Skip to content
Startseite Guides Analytics
Analytics Fortgeschritten

GA4 Consent Mode v2: Komplette Einrichtung und DSGVO-Leitfaden

Google Consent Mode v2 richtig einrichten. Basic vs. Advanced, die neuen Signale ad_user_data und ad_personalization, CMP-Integration und DSGVO-bewusste Entscheidungen.

FW
FW Delta
14 min 2-4 Stunden
Das Problem

Google-Ads-Remarketing, Zielgruppen und personalisierte Messung funktionieren im EWR nicht mehr, wenn die Consent-Mode-v2-Signale nicht korrekt verdrahtet sind.

Die Lösung

Consent Mode v2 über eine zertifizierte CMP mit der richtigen Basic- oder Advanced-Konfiguration umsetzen, validiert gegen die vier Einwilligungssignale.

GA4Google Tag ManagerCookiebotUsercentrics

Google Consent Mode v2 ist ein Signalisierungs-Framework, das den Google-Tags (GA4, Google Ads, Floodlight) mitteilt, ob eine Nutzerin oder ein Nutzer in Analyse- und Werbe-Cookies eingewilligt hat, und das Verhalten der Tags entsprechend anpasst. Statt einfach zu feuern oder nicht zu feuern, erhalten Ihre Tags einen aktuellen Einwilligungsstatus und reagieren darauf. Wird die Einwilligung verweigert, können die Tags entweder still bleiben oder datenschutzfreundliche, cookielose Signale senden, je nachdem, welchen Modus Sie wählen.

Consent Mode v2 wurde am 6. März 2024 faktisch verpflichtend für alle Werbetreibenden im Europäischen Wirtschaftsraum (EWR), die Personalisierung, Remarketing und Zielgruppenfunktionen von Google Ads weiter nutzen wollen. Auslöser war der EU Digital Markets Act (DMA), der Google verpflichtet, vor der Nutzung personenbezogener Daten für Werbung eine dokumentierte Einwilligung einzuholen. Ohne korrekt verdrahtete v2-Signale füllt Google für EWR-Traffic keine Remarketing-Listen und kein Zielgruppen-Targeting mehr.

Dieser Leitfaden erklärt die beiden Modi, die vier Einwilligungssignale, wie Sie eine Consent-Management-Plattform (CMP) wie Cookiebot oder Usercentrics integrieren, was die Conversion-Modellierung tatsächlich zurückholt und welche DSGVO-Abwägungen Sie treffen müssen. Dies ist technische und sachliche Orientierung, keine Rechtsberatung. Bei Entscheidungen, die deutsches und EU-Recht berühren, behandeln Sie die rechtlichen Abschnitte als fachlichen Kontext und klären Sie die Einzelheiten mit Ihrem Datenschutzbeistand.

Wenn Sie das Ganze sauber verdrahtet und durchgängig validiert haben möchten, deckt unser Consent-Mode-v2-Implementierungsservice den vollständigen Einrichtungs- und Testzyklus ab.

Die mit Abstand wichtigste Entscheidung ist, ob Sie Consent Mode im Basic- oder im Advanced-Modus betreiben. Sie unterscheiden sich darin, was passiert, bevor die Nutzerin oder der Nutzer eine Einwilligungsentscheidung getroffen hat und nach einer Ablehnung.

Basic-Modus

Im Basic-Modus werden die Google-Tags am Laden gehindert, bis die Einwilligung erteilt wurde. Keine Pings, keine Requests, nichts verlässt den Browser vor der Einwilligung. Lehnt die Person ab, feuert kein Google-Tag.

  • Maximale Datensparsamkeit: Ohne Einwilligung wird nichts gesendet.
  • Aus Datenschutzsicht am einfachsten zu verteidigen, weil vor einem aktiven Opt-in keine Daten das Gerät verlassen.
  • Der Nachteil: Sie erfassen von ablehnenden Personen keinerlei Daten und verlieren den Vorteil der Conversion-Modellierung.

Advanced-Modus

Im Advanced-Modus laden die Google-Tags auf jeder Seite, ihr Verhalten wird jedoch vom Einwilligungsstatus gesteuert. Vor der Einwilligung und bei Ablehnung senden die Tags cookielose Pings: kleine, aggregierte, nicht identifizierende Signale ohne Cookies und ohne Client-Kennungen. Sobald die Einwilligung erteilt ist, läuft die vollständige Messung wieder an.

  • Ermöglicht die Conversion-Modellierung, weil Google eine Basis aus cookielosen Pings hat, von der aus modelliert werden kann.
  • Holt einen relevanten Anteil der Conversions zurück, die Sie sonst an das Cookie-Banner verlieren würden.
  • Der Nachteil: Cookielose Pings werden vor der Einwilligung gesendet, was in Deutschland unter der DSGVO umstritten ist (siehe unten).

Die Abwägung in einem Satz: Der Basic-Modus bevorzugt strikte Datensparsamkeit, der Advanced-Modus bevorzugt Datenvollständigkeit durch Modellierung. Eine allgemeingültig richtige Antwort gibt es nicht. Viele DACH-Praktikerinnen und -Praktiker empfehlen den Basic-Modus, wenn maximale rechtliche Belastbarkeit Priorität hat, und reservieren den Advanced-Modus für Fälle, in denen der Modellierungs-Uplift dokumentiert und die rechtliche Lage geprüft ist.

Die vier Einwilligungssignale (inklusive ad_user_data und ad_personalization)

Consent Mode v2 erweitert die ursprünglichen zwei Signale um zwei neue, werbespezifische. Alle vier werden entweder als granted oder als denied übergeben.

SignalSteuert
analytics_storageAnalyse-Cookies und -Speicher (GA4-Messung)
ad_storageWerbe-Cookies und -Speicher
ad_user_dataOb Nutzerdaten für Werbung an Google gesendet werden dürfen
ad_personalizationOb Daten für personalisierte Werbung / Remarketing genutzt werden dürfen

Die beiden v2-Ergänzungen, ad_user_data und ad_personalization, sind der Grund, warum das Update verpflichtend war. Sind sie nicht auf granted gesetzt, baut Google für diese Person keine Remarketing-Zielgruppen auf und führt keine personalisierte Messung durch, selbst wenn ad_storage erteilt ist.

Sie setzen die Voreinstellungen, bevor irgendein Tag feuert, und aktualisieren sie dann, sobald die Person mit Ihrem Banner interagiert. Ein korrekter Standardzustand sieht im Google Tag Manager über einen Consent-Initialization-Trigger oder direkt per gtag so aus:

// Standardzustand: alles verweigert, bis die Person entscheidet.
// wait_for_update gibt der CMP Zeit, eine gespeicherte Wahl zu lesen.
gtag('consent', 'default', {
  ad_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
  analytics_storage: 'denied',
  wait_for_update: 500
});

Akzeptiert die Person, feuert die CMP ein Update:

// Wird von Ihrer CMP aufgerufen, nachdem die Einwilligung erteilt wurde.
gtag('consent', 'update', {
  ad_storage: 'granted',
  ad_user_data: 'granted',
  ad_personalization: 'granted',
  analytics_storage: 'granted'
});

Der Standardzustand muss so früh wie möglich im Seitenlebenszyklus gesetzt werden, bevor irgendein Google-Tag überhaupt laufen kann. Ihn zu spät zu setzen ist eine der häufigsten Fehlkonfigurationen und bricht das gesamte Modell unbemerkt.

CMP-Integration: Cookiebot, Usercentrics und Standardzustände im GTM

Google verlangt eine von Google zertifizierte CMP, damit Consent Mode v2 mit dem Ads-Ökosystem korrekt funktioniert. Cookiebot und Usercentrics sind die beiden am weitesten verbreiteten zertifizierten Plattformen im DACH-Markt. Beide können die Einwilligungssignale automatisch steuern, aber die Integrationsdetails sind entscheidend.

Der Standard-GTM-Integrationsablauf

  1. Voreinstellungen zuerst setzen. Verwenden Sie im GTM einen Consent-Initialization-Trigger für alle Seiten, der alle vier Signale auf denied setzt. Das muss vor allem anderen laufen.
  2. CMP laden. Das CMP-Banner lädt und liest entweder eine gespeicherte Wahl oder wartet auf die Person.
  3. Bei Interaktion aktualisieren. Akzeptiert oder lehnt die Person Kategorien ab, gibt die CMP das consent-Update mit den passenden granted/denied-Werten aus.
  4. Tags respektieren den Status. Ihre GA4- und Google-Ads-Tags lesen den aktuellen Einwilligungsstatus und feuern, senden cookielose Pings oder bleiben entsprechend still.

Cookiebot

Cookiebot bringt eine integrierte Consent-Mode-Integration mit. In vorlagenbasierten GTM-Setups kann das Cookiebot-CMP-Template seine Einwilligungskategorien (Statistik, Marketing) direkt auf die vier Google-Signale abbilden. Prüfen Sie, dass die Kategorie marketing sowohl auf ad_storage als auch auf die beiden neuen Werbesignale abgebildet wird, nicht nur auf ad_storage. Ein häufiger Fehler ist, ad_user_data und ad_personalization unzugeordnet zu lassen, was Remarketing unbemerkt deaktiviert.

Usercentrics

Usercentrics bietet eine eigene Consent-Mode-v2-Einstellung und ein GTM-Template. Aktivieren Sie die v2-Signale explizit im Usercentrics-Admin und bestätigen Sie dann, dass die Data-Layer-Events alle vier Signale tragen. Usercentrics kann je nach Konfiguration im Basic- oder Advanced-Modus laufen, prüfen Sie also, dass der gewählte Modus zu Ihrer dokumentierten Entscheidung passt.

TCF 2.2

Wenn Sie im programmatischen Advertising aktiv sind, gibt Ihre CMP unter Umständen zusätzlich einen IAB-TCF-2.2-Transparenz- und Einwilligungsstring aus. Consent Mode und TCF sind getrennt, aber verwandt: Der TC-String trägt den rechtlichen Einwilligungsnachweis für Vendoren, während Consent Mode das operative Signal an die Google-Tags trägt. Eine zertifizierte CMP hält beide konsistent, aber Sie sollten nicht annehmen, dass das eine das korrekte Konfigurieren des anderen impliziert.

Conversion-Modellierung: was Sie realistisch zurückholen

Die Conversion-Modellierung ist der praktische Gewinn des Advanced-Modus. Lehnt eine Person die Einwilligung ab, hat Google kein Cookie, um ihre Conversion zuzuordnen, also geht der Pfad verloren. Die Modellierung nutzt die cookielosen Pings plus aggregierte Verhaltensmuster einwilligender Personen, um diese fehlenden Conversions statistisch zu rekonstruieren.

Laut Google kann die Conversion-Modellierung im Advanced-Modus über 70 % der durch Cookie-Ablehnung verlorenen Conversion-Pfade zurückholen. Behandeln Sie das als herstellereigene Zahl: Es ist Googles eigener Wert, der reale Uplift variiert je nach Traffic-Volumen, Conversion-Rate und Einwilligungsrate, und die Modellierung braucht eine Mindestdatenschwelle, bevor sie greift. Accounts mit wenig Traffic sehen womöglich kaum oder gar keine modellierten Daten.

Das Ausmaß des Problems macht die Modellierung relevant. In Deutschland lehnen realistisch rund 40 % der Nutzerinnen und Nutzer Cookies ab, was bedeutet, dass Ihnen ohne Recovery-Mechanismus grob 30 bis 50 % Ihrer Conversion-Daten fehlen können. Die Modellierung gibt Ihnen keine rohen Daten auf Nutzerebene zurück, sondern eine statistisch geschätzte Zahl, die für Gebote und Reporting nützlich ist, aber nicht dasselbe ist wie beobachtete Conversions.

DSGVO, TDDDG und Schrems II: der rechtliche Kontext

Dieser Abschnitt ist fachlicher Kontext, keine Rechtsberatung. Die Zulässigkeit des Advanced-Modus in Deutschland ist tatsächlich umstritten, und Sie sollten Ihre Position mit qualifiziertem Beistand klären.

Die Einwilligung in Cookies und Gerätezugriff ist in Deutschland im TDDDG geregelt (das umbenannte TTDSG), dem maßgeblichen deutschen Gesetz seit dem 13. Mai 2024. Es verlangt eine aktive Einwilligung, bevor Informationen auf dem Gerät einer Person gespeichert oder ausgelesen werden. Verstöße können mit bis zu 300.000 EUR geahndet werden. Das ist die rechtliche Grundlage dafür, warum Sie alle Einwilligungsvoreinstellungen auf denied setzen und nur bei einem ausdrücklichen Opt-in aktualisieren müssen.

Warum der Advanced-Modus umstritten ist

Der Advanced-Modus sendet cookielose Pings vor der Einwilligung. Die umstrittene Frage ist, ob diese Pings eine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage darstellen. Sie enthalten keine Cookies und keine Client-Kennungen, übertragen aber dennoch gewisse Informationen (Seitenkontext, Zeitstempel, ein aggregiertes Signal) an Google, bevor die Person eingewilligt hat. Mehrere DACH-Datenschutzfachleute argumentieren, dass der Basic-Modus für maximale rechtliche Belastbarkeit die sicherere Wahl ist, weil vor der Einwilligung nichts das Gerät verlässt. Andere halten die Pings für ausreichend anonymisiert. Präsentieren Sie das Ihren Stakeholdern als dokumentierte Abwägung, nicht als abschließendes Urteil.

Schrems II und das Data Privacy Framework

An Google gesendete Daten umfassen eine Übermittlung an ein US-Unternehmen. Das EU-US Data Privacy Framework (Angemessenheitsbeschluss, Juli 2023) macht diese Übermittlungen derzeit wieder zulässig, nachdem Schrems II den Privacy Shield für ungültig erklärt hatte. Das Framework gilt jedoch weithin als instabil: Die Datenschutzorganisation noyb hat signalisiert, es anzufechten, und ein mögliches Schrems-III-Urteil könnte das Bild verändern. Bauen Sie mit diesem Restrisiko im Hinterkopf, statt von Dauerhaftigkeit auszugehen.

Consent Mode ist eine clientseitige Signalisierungsschicht. Server-Side-Tracking (serverseitiges GTM) sitzt dahinter und gibt Ihnen einen zweiten Durchsetzungspunkt. Wenn Sie beides kombinieren, wandert der Einwilligungsstatus mit dem Event in Ihren Server-Container, wo Sie je nach Einwilligungsstatus entscheiden können, ob Daten an Google, Meta oder ein anderes Ziel weitergeleitet werden.

Das ist wichtig, weil Sie damit Einwilligungsentscheidungen auf einer Infrastruktur durchsetzen, die Sie kontrollieren, statt nur dem Browser zu vertrauen. Es verbessert außerdem die Datenqualität und die Widerstandsfähigkeit gegen Adblocker und Safaris Tracking-Schutz. Unser DSGVO-konformer Conversion-Tracking-Service baut genau diese Kombination auf deutscher Infrastruktur.

Eine entscheidende Klarstellung: Server-Side-Tracking ist keine Umgehung der Einwilligung. Lehnt eine Person die Einwilligung ab, darf Ihr serverseitiger Container ihre Daten nicht an Google, Meta oder TikTok weiterleiten, auch nicht in anonymisierter Form, ohne gültige Rechtsgrundlage. Server-Side-Tracking verbessert Datenqualität und Kontrolle, ersetzt aber nicht das Einwilligungserfordernis. Wer es als Möglichkeit verkauft, “alle unabhängig vom Banner zu tracken”, stellt die Rechtslage falsch dar.

// Konzeptionelle serverseitige Prüfung: nur weiterleiten, wenn Einwilligung vorliegt.
// Der Einwilligungsstatus wird aus dem eingehenden Event gelesen, nicht angenommen.
function shouldForward(event) {
  const consent = event.consent || {};
  return consent.ad_user_data === 'granted'
      && consent.ad_personalization === 'granted';
}

Das sind die wiederkehrenden Fehler, die wir bei der Prüfung bestehender Setups finden.

  • Voreinstellungen zu spät gesetzt. Der consent default-Aufruf muss vor jedem Google-Tag laufen. Lädt er nach GA4, greift das Modell nie.
  • Die beiden v2-Signale fehlen. Vom ursprünglichen Consent Mode migrierte Setups aktualisieren oft ad_storage und analytics_storage, verdrahten aber nie ad_user_data und ad_personalization, womit Remarketing unbemerkt stirbt.
  • CMP-Kategorie passt nicht. Die Marketing-Kategorie der CMP bildet nur einen Teil der Werbesignale ab, sodass Einwilligung teilweise verloren geht.
  • Advanced-Modus ohne rechtliche Prüfung gewählt. Teams aktivieren den Advanced-Modus für den Modellierungs-Uplift, ohne die DSGVO-Abwägung zu dokumentieren.
  • Kein wait_for_update. Ohne es können Tags feuern, bevor die CMP die gespeicherte Wahl einer wiederkehrenden Person gelesen hat, was inkonsistente Zustände erzeugt.
  • Annehmen, serverseitig sei gleich konform. Daten ohne Einwilligung serverseitig weiterzuleiten, weil sie “anonymisiert” seien, ist ein Fehlverständnis des Rechts.

Eine strukturierte Prüfung deckt das schnell auf. Wenn Sie nicht sicher sind, welcher dieser Punkte auf Sie zutrifft, ist ein kostenloses Erstgespräch der richtige Ort, um das gemeinsam zu klären.

  1. GTM-Vorschau / Tag Assistant nutzen. Bestätigen Sie, dass der Standardzustand alle vier Signale auf denied setzt, bevor ein Tag feuert.
  2. Das Consent-Update bei Annahme prüfen. Klicken Sie in Ihrem Banner auf Akzeptieren und prüfen Sie, dass alle vier Signale auf granted umschalten.
  3. Netzwerk-Requests inspizieren. Im Advanced-Modus sollten Sie vor der Einwilligung cookielose Pings sehen (Requests mit gcs-Parametern, die den verweigerten Status widerspiegeln). Nach der Einwilligung vollständige Requests.
  4. Den gcs-Parameter lesen. Der Google-Consent-Signal-String (zum Beispiel G100, G111) kodiert den Einwilligungsstatus auf jedem Request, eine schnelle Möglichkeit, zu bestätigen, dass das Signal mitwandert.
  5. In der GA4 DebugView validieren. Bestätigen Sie, dass Events mit dem erwarteten Einwilligungsstatus ankommen und dass Traffic ohne Einwilligung sich so verhält, wie es Ihr gewählter Modus vorgibt.

Häufig gestellte Fragen

Der Basic-Modus hindert die Google-Tags am Laden, bis die Person einwilligt, sodass bei Ablehnung nichts gesendet wird. Der Advanced-Modus lädt die Tags auf jeder Seite und sendet vor und nach einer Ablehnung cookielose Pings, was die Conversion-Modellierung ermöglicht. Basic bevorzugt strikte Datensparsamkeit, Advanced bevorzugt Datenvollständigkeit.

Für Werbetreibende im EWR, die Personalisierung, Remarketing oder Zielgruppenfunktionen von Google Ads nutzen, ja, faktisch seit dem 6. März 2024. Ohne korrekt konfigurierte v2-Signale füllt Google diese Funktionen für EWR-Traffic nicht mehr. Der DMA ist der zugrunde liegende Auslöser.

Ist der Advanced-Modus in Deutschland DSGVO-konform?

Das ist umstritten. Der Advanced-Modus sendet cookielose Pings vor der Einwilligung, und DACH-Fachleute sind sich uneins, ob das eine Verarbeitung ohne Rechtsgrundlage darstellt. Viele empfehlen den Basic-Modus für maximale rechtliche Belastbarkeit. Das ist fachlicher Kontext, keine Rechtsberatung, klären Sie es also mit Ihrem Datenschutzbeistand.

Eine von Google zertifizierte CMP. Cookiebot und Usercentrics sind im DACH-Raum am verbreitetsten. Beide können alle vier Einwilligungssignale steuern, aber die Zuordnung von Kategorie zu Signal muss geprüft werden, insbesondere dass die Marketing-Kategorie auf ad_user_data und ad_personalization abgebildet wird.

Was sind ad_user_data und ad_personalization?

Das sind die beiden in v2 neuen Signale. ad_user_data steuert, ob Nutzerdaten für Werbung an Google gesendet werden dürfen. ad_personalization steuert, ob Daten für personalisierte Werbung und Remarketing genutzt werden dürfen. Beide müssen granted sein, damit Remarketing funktioniert.

Wie viele Conversions holt die Modellierung zurück?

Google gibt an, dass die Conversion-Modellierung im Advanced-Modus über 70 % der durch Cookie-Ablehnung verlorenen Pfade zurückholen kann. Das ist eine Herstellerzahl, der tatsächliche Uplift hängt von Traffic-Volumen, Einwilligungsrate und einer Mindestdatenschwelle ab. Accounts mit wenig Traffic sehen womöglich kaum modellierte Daten.

Nicht zwingend, aber die Kombination erlaubt Ihnen, Einwilligung auf einer Infrastruktur durchzusetzen, die Sie kontrollieren, und verbessert die Datenqualität gegen Adblocker und Safari. Server-Side-Tracking ist keine Umgehung der Einwilligung: Daten ohne Einwilligung dürfen nicht ohne Rechtsgrundlage weitergeleitet werden.

  • Basic vs. Advanced entscheiden und die DSGVO-Abwägung dokumentieren
  • Alle vier Einwilligungsvoreinstellungen vor jedem Google-Tag auf denied setzen
  • wait_for_update für die Stabilität bei wiederkehrenden Besucherinnen und Besuchern ergänzen
  • Eine von Google zertifizierte CMP verdrahten (Cookiebot oder Usercentrics)
  • Prüfen, dass die Marketing-Kategorie auf ad_user_data und ad_personalization abgebildet wird
  • Bestätigen, dass das Consent-Update bei Annahme alle vier Signale feuert
  • Cookielose Pings (Advanced) über den gcs-Parameter validieren
  • Bei serverseitigem Einsatz die Einwilligung am Server durchsetzen und Daten ohne Einwilligung nie weiterleiten
  • Den gesamten Ablauf in der GTM-Vorschau und der GA4 DebugView testen

Consent Mode v2 ist kein einmaliger Schalter. Es ist eine Signalisierungsschicht, die korrekt verdrahtet, rechtlich durchdacht und fortlaufend validiert werden muss. Wenn Sie Gewissheit wollen, dass Ihre die Daten zurückholt, die sie sollte, und dabei DSGVO-bewusst bleibt, decken unsere Consent-Mode-v2-Implementierung und unsere Arbeit zur Conversion-Tracking-Compliance genau das ab.

Alle Guides Kostenloses Erstgespräch buchen