Consent-Banner, Google V2 Consent Mode und der Einsatz von Google Tag Manager

1. Consent-Banner als Schnittstelle zwischen Nutzer und Tracking-Ökosystem

Ein Consent-Banner (auch Cookie Popup genannt) ist die erste Interaktionsschicht, wenn ein Nutzer eine Website betritt. Es hat die Aufgabe,

• Informationen über eingesetzte Cookies und Tracking-Technologien bereitzustellen,
• eine aktive Einwilligung (Opt-in) oder Ablehnung einzuholen,
• und diese Entscheidung technisch an nachgelagerte Systeme (Tag Manager, Pixel, Ads) weiterzugeben.

Die Einwilligung (oder Ablehnung) ist damit die rechtliche Voraussetzung dafür, ob und wie Tracking-Skripte ausgeführt werden dürfen.

2. Google Consent Mode V2 – die Brücke zwischen Recht & Technik

Google hat im Januar 2024 den Consent Mode V2 eingeführt, um Webseitenbetreibern eine datenschutzkonforme Schnittstelle zwischen Consent-Bannern und Google-Diensten zu bieten.

Kernidee:

• Der Consent Mode V2 ermöglicht es, Google-Skripten dynamisch mitzuteilen, ob ein Nutzer Tracking erlaubt oder nicht.
• Er unterscheidet mehrere Consent-Signale (z. B. ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Diese Signale werden durch das Consent-Banner gesetzt und an den Google Tag Manager übergeben.

Beispiele:

• Opt-in → Google Ads und Analytics dürfen Cookies setzen, Conversion-Tracking und Remarketing laufen normal.
• Opt-out → Skripte laufen im eingeschränkten Modus: keine Cookies, aber modellierte Daten (Conversion Modeling, Aggregated Reporting).

Das bedeutet: Auch wenn Nutzer Tracking ablehnen, erhält Google aggregierte, anonymisierte Daten, die im AdTech-Ökosystem weiterverwertet werden können – ein Balanceakt zwischen Datenschutz und Werbewirksamkeit.

3. Rolle des Google Tag Managers (GTM)

Der Google Tag Manager ist das zentrale Werkzeug, um Consent-Banner mit Tracking-Skripten zu verbinden.

Funktionsweise:

• Im GTM werden Tags (z. B. Google Ads Conversion Tag, Facebook Pixel, LinkedIn Insight Tag) eingerichtet.
• Jeder Tag wird mit einem Trigger (z. B. Seitenaufruf, Klick auf Button, Formular-Submission) verknüpft.
• Über Consent-Einstellungen im GTM wird gesteuert, ob ein Tag ausgelöst werden darf – abhängig von den Signalen des Consent-Banners.

Beispiel:

• Consent Banner → Nutzer lehnt Marketing-Cookies ab
• GTM → blockiert Trigger für Google Ads Remarketing Tag und Facebook Pixel
• Nur funktionale oder notwendige Tags (z. B. Fraud Prevention, Session Management) laufen weiter

4. Google Ad Tags, Pixels und andere Scripts im Consent-Kontext

Google Ad Tags

• Dienen zur Messung von Klicks, Conversions und zur Schaltung personalisierter Werbung.
• Ohne gültiges Consent-Signal dürfen sie keine Cookies setzen → Consent Mode sorgt für „Cookie-less Measurement“.

Facebook Pixel, LinkedIn Insight Tag & Co.

• Arbeiten ähnlich wie Google Ads Tags, sammeln aber auch Cross-Site-Daten.
• Besonders sensibel, da sie oft als Drittanbieter-Cookies gelten → in der Schweiz nur mit ausdrücklichem Opt-in zulässig.

Google Analytics (GA4)

• Über GTM eingebunden, reagiert auf analytics_storage.
• Bei Opt-out werden Daten nur anonymisiert oder gar nicht verarbeitet.

5. Technische Integration: Consent Banner ↔ GTM ↔ Google V2

Der technische Ablauf sieht wie folgt aus:

1. Consent Banner (z. B. OneTrust, Cookiebot oder Custom Lösung) wird geladen.
2. Nutzer wählt „Akzeptieren“ oder „Ablehnen“ (teilweise granular pro Kategorie).
3. Das Banner schreibt die Consent-Signale (ad_storage, analytics_storage, etc.) in die dataLayer des GTM.
4. Der Google Tag Manager liest diese Signale aus.
5. Tags (Ads, Analytics, Pixel) werden nur ausgelöst, wenn die Einwilligung vorliegt.
6. Wenn keine Einwilligung → Google Consent Mode aktiviert den eingeschränkten Betrieb (keine Cookies, nur modellierte Daten).

6. Warum das auch in der Schweiz relevant ist

Obwohl das Schweizer Datenschutzgesetz (DSG) weniger strikt als die DSGVO ist, gelten folgende Punkte:

• Informierte Einwilligung (Art. 6 DSG): Consent-Banner müssen transparent informieren und eine echte Wahl bieten.
• Profiling mit hohem Risiko (Art. 6 Abs. 7 DSG): Remarketing und Cross-Site-Tracking sind nur mit ausdrücklicher Zustimmung erlaubt.
• Verantwortlichkeit: Webseitenbetreiber haften für die Einbindung von Drittanbietern wie Google Ads oder Facebook.
• Extraterritorialität: Viele Schweizer Unternehmen bedienen EU-Nutzer → DSGVO-Standards sind faktisch Pflicht.

Praktische Folge:
Ohne korrekt implementierten Consent Mode V2 und ein funktionierendes Consent Management riskieren Schweizer Unternehmen nicht nur Bussen (bis 250’000 CHF), sondern auch den Verlust von Datenbasis für ihr Online-Marketing.

7. Best Practices für Schweizer Unternehmen

1. Consent-Banner einführen, das Google Consent Mode V2 unterstützt.
2. GTM Consent-Einstellungen aktivieren und für alle Tags Kategorien definieren.
3. Ad- und Analytics-Tags nur feuern, wenn Opt-in vorliegt.
4. Fallback-Strategien einrichten: Modellierte Conversions statt vollständiger Daten.
5. Dokumentation & Protokollierung: Nachweis, wann und wie Einwilligungen erteilt wurden.
6. Regelmässige Audits: Prüfen, ob neue Tags (z. B. durch Marketing-Teams hinzugefügt) DSG-konform laufen.