aber auch in der Dokumentation von Google selbst: https://support.google.com/analytics/answer/9976101?hl=en
Checks auf zusätzliche Einwilligung
Die vermutlich mächtigste Neuerung sind die Checks auf zusätzliche Einwilligung. Wollte man die Nutzereinwilligungen vorher in seinem Tracking respektieren, musste jeder Tag zusätzlich zu seiner eigentlichen Bedingungen noch eine zusätzliche Bedingung erfüllen, nämlich die Akzeptanz des jeweiligen Cookies. Dazu mussten zusätzliche Trigger eingerichtet und ergänzt werden. Diese ganze Arbeit nimmt diese neue Einstellung nun ab und wir können die Einwilligung der Nutzer direkt im Tag überprüfen – ohne zusätzliche Trigger.
- Standardmäßig ist diese Option auf „nicht festgelegt“ gesetzt. Diese Einstellung sollte genutzt werden um kenntlich zu machen, dass hier noch nicht entschieden wurde, ob dieser Tag zusätzliche Einwilligungen vom Nutzer benötigt oder nicht. Tags, wo der Einwilligungscheck „nicht festgelegt“ ist, lassen sich in der Einwilligungsübersicht (siehe unten) so ganz einfach auffinden.
- Mit Auswahl der Option „Keine zusätzliche Einwilligung erforderlich“ lässt sich explizit festlegen, dass das Tag keine Einwilligung von Seiten des Nutzers braucht um ausgelöst zu werden.
- Mit Auswahl der Option „zusätzliche Einwilligung zur Auslösung des Tags erforderlich“ lässt sich einstellen, dass der Tag nur dann ausgelöst wird, wenn auch alle hier eingegebenen Einwilligungen erteilt wurden. Hier haben wir die Option nun bis zu fünf Einwilligungseinstellungen einzugeben. Willigt der Nutzer in einen oder mehrere dieser Optionen nicht ein, wird der Tag nicht gefeuert.
Die Einwilligungsübersicht
Um auf einen Blick erkennen zu können welche Tags bereits entsprechend des Consent Mode konfiguriert wurden und welche nicht, hat Google uns die Einwilligungsübersicht beschert. Da es sich bei der Einwilligungsübersicht noch um eine Beta-Funktion handelt, müsst ihr diese in euren Google Tag Manager Containereinstellung erst einmal aktivieren.
Anschließend erscheint in der Übersicht eurer Tags ein kleines Icon mit dem ihr zur Consent Übersicht gelangt.
In der sich nun öffnenden Übersicht sehr ihr nun einmal alle eure Tags unterteilt in zwei Bereiche:
- Einwilligung nicht konfiguriert: In diesem oberen Bereichen werden alle Tags angezeigt, bei denen ihr die „Checks auf zusätzliche Einwilligung“ weder aktiviert noch deaktiviert habt.
- Einwilligung konfiguriert: hier seht ihr alle Tags, bei denen die „Checks auf zusätzliche Einwilligung“ bereits eingerichtet wurden.
Die Einwilligungseinstellungen könnt ihr hier entweder für jeden Tag einzeln, oder direkt für mehrere Tags gleichzeitig durchführen, wenn ihr sie mittels der Checkboxen am linken Rand auswählt.
Zusätzlich könnt ihr hier auch sehen, bei welchen Tags integrierte Einwilligungsprüfungen durchgeführt werden.
Die neuen Initialisierungstrigger
Schließlich gibt uns der Tag Manager noch zwei neue Trigger mit sehr ähnlich lautenden Namen an die Hand: den Trigger „Initialisierung der Einwilligung“ und den Trigger „Initialisierung.“
Der Trigger „Initialisierung der Einwilligung“ wird als allererstes und vor allen anderen Triggern ausgelöst. Ausgelöst wird der Trigger durch das dataLayer-Event gtm.init_consent. Verwendet werden kann der Trigger etwa um den Standardeinwilligungsstatus für diese Sitzung festzulegen.
Direkt nach dem „Initialisierung der Einwilligung“-Trigger – aber vor allen weiteren Triggern – feuert der Trigger „Initialisierung“. Das zugehörige Event im dataLayer trägt den Namen gtm.init.
Beide Trigger stellen sicher, dass weitere Trigger und Tags erst dann ausgelöst werden, wenn die Einwilligungseinstellungen der Nutzer erfasst wurden.
Weitere Informationen
Weitere Infos findet ihr wie immer bei Google selbst (etwa im Blogbeitrag “Respect user consent choices with Google Tag Manager”) oder natürlich bei Simo Ahava.