Zurück zum Blog
5 Min. LesezeitLaw & Regulationprivacygdprcompliancetracking

Consent Mode v2 und das Aus für Google Signals im Juni 2026

Am 15. Juni 2026 wird ad_storage zur einzigen Kontrolle über Werbedaten im Google-Stack. Das ändert das Aus für Google Signals für Entwickler — und warum diese gesamte Maschinerie etwas ist, das cookiefreie Analytics nie aufbauen musste.

Izac CavalheiroFounder

Am 15. Juni 2026 entfernt Google den Google Signals als unabhängige Kontrolle über Werbedaten. Nach diesem Datum wird das Consent-Signal ad_storage, das deine Consent-Management-Plattform (CMP) sendet, zum einzigen Tor, das entscheidet, ob Daten auf Besucherebene zu Google Ads gelangen. Ist deine CMP fehlerhaft konfiguriert, gibt es keine serverseitige Einstellung in Analytics mehr, die den Fehler abfängt.

Das ist eine stille, aber bedeutende Änderung. Sie verlagert die gesamte Last der Consent-Korrektheit auf eine JavaScript-Schicht, die im Browser des Besuchers läuft, bevor irgendwelche Daten erhoben werden. Es lohnt sich, genau zu verstehen, was diese Schicht tut, denn genau das ist die Komplexität, die ein cookiefreies Design nie verursacht.

Was Consent Mode v2 tatsächlich ist

Consent Mode v2 ist Googles Framework, um seinen Tags mitzuteilen, ob sie Storage nutzen dürfen. Es ist kein Consent-Banner — es ist die Verdrahtung zwischen deinem Banner und Googles Tags. Deine CMP setzt vier Signale:

gtag('consent', 'default', {
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
});
  • ad_storage steuert Werbe-Cookies, Geräte-Identifier und auf Besucherebene an Google Ads gesendete Daten.
  • analytics_storage regelt das Analytics-Cookie, das eine client ID vergibt.
  • ad_user_data erlaubt das Hashen von First-Party-Daten wie der E-Mail für Enhanced Conversions.
  • ad_personalization entscheidet, ob Analytics-Daten personalisiertes Ad-Targeting speisen.

Wenn der Besucher zustimmt, löst deine CMP einen zweiten Aufruf aus, der die relevanten Signale auf granted aktualisiert. Alles Nachgelagerte hängt davon ab, dass dieses Update korrekt ankommt.

Basic vs. advanced, und warum advanced existiert

Es gibt zwei Implementierungsmodi, und der Unterschied ist rechtlich relevant.

Im basic-Modus laden Googles Tags gar nicht erst, bis Consent erteilt wird. Bei Ablehnung wird nichts gesendet.

Im advanced-Modus laden die Tags sofort, mit allen Signalen standardmäßig auf denied, und senden trotzdem cookieless pings an Google — eine Anfrage ohne Identifier, ohne client ID und ohne gespeicherten Zustand. Google nutzt das Volumen dieser Pings sowie das Verhalten der Minderheit, die zustimmt, um die Conversions zu modellieren, die es nicht direkt beobachten kann.

Den advanced-Modus gibt es, weil die Consent-Raten niedrig sind und Werbetreibende ihre Zahlen zurückwollen. Aber ein cookieless ping, der vor dem Consent gesendet wird, ist immer noch eine Datenübermittlung an einen Dritten, und die technologieneutrale Auslegung von ePrivacy Artikel 5(3) durch den EDSA befreit Anfragen nicht, nur weil sie ein Cookie weglassen. Modellierte Conversions benötigen zudem einen Mindestbestand an Sessions mit Consent, um überhaupt etwas Verlässliches zu liefern — kleine Websites bekommen also Rauschen.

Was das Aus am 15. Juni entfernt

Bisher fungierte Google Signals als zweites Tor. Du konntest es in Analytics ausgeschaltet lassen, um das Teilen von Werbedaten zu beschränken — unabhängig davon, was der Consent Mode meldete. Dieser Backstop ist weg.

Nach der Abschaltung:

  • Google Ads liest keine Analytics-seitigen Einstellungen mehr und verlässt sich ausschließlich auf die Consent-Mode-Signale, die deine CMP sendet.
  • Google Signals wird auf reine Analytics-Nutzung beschränkt — das Verknüpfen von Sessions mit angemeldeten Nutzern innerhalb von GA4.
  • IP-Adressen werden weiterhin erhoben und verschlüsselt, bevor sie an verknüpfte Ads-Konten weitergeleitet werden, wo die Einstellungen des Zielkontos übernehmen.

Die praktische Folge: ein einziger fehlgeschlagener gtag('consent', 'update', ...)-Aufruf — eine Race Condition, eine CMP, die nach dem ersten Tag lädt, ein Deploy, der den Standardzustand verwirft — sendet jetzt stillschweigend Daten, die du eigentlich sperren wolltest. Nach der DSGVO ist das eine Verarbeitung ohne Rechtsgrundlage, und der Wegfall des serverseitigen Sicherheitsnetzes macht es schwerer zu argumentieren, dass die Offenlegung eingegrenzt war.

Das ist laut aktuellen Leitlinien zudem eine wesentliche Änderung daran, wie Werbedaten geteilt werden. Für Websites mit EU-Besuchern kann das eine Informationspflicht gegenüber den Nutzern auslösen — eine Prüfung, die man besser vor der Frist als danach macht.

Die Komplexität, die nie hätte existieren müssen

Tritt einen Schritt zurück und sieh dir an, was ein DSGVO-konformes Consent-Mode-v2-Setup erfordert: eine CMP, vier Consent-Signale, Standardzustände, Update-Aufrufe in korrekter Reihenfolge zum Tag-Laden, eine Entscheidung zwischen advanced und basic mit rechtlichen Folgen, modellierte Conversions, die nur oberhalb einer Traffic-Schwelle funktionieren, und nun ein Single Point of Failure ohne Backstop.

Diese ganze Maschinerie existiert, um weiterhin Identifier zu nutzen — die client ID, das Werbe-Cookie, die gehashte E-Mail — und dabei auf der richtigen Seite des Consent-Rechts zu bleiben. Entferne die Identifier, und der gesamte Apparat löst sich in nichts auf.

Ein cookiefreier Tracker hat kein ad_storage zu sperren, weil er keinen Werbe-Storage setzt. Er hat keine client ID zu verweigern, weil die Identität ein Einweg-Hash SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) ist, der im Speicher am Edge berechnet und nie umgekehrt wird. Die rohe IP und der User-Agent werden nur zur Berechnung dieses Hashes verwendet; D1 speichert den Hash, nicht die Eingaben. Es gibt kein Consent-Signal, das fehlschlagen könnte, weil es nach Artikel 5(3) nichts gibt, dem zugestimmt werden müsste — der Zugriff auf das Gerät des Besuchers ist unbedingt erforderlich, um die Seite auszuliefern, und das unter 2 KB große Skript, das an /collect sendet, liest gar keinen Storage.

Das Aus am 15. Juni ist ein guter Moment, um eine schärfere Frage zu stellen als „ist mein Consent Mode korrekt konfiguriert". Frage, warum du überhaupt einen Consent-Zustandsautomaten betreibst, um Pageviews zu messen. Die Conversions, die Google aus cookieless pings modelliert, sind eine Schätzung von Daten, die du nie erheben durftest. Zu zählen, was tatsächlich passiert ist — ohne Identifier — war schon immer das einfachere System.

Quellen

Related posts

4 Min. LesezeitLaw & Regulation

Der Digital Omnibus will First-Party-Analytics von der Einwilligung befreien

Der EU-Digital-Omnibus vom November 2025 schlägt eine Einwilligungsausnahme für First-Party-Reichweitenmessung zur internen Nutzung vor. Er beschreibt das Modell, das cookiefreie Analytics längst betreibt.

Weiterlesen
5 Min. LesezeitLaw & Regulation

Das Cookie-Gesetz Handelt Nicht Mehr von Cookies: Was Artikel 5(3) Jetzt Abdeckt

Die EDPB-Leitlinien 2/2023 haben die ePrivacy-Einwilligungsregeln auf Pixel, URL-Tracking und reine IP-Identifikation ausgeweitet. Aktuelle Entscheidungen von CNIL und Garante bestätigen die technologieneutrale Lesart. Das ändert sich für Entwickler.

Weiterlesen
5 Min. LesezeitLaw & Regulation

Wann Ist ein Hash ein Personenbezogenes Datum? Das SRB-Urteil des EuGH und die Identität in Analytics

Mit dem Urteil EDPS gegen SRB hat der EuGH die Identifizierbarkeit zu einem relativen, kontextabhängigen Test gemacht. Was das für hash-basierte Analytics bedeutet — und warum ein täglich rotierender, gesalzener Hash sowohl der Lesart des Gerichts als auch der strengeren des EDSA standhält.

Weiterlesen

Comments

Loading comments…