Consent Management – DSGVO-konforme Implementierung für Agenturen

Warum Consent Management mehr ist als ein Cookie-Banner

Ein Cookie-Banner einzubinden ist einfach. Ein Consent-Management-System korrekt einzurichten ist komplex — und die Konsequenzen von Fehlern sind für Agenturen und deren Kunden spürbar.

Tracking feuert trotz Ablehnung: Tags in GTM werden ausgelöst, bevor oder obwohl der Nutzer nicht zugestimmt hat — DSGVO-Verstoß.
Consent Mode v2 fehlt: Google hat Consent Mode v2 seit März 2024 für alle, die Google-Werbedienste nutzen, verpflichtend gemacht. Viele Setups sind nicht aktualisiert.
Falsche IAB TCF-Konfiguration: Ohne korrekte IAB TCF 2.2-Einrichtung können programmatische Werbenetzwerke keine Consent-Signale verarbeiten.
Banner entspricht nicht den Anforderungen: Kein gleichwertiger "Ablehnen"-Button, keine granularen Einstellungen, kein Opt-out für bereits erteilten Consent.
Fehlende Dokumentation: Kein Audit-Trail, keine Consent-Logs — bei einer Prüfung durch Behörden problematisch.

Ostrovsky Web richtet Consent-Management-Systeme technisch korrekt ein — von der CMP-Auswahl bis zur vollständigen GTM-Integration.

Leistungen im Detail

Cookie-Banner-Auswahl und Integration

Die Wahl der richtigen Consent Management Platform (CMP) hängt vom Kunden, Budget und technischen Anforderungen ab. Ich arbeite mit allen führenden CMPs:

Usercentrics: Marktführer in Deutschland, umfangreiche Konfigurationsoptionen, IAB TCF 2.2-zertifiziert
Cookiebot (Cybot): Einfache Einrichtung, automatisches Cookie-Scanning, beliebt bei KMUs
Iubenda: Kombiniertes Datenschutz- und Cookie-Management, gute WordPress-Integration
Complianz: Datenschutzfreundlich, Self-Hosted, stark im WordPress-Ökosystem
Borlabs Cookie: Verbreitete WordPress-spezifische Lösung

Ich berate bei der CMP-Auswahl und übernehme die vollständige technische Einrichtung.

Google Consent Mode v2

Consent Mode v2 ist seit März 2024 für alle Websites verpflichtend, die Google-Werbedienste (Google Ads, Floodlight) nutzen. Ohne korrekte Implementierung verliert die Website die Fähigkeit, Conversion-Daten zu modellieren.

Implementierung von Consent Mode v2 (Basic oder Advanced)
Konfiguration der consent-Signale: ad_storage, analytics_storage, ad_user_data, ad_personalization
Integration mit GTM via CMP-Template oder Custom Tag
Verifizierung mit Google Tag Assistant und Google Ads-Diagnose
Dokumentation der Implementierung für Kunden und DPO

IAB TCF 2.2 Konformität

Für Kunden mit Display-Werbung oder programmatischen Netzwerken (AdSense, Criteo, etc.) ist IAB TCF 2.2-Konformität erforderlich:

Prüfung, ob die gewählte CMP IAB TCF 2.2-zertifiziert ist
Konfiguration des Global Vendor List (GVL)-Mappings
Überprüfung der Vendor-Liste auf Vollständigkeit
Testing mit IAB CMP Validator

Consent-konformes Tracking

Ein Cookie-Banner allein reicht nicht. Alle Tags in GTM müssen consent-abhängig gefeuert werden:

Consent-basierte Tag-Aktivierung in GTM (Consent Initialization Trigger)
Mapping von CMP-Kategorien zu GTM Consent Types
Überprüfung aller existierenden Tags auf Consent-Konformität
DataLayer-basierte Consent-Ereignisse für granulare Steuerung

Scanner-Einrichtung für automatisches Cookie-Erkennen

Websites verändern sich — neue Plugins, neue Tracking-Tools. Ich richte automatische Cookie-Scanner ein:

Konfiguration des integrierten CMP-Scanners (Cookiebot, Usercentrics, etc.)
Manuelle Prüfung und Bereinigung der erkannten Cookies
Zuordnung der Cookies zu den richtigen Consent-Kategorien
Planung regelmäßiger Re-Scans

Consent-Audit und -Aktualisierung

Für Bestandsprojekte prüfe ich bestehende Consent-Setups und bringe sie auf aktuellen Stand:

Prüfung der aktuellen Konfiguration gegenüber DSGVO-Anforderungen
Check: Consent Mode v2 implementiert? IAB TCF korrekt? Tags consent-abhängig?
Behebung gefundener Lücken
Audit-Dokumentation für DPO oder Geschäftsführung

Dokumentation für Datenschutzbeauftragten

Gut dokumentierte Consent-Setups vereinfachen interne Datenschutz-Reviews:

Dokumentation aller eingesetzten Cookies und Tracking-Tools
Beschreibung der Consent-Kategorien und deren technischer Wirkung
Übergabedokument für DPO oder externen Datenschutzberater

So arbeiten wir zusammen

Bestandsaufnahme

Ich prüfe das aktuelle Consent-Setup der Website (oder starte von Null bei Neuprojekten): Welche Tags feuern? Welche CMP ist im Einsatz? Ist Consent Mode v2 aktiv?

CMP-Auswahl und Einrichtung

Gemeinsam wählen wir die passende CMP aus und ich konfiguriere Banner, Kategorien, Scanner und rechtliche Texte.

GTM-Integration

Alle Tags werden consent-abhängig konfiguriert. Consent Mode v2-Signale werden korrekt implementiert.

Testing

Vollständige Testphase: Ich simuliere Consent-Szenarien (Zustimmung / Ablehnung / granular), prüfe mit Browser-Debugger und Google Tag Assistant.

Live-Schaltung

Abnahme und gemeinsame Freigabe des finalen Setups.

Dokumentation

Übergabe eines vollständigen Consent-Audit-Dokuments für Ihren Kunden oder dessen DPO.

Technologien & Tools

Technologie / Tool	Beschreibung
Usercentrics	Enterprise-CMP, IAB TCF 2.2, umfangreiche Konfiguration
Cookiebot / Cybot	Automatisches Scanning, einfache Einrichtung
Iubenda	Kombiniertes Privacy & Cookie Management
Complianz	WordPress-native, self-hosted, datenschutzfreundlich
Borlabs Cookie	Verbreitete WordPress-CMP
Google Consent Mode v2	Consent-Signale für Google-Dienste
IAB TCF 2.2	Standard für programmatische Werbenetzwerke
Google Tag Manager	Consent-basierte Tag-Steuerung
Google Tag Assistant	Debugging und Consent-Verifizierung
IAB CMP Validator	TCF-Konformitätsprüfung

Häufig gestellte Fragen

Was ist Google Consent Mode v2 und warum ist er Pflicht?

Google Consent Mode v2 ist ein API-Framework, das Tracking-Tags von Google (Analytics, Ads) über die Consent-Entscheidung des Nutzers informiert. Seit März 2024 ist die Implementierung von Consent Mode v2 für alle Websites verpflichtend, die Google-Werbedienste nutzen — andernfalls verliert die Website die Möglichkeit, Conversion-Daten durch Modellierung zu vervollständigen. Es gibt zwei Modi: Basic (Tags feuern erst nach Zustimmung) und Advanced (Tags feuern immer, aber ohne Personalisierung bei Ablehnung).

Welches Consent Management Platform ist am besten für deutsche Websites?

In Deutschland sind Usercentrics und Cookiebot (Cybot) am weitesten verbreitet. Usercentrics bietet den größten Funktionsumfang und ist IAB TCF 2.2-zertifiziert — empfehlenswert für größere Kunden mit programmatischer Werbung. Cookiebot ist für KMUs eine kosteneffiziente, solide Wahl. Für reine WordPress-Projekte ohne programmatische Werbung ist Complianz eine datenschutzfreundliche und wartungsarme Alternative. Die beste CMP hängt vom Anwendungsfall ab.

Wie wirkt sich Consent Management auf die Tracking-Daten aus?

Korrekt eingerichtetes Consent Management reduziert die Menge der direkt gemessenen Tracking-Daten — weil Nutzern ohne Zustimmung keine Cookies gesetzt werden. Mit Google Consent Mode v2 (Advanced-Modus) können diese Lücken durch statistische Modellierung in GA4 und Google Ads teilweise ausgeglichen werden. Langfristig ist datenschutzkonformes Tracking zuverlässiger als übermäßiges Tracking, das Abmahnrisiken schafft.

Übernehmen Sie auch rechtliche Beratung zur DSGVO-Konformität?

Nein. Ostrovsky Web implementiert technisch nach aktuellem Stand der Technik und den Anforderungen der eingesetzten Plattformen (Google, IAB TCF). Für rechtlich verbindliche Aussagen zur DSGVO-Konformität — etwa zur Rechtmäßigkeit bestimmter Datenverarbeitungen, zur Datenschutzerklärung oder zur Notwendigkeit eines Auftragsverarbeitungsvertrags — empfehle ich die Einbindung eines auf Datenschutzrecht spezialisierten Rechtsanwalts oder Ihres Datenschutzbeauftragten.

Wie oft sollte ein Consent-Setup geprüft werden?

Mindestens einmal im Jahr — besonders wenn sich folgendes ändert: neue Tracking-Tools werden eingebunden, Plugins werden aktualisiert (neue Cookies), Google oder IAB aktualisieren ihre Anforderungen, oder die Datenschutzgesetzgebung ändert sich. Ich empfehle, den Cookie-Scanner der CMP monatlich automatisch laufen zu lassen und die Ergebnisse quartalsweise zu prüfen.