Der Consent Mode – Hintergründe der Einführung
Der Google Consent Mode ist eine Funktion, die entwickelt wurde, um Googles gesetzliche Verpflichtung als ein sogenannter „Gatekeeper“ nachzukommen. Das Gesetz über digitale Märkte (Digital Markets Act) verpflichtet marktbeherrschende Akteure (Gatekeeper) unter anderem dazu, die Einwilligung der Nutzenden einzuholen, bevor eine Verarbeitung Ihrer personenbezogenen Daten für personalisierte Werbung erfolgt. Zuvor haben Nutzende die Einwilligung in erster Linie an die Website- oder Appbetreiber abgegeben und diese haben wiederum in ihrer eigenen Rolle als datenschutzrechtlich Verantwortliche die Einwilligungen eingeholt. Mit dem Consent Mode werden die Website- und Appbetreibende aber zusätzlich von Google vertraglich dazu verpflichtet die beschriebene Einwilligung einzuholen und das Einholen entsprechend nachzuweisen.
Die für den Einsatz eingangs erwähnter Google-Dienste erforderliche Einwilligung wird in den meisten Fällen mithilfe einer Consent-Lösung (Cookie-Banner) eingeholt. Gängige Consent-Lösungen bieten ihren Kunden Möglichkeiten zur Implementierung des Consent Mode an, sodass die Implementierung keinen großen Zeit- und Arbeitsaufwand mit sich bringen sollte (Googles Übersicht der Consent Lösungen: https://support.google.com/analytics/answer/9976101?hl=de).
Umfassende Informationen zur Einwilligungspflicht sowie den Anforderungen an eine DS-GVO-konforme Einwilligung finden Sie in unserer Reihe: „Die Einwilligung Cookie consent Banner“ Teil 1 bis 6.
Implementierungsmethoden des Google Consent Modes
Google bietet zwei unterschiedliche Implementierungsmodi an. Zum einen die einfache und zum anderen die erweiterte Implementierung.
(Quelle: https://support.google.com/analytics/answer/10000067?hl=de)
Erweiterte Implementierung
Bei der erweiterten Implementierungsmethode wird bereits vor Einwilligungsabfrage eine Verbindung zu Google aufgebaut. Dafür ist die Übermittlung der IP-Adresse erforderlich, welche erst bei Google anonymisiert wird. Einen gedachten Moment wird also bereits ein personenbezogenes Datum – die IP-Adresse – von Google verarbeitet.
Wird dann die Einwilligung verweigert, senden die bereits geladenen Google Tags „Pings“ an Google zurück. Cookies werden weiterhin nicht gesetzt. Wenn die Website-Besucher Aktionen wie das Laden einer Seite, das Klicken auf einen Link oder das Absenden eines Formulars ausführen, sendet der Google Analytics-Code bspw. einen Ping an die Google-Server. Dieser Ping enthält Informationen über das Ereignis, z. B. die URL der Seite, die Zeitstempel und andere relevante Daten. Diese Pings ermöglichen es Google Analytics, das Nutzerverhalten zu verfolgen und Berichte über Website-Traffic, Benutzerinteraktionen und andere Metriken zu modellieren.
Fazit zur erweiterten Implementierung:
Auch ohne Einwilligung werden im Falle der erweiterten Implementierungsmethode einwilligungspflichtige Vorgänge wie der Verbindungaufbau zu Google oder das cookielose Tracking ausgeführt.
Einfache Implementierung
Wird der Consent Mode mittels einfacher Implementierung eingesetzt, so wird eine Verbindung zu Google nur aufgebaut, wenn Webseitenbesuchende eine Einwilligung abgeben – vorausgesetzt der Dienst ist korrekt eingebunden. Wenn Nutzende die Einwilligung nicht erteilen, werden keine Daten an Google übertragen – auch nicht der Einwilligungsstatus.
Fazit zur einfachen Implementierung:
Beim Einsatz der einfachen Implementierungsmethode erfolgen einwilligungspflichtige Vorgänge erst nach Erhalt der Einwilligung. Diese Implementierungsmethode ist der erweiterten Methode grundsätzlich zu bevorzugen.
Handlungsempfehlung
Für beide Methoden gilt:
Der Consent Mode entbindet Webseiten- und Appbetreibende nicht von der Pflicht, eine Einwilligung in den Einsatz von Google Analyse- und Werbediensten einzuholen.
Ebenfalls in beiden Fällen sind die folgenden Schritte einzuhalten:
- Vertrag zur Auftragsverarbeitung abschließen.
- Entsprechende Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentieren.
- Einwilligung in die Datenverarbeitung mit den eingangs benannten Diensten einholen.
- Über die konkrete Datenverarbeitung in der Datenschutzerklärung informieren, inklusive Angaben zur Implementierungsmethode und entsprechende Auswirkungen.
Der Einsatz der erweiterten Implementierungsmethode geschieht mit einem datenschutzrechtlichen Risiko. Um zumindest dem Transparenzerfordernis der DS-GVO nachzukommen, sollte in der Datenschutzerklärung über die tatsächlichen Verarbeitungsvorgänge informiert werden und nicht nur der rechtlich korrekte Idealfall beschrieben werden.
Die Rechtsgrundlage der Verarbeitung personenbezogener Daten ist im Falle der erweiterten Implementierung, nicht wie rechtlich erforderlich die Einwilligung, Art. 6 Abs. 1 lit. a DS-GVO, sondern tatsächlich das berechtigte Interesse, art. 6 Abs. 1 lit f DS-GVO. Ob das berechtigte Interesse der Webseiten- und Appbetreibenden im Ernstfall einer Überprüfung als überwiegend angesehen wird ist jedoch sehr zweifelhaft. Insbesondere der Umstand, dass Google Nutzerdaten zu eigenen Zwecken verarbeitet, dürfte gegen ein überwiegendes Interesse sprechen.