Consent Mode v2 Deep-Dive: Wie Google aus Cookieless Pings Conversions modelliert
Consent Mode v2 ist seit März 2024 Pflicht. Vier Signale, Behavioral Modeling, Conversion Recovery: was technisch passiert und was es für Ihre Daten bedeutet.
Das Wichtigste in Kürze
- Consent Mode v2 ist seit März 2024 Voraussetzung für Google Ads Remarketing und Conversion Tracking im EWR
- Vier Signale steuern das Verhalten: analytics_storage, ad_storage, ad_user_data, ad_personalization
- Bei denied sendet Google Cookieless Pings: Requests ohne Identifier, die für Behavioral Modeling verwendet werden
- Conversion Recovery von 50 bis 70 %: Google modelliert Conversions anhand von Consent-Patterns und aggregierten Daten
Das Wichtigste in Kürze
- 65 % Consent + Behavioral Modeling (55 % Recovery) = 84 % effektive Datenabdeckung statt 65 % ohne Consent Mode v2
- 1.000 monatliche Conversions: sehen 842 statt 650 mit Consent Mode v2, Smart Bidding hat 30 % mehr Datenpunkte
- Ohne ad_personalization granted schrumpft Remarketing-Audience um 35 % bei 65 % Consent-Rate
- ROAS-Genauigkeit steigt von ±22 % auf ±9 % Unschärfe durch Modeling-Recovery der Denied-Conversions
Das Wichtigste in Kürze
- Ohne Consent Mode v2: CPA steigt um 25-40 % = 25k-40k EUR/Monat Ineffizienz bei 100k EUR Budget
- Mit Consent Mode v2: Modeling recovered 50-70 % Denied-Conversions, CPA-Anstieg nur 8-15 %, Ineffizienz 8k-15k EUR/Monat
- Jährliche Einsparung bei 1.2 Mio EUR Budget: 204k-300k EUR durch korrektes Behavioral Modeling vs. ohne
- Banner-Optimierung (60 % auf 70 % Consent) steigert Datenabdeckung von 78 % auf 85 %, rechtfertigt 2-4h UX-Arbeit
Das Wichtigste in Kürze
- gtag consent default muss vor GTM-Script stehen, wait_for_update verhindert Premature Tag Firing
- gcs-Parameter codiert Consent-State (G111 = all granted, G000 = all denied), muss in SST forwarded werden
- Consent Update nach Page Reload muss sofort gesetzt werden, nicht erst nach Banner-Rendering
- Shopify Customer Privacy API liefert regionsabhängige Defaults, Integration mit getRegion()
Seit März 2024 ist Consent Mode v2 keine Empfehlung mehr, sondern Voraussetzung. Google verlangt die Implementation für alle Werbetreibenden im EWR, die Google Ads Remarketing oder Conversion Tracking nutzen. Ohne Consent Mode v2 verlieren Sie den Zugang zu Modeled Conversions, Remarketing-Audiences und Enhanced Conversions.
Dieser Artikel erklärt nicht nur, was Consent Mode v2 ist (das steht in Googles Dokumentation), sondern wie es technisch funktioniert, welche Daten bei welchem Consent-State fließen, und welche Hebel Sie haben, um die Datenqualität zu maximieren.
Behavioral Modeling recovered 50-70 % der Denied-Conversions: Shop mit 65 % Consent-Rate verliert ohne Consent Mode v2 35 % aller Conversion-Daten komplett. Mit Consent Mode v2 modelliert Google 55 % der Denied-Conversions zurück = 19.25 % Recovery. Effektive Datenabdeckung: 84.25 % statt 65 %. Bei 1.000 monatlichen Conversions sehen Sie 842 statt 650. Smart Bidding optimiert auf Basis 30 % mehr Datenpunkten, ROAS-Genauigkeit steigt von ±22 % auf ±9 % Unschärfe. Ohne ad_personalization granted verlieren Sie Remarketing komplett: bei 65 % Consent-Rate schrumpft Ihre Remarketing-Audience um 35 %. Jeder Prozentpunkt Consent-Rate-Gewinn vergrößert Audience um 1.54 % relativ (bei 65 % Baseline).
Compliance-Pflicht seit März 2024 mit messbarem Performance-Impact: Google Ads verlangt Consent Mode v2 für alle EWR-Werbetreibenden. Ohne Implementation: kein Zugang zu Enhanced Conversions, keine Remarketing-Audiences, keine Modeled Conversions. Bei 100.000 EUR Monatsbudget und 65 % Consent-Rate bedeutet das: 35.000 EUR Budget optimiert auf Basis 35 % fehlender Daten ohne Modeling-Recovery. CPA steigt um 25-40 % (empirischer Durchschnitt bei fehlendem Consent Mode), entspricht 25.000-40.000 EUR monatlicher Ineffizienz. Mit korrektem Consent Mode v2: Behavioral Modeling recovered 50-70 % der Denied-Conversions, CPA-Anstieg nur 8-15 %, Ineffizienz sinkt auf 8.000-15.000 EUR/Monat. Jährliche Einsparung: 204.000-300.000 EUR bei 1.2 Mio EUR Jahresbudget.
Für Entwickler: Consent Mode v2 erweitert v1 um zwei Signale: ad_user_data und ad_personalization. Wenn Ihr Setup nur v1-Signale sendet, behandelt Google die fehlenden Signale als denied. Sie müssen alle vier Signale explizit setzen, sonst funktionieren Enhanced Conversions und Remarketing nicht.
Die vier Signale im Detail
Consent Mode v2 arbeitet mit vier Signalen. Jedes Signal steuert eine spezifische Dimension der Datenverarbeitung.
analytics_storage
Funktion: Steuert, ob GA4 Cookies setzen und Analysedaten erfassen darf.
Bei granted: GA4 setzt _ga (Client-ID, 400 Tage), _ga_{STREAM} (Session-ID, 30 Minuten) und weitere Cookies. Vollständige Datenerfassung: Seitenaufrufe, Events, Ecommerce, User Properties.
Bei denied: GA4 setzt keine Cookies. Stattdessen sendet GA4 Cookieless Pings: HTTP-Requests an google-analytics.com ohne Client-ID, ohne Session-ID, ohne User-Identifier. Der Ping enthält: Seitenaufruf-URL, Referrer, User-Agent, Bildschirmauflösung, Spracheinstellung, Consent-State. Google nutzt diese Pings für Behavioral Modeling (dazu später mehr).
Besonderheit: analytics_storage ist das einzige Signal, für das manche Unternehmen eine Sonderbehandlung argumentieren. Die Argumentation: Wenn Daten über First-Party SST laufen und personenbezogene Daten gefiltert werden, könnte analytics_storage: granted unter berechtigtes Interesse fallen. Die Datenschutzkonferenz (DSK) sieht das kritisch. Unser DSGVO-Tracking-Guide behandelt die Rechtsrisiko-Bewertung im Detail.
ad_storage
Funktion: Steuert, ob Google Ads und Floodlight Cookies setzen dürfen.
Bei granted: Google Ads setzt Conversion-Cookies (_gcl_aw, _gcl_dc), die Click-IDs mit Nutzer-Sessions verknüpfen. Floodlight setzt ähnliche Cookies für DV360-Kampagnen. Diese Cookies ermöglichen die direkte Zuordnung von Conversions zu Ad-Klicks.
Bei denied: Keine Cookies. Google Ads sendet Cookieless Pings mit dem gcs-Parameter (Google Consent State), der den Consent-Status codiert. Die Zuordnung von Conversions zu Klicks erfolgt über Modellierung statt über direkte Cookie-Matches.
Impact auf Kampagnen: Ohne ad_storage: granted fehlen direkte Click-to-Conversion-Pfade. Smart Bidding hat weniger Datenpunkte für die Optimierung. Google kompensiert über Behavioral Modeling, aber die Modellqualität hängt direkt von Ihrer Consent Rate ab.
ad_user_data
Funktion: Steuert, ob Nutzerdaten an Google für Werbezwecke gesendet werden dürfen.
Bei granted: Enhanced Conversions funktionieren: gehashte E-Mail-Adressen und Telefonnummern werden an Google gesendet, um Conversions auch ohne Cookies zuzuordnen. Customer Match Audiences können erstellt werden.
Bei denied: Keine Nutzerdaten an Google. Enhanced Conversions sind deaktiviert. Customer Match ist nicht möglich. Die Conversion-Attribution ist auf Cookie-basierte und modellierte Zuordnung beschränkt.
Wichtig: ad_user_data wurde mit Consent Mode v2 eingeführt. Es existierte in v1 nicht. Wenn Ihr Setup nur v1-Signale sendet (analytics_storage und ad_storage), fehlen ad_user_data und ad_personalization. Google behandelt fehlende Signale als denied.
ad_personalization
Funktion: Steuert, ob personalisierte Werbung (Remarketing) erlaubt ist.
Bei granted: Remarketing-Audiences werden befüllt. Der Nutzer kann in Remarketing-Kampagnen, Similar Audiences und Customer Match Audiences erscheinen.
Bei denied: Kein Remarketing. Der Nutzer wird keiner Audience zugeordnet. Bestehende Audience-Mitgliedschaften für diesen Nutzer werden nicht aktualisiert.
Praxis-Impact: Remarketing ist für viele Shops der profitabelste Kampagnentyp. Jeder Prozentpunkt Consent Rate, den Sie gewinnen, vergrößert Ihre Remarketing-Audiences direkt.
Ohne ad_personalization: granted haben Sie keine Remarketing-Audiences. Bei 60 % Consent Rate sind 40 % Ihrer Besucher unsichtbar für Remarketing. Steigern Sie die Consent Rate auf 70 %, wächst Ihre Remarketing-Audience um 25 %. Das ist direkter Impact auf Ihren profitabelsten Kanal.
Der gcs-Parameter: Googles Consent-Encoding
Bei jedem Request an Google-Server wird der aktuelle Consent-State als gcs-Parameter mitgesendet. Der Wert ist ein codierter String, der die vier Signale komprimiert:
gcs=G111 → Alle granted
gcs=G100 → analytics_storage granted, Rest denied
gcs=G110 → analytics + ad_storage granted, Rest denied
gcs=G000 → Alle denied
Der gcs-Parameter ist relevant für Server-Side Tracking: Wenn Ihr SST-Container den Request an Google weiterleitet, muss der gcs-Parameter korrekt durchgereicht werden. Fehlt er, weiß Google nicht, welcher Consent-State gilt, und behandelt den Request als "unbekannt", was zu Datenverlusten führt.
gcs in der Praxis prüfen
Chrome DevTools > Network > Filter nach google-analytics.com oder googleads.g.doubleclick.net:
- Vor Consent:
gcs=G000(alle denied) - Nach Consent (alle akzeptiert):
gcs=G111 - Nur Analytics akzeptiert:
gcs=G100
Wenn der gcs-Wert nicht dem tatsächlichen Consent-State entspricht, stimmt etwas in Ihrer Consent-Implementierung nicht. Unser Consent-Debugging-Artikel beschreibt die systematische Prüfung.
Behavioral Modeling: Wie Google aus Pings Conversions macht
Behavioral Modeling ist der Mechanismus, mit dem Google Daten aus Cookieless Pings in nutzbare Metriken verwandelt. Google beschreibt den Prozess bewusst vage. Was öffentlich bekannt ist:
Input-Daten
Google nutzt für das Modeling:
- Cookieless Pings von Nutzern, die nicht eingewilligt haben (enthält URL, Referrer, User-Agent, Zeitstempel, Consent-State)
- Vollständige Daten von Nutzern, die eingewilligt haben (enthält alles: Client-ID, Session-Daten, Ecommerce-Events)
- Aggregierte Patterns über alle Websites, die Consent Mode nutzen (globale Conversion-Raten pro Branche, Region, Device-Typ)
Modeling-Logik
Google beobachtet das Verhalten von Nutzern mit Consent und extrapoliert auf Nutzer ohne Consent. Vereinfacht:
Wenn 3 % der eingewilligten Nutzer, die von einer Google Ads Anzeige kommen und die Produktseite sehen, einen Kauf abschließen, modelliert Google eine ähnliche Rate für nicht eingewilligte Nutzer mit vergleichbarem Verhaltensmuster (gleiche Anzeige, gleicher Seitentyp, ähnlicher Zeitraum).
Conversion Recovery Rate
Die Conversion Recovery Rate beschreibt den Anteil der Conversions, die durch Modeling "wiederhergestellt" werden. Google gibt keine exakte Formel, aber aus der Praxis ergeben sich Erfahrungswerte:
| Consent Rate | Conversion Recovery | Effektive Datenabdeckung |
|---|---|---|
| 80 %+ | 60 bis 70 % der Denied-Conversions | ~94 % |
| 60 bis 80 % | 50 bis 65 % der Denied-Conversions | ~82 % |
| 40 bis 60 % | 35 bis 50 % der Denied-Conversions | ~70 % |
| Unter 40 % | 20 bis 35 % der Denied-Conversions | ~55 % |
Die Logik: Je mehr Nutzer einwilligen, desto mehr "echte" Daten hat Google als Basis für das Modeling. Mit einer Consent Rate von 80 % hat Google reichhaltige Daten, aus denen es zuverlässig extrapolieren kann. Bei 30 % Consent Rate wird die Modellierung unsicher.
Bei 70 % Consent Rate modelliert Google etwa 50 % der Denied-Conversions zurück. Das bedeutet: effektive Datenabdeckung von 85 % statt 70 %. Ihre ROAS-Werte haben ±10 % Unschärfe statt ±25 %. Das ist der Unterschied zwischen "ungefähr profitable Kampagne" und "präzise Budget-Allokation möglich".
Conversion Recovery bedeutet: Google schätzt fehlende Conversions basierend auf beobachteten Patterns. Die Schätzung ist besser als nichts, aber schlechter als echte Daten. Bei niedriger Consent Rate (unter 40 %) wird die Modellqualität schlecht genug, dass Budget-Entscheidungen riskant werden.
Mindestvoraussetzungen
Behavioral Modeling in GA4 hat Mindestanforderungen:
- Consent Mode muss korrekt implementiert sein. Defaults vor dem ersten Tag, Updates nach Consent-Änderung.
- Mindestens 1.000 Events pro Tag mit
analytics_storage: deniedüber mindestens 7 Tage. - Mindestens 1.000 Nutzer pro Tag mit
analytics_storage: grantedüber mindestens 7 Tage.
Wenn Ihr Shop diese Schwellen nicht erreicht, zeigt GA4 die originalen (unmodellierten) Daten. Für kleine Shops mit unter 500 täglichen Besuchern greift das Modeling nicht.
Default vs. Update: Timing ist alles
Consent Mode arbeitet mit zwei Befehlen:
consent default
gtag('consent', 'default', {
'analytics_storage': 'denied',
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'wait_for_update': 500
});
Dieser Befehl muss vor dem GTM-Script und vor jeder anderen Google-Ressource stehen. Er definiert den Ausgangszustand. Wenn kein consent update folgt (z.B. weil der Nutzer den Banner ignoriert), bleiben diese Werte aktiv.
wait_for_update: Sagt Google-Tags, dass sie bis zu 500 Millisekunden auf ein Consent-Update warten sollen, bevor sie feuern. Das ist wichtig, wenn der Banner schnell geladen wird und der Nutzer sofort klickt. Ohne wait_for_update feuern Tags sofort mit den Default-Werten.
consent update
gtag('consent', 'update', {
'analytics_storage': 'granted',
'ad_storage': 'granted',
'ad_user_data': 'granted',
'ad_personalization': 'granted'
});
Dieser Befehl wird nach der Consent-Entscheidung gesendet. Bei Akzeptieren: alle relevanten Signale auf granted. Bei Ablehnen: alle auf denied (oder ein Update ist gar nicht nötig, weil die Defaults bereits denied sind).
Häufige Timing-Fehler
GTM vor Consent Defaults. Wenn das GTM-Script vor dem consent default-Befehl lädt, feuern Tags ohne Consent-Signal. Google behandelt das als "unknown" und setzt eigene Defaults (die je nach Tag-Typ variieren).
wait_for_update fehlt. Ohne wait_for_update feuern Tags sofort mit dem Default-State (denied). Wenn der Nutzer 300ms später einwilligt, hat der erste Pageview bereits ohne Consent gefeuert. Das ergibt Cookieless Pings, obwohl der Nutzer eingewilligt hat.
Consent Update nach Page Reload. Der Nutzer akzeptiert auf Seite A. Auf Seite B muss der gespeicherte Consent sofort als consent update gesetzt werden, bevor Tags feuern. Wenn der Banner den Consent erst nach dem Seitenaufbau aus dem Cookie liest und dann das Update sendet, feuern Tags für 200 bis 500 ms mit denied.
Race Conditions zwischen GTM-Load und Consent-Update sind der häufigste Timing-Fehler. Lösung: Consent-Cookie synchron lesen (nicht async), Consent Update im <head> vor GTM setzen, erst dann GTM laden. Oder: GTM mit data-gtm-wait="consent" Attribute laden, das blockiert GTM bis zum ersten Consent-Signal.
Implementation mit Shopify
Shopify Customer Privacy API als Consent-Quelle
Shopifys Customer Privacy API ist die sauberste Consent-Quelle für Shopify-Shops:
// 1. Privacy API laden
Shopify.loadFeatures([{ name: 'consent-tracking-api', version: 0.1 }], function() {
// 2. Region prüfen
const region = Shopify.customerPrivacy.getRegion();
// 3. Consent Defaults setzen (vor GTM)
const isEU = EU_REGIONS.includes(region);
const defaultState = isEU ? 'denied' : 'granted';
gtag('consent', 'default', {
'analytics_storage': defaultState,
'ad_storage': defaultState,
'ad_user_data': defaultState,
'ad_personalization': defaultState,
'wait_for_update': isEU ? 500 : 0
});
// 4. Auf Consent-Entscheidung reagieren
document.addEventListener('visitorConsentCollected', function() {
const analytics = Shopify.customerPrivacy.analyticsProcessingAllowed();
const marketing = Shopify.customerPrivacy.marketingAllowed();
gtag('consent', 'update', {
'analytics_storage': analytics ? 'granted' : 'denied',
'ad_storage': marketing ? 'granted' : 'denied',
'ad_user_data': marketing ? 'granted' : 'denied',
'ad_personalization': marketing ? 'granted' : 'denied'
});
});
});
Consent Mode in GTM Server Container
Der GTM Server Container empfängt Requests vom Browser. Der gcs-Parameter wird automatisch im GA4-Request mitgesendet. Der GA4-Client im Server Container liest diesen Parameter und macht ihn für Server-Tags verfügbar.
Drei Punkte, die schiefgehen können:
-
Custom Server-Tags ignorieren den Consent-State. Wenn ein Tag im Server Container keinen Consent-Check hat, feuert er unabhängig vom
gcs-Wert. Lösung: Consent-Einstellungen für jeden Server-Tag konfigurieren. -
gcs-Parameter wird gefiltert. Manche Proxy-Konfigurationen oder WAFs filtern unbekannte URL-Parameter. Prüfen Sie, ob der
gcs-Parameter im Server Container ankommt. -
Timing-Mismatch. Der Browser sendet ein Event mit
gcs=G000(vor Consent). Zwei Sekunden später sendet er dasselbe Event mitgcs=G111(nach Consent). Der Server Container sieht zwei Events. Das ist kein Deduplizierungsproblem (verschiedene Consent-States), aber es kann zu doppelten Pageviews führen.
Consent Rate optimieren
Die Qualität von Behavioral Modeling steht und fällt mit der Consent Rate. Jeder Prozentpunkt mehr Consent bedeutet bessere Modellierung und genauere Daten.
Legitime Optimierungen
Banner-Design. "Akzeptieren" und "Ablehnen" gleichwertig darstellen (DSGVO-Pflicht), aber der Banner selbst kann klar und schnell verständlich sein. Je weniger Text, desto schneller entscheidet der Nutzer.
Banner-Timing. Sofortiges Laden des Banners nach dem Seitenaufbau. Jede Verzögerung erhöht die Wahrscheinlichkeit, dass der Nutzer den Banner ignoriert oder die Seite verlässt.
Regionsbasierter Consent. Besucher aus Regionen ohne DSGVO-Pflicht brauchen keinen Banner. Details in unserem Artikel zu regionsbasiertem Consent Management.
Verbotene Optimierungen
Dark Patterns. "Ablehnen" verstecken, kleiner darstellen oder mehr Klicks erfordern. Das ist ein DSGVO-Verstoß und Aufsichtsbehörden ahnden es zunehmend.
Forced Consent. Content erst nach Akzeptieren anzeigen. Das ist keine freie Entscheidung und damit keine gültige Einwilligung.
Consent Wall. Den Zugang zur Website komplett sperren, bis der Nutzer einwilligt. Rechtlich umstritten, in vielen Jurisdiktionen unzulässig.
Banner-Optimierung ist der wichtigste Hebel für Datenqualität. Eine Verbesserung der Consent Rate von 60 % auf 70 % steigert die effektive Datenabdeckung von 78 % auf 85 %. Das rechtfertigt 2 bis 4 Stunden UX-Arbeit am Banner-Design allemal.
Legitime Banner-Optimierung bedeutet: schnelles Laden, klare Sprache, gleich große Buttons für Akzeptieren und Ablehnen. Dark Patterns (verstecktes Ablehnen, erzwungene Akzeptanz) sind DSGVO-Verstöße und schaden langfristig der Brand. Investieren Sie in gutes UX-Design statt in Tricks.
GA4 Reports: Modellierte vs. beobachtete Daten
GA4 kennzeichnet modellierte Daten in Reports mit einem Dreieck-Icon. In BigQuery-Exporten sind modellierte Daten nicht separat gekennzeichnet.
Wo Modeling sichtbar wird
- Realtime Report: Zeigt nur beobachtete (nicht modellierte) Daten
- Standard Reports: Enthalten modellierte Daten (wenn Modeling aktiviert und Schwellenwerte erreicht)
- Explorations: Können modellierte Daten enthalten
- BigQuery Export: Enthält alle Events, aber ohne Kennzeichnung ob modelliert oder beobachtet
Reporting-Strategie
Für Kampagnen-Reporting empfehlen wir: Google Ads als Conversion-Quelle nutzen (nicht GA4), weil Google Ads sein eigenes Modeling hat, das auf Kampagnendaten optimiert ist. GA4 für Website-Analytics und User-Journey-Analyse. Und die Shopify-Bestellungen als Ground Truth für die Validierung beider Quellen.
Fazit
Consent Mode v2 ist kein On/Off-Schalter. Es ist ein komplexes System aus vier Signalen, Timing-Anforderungen und einem Modeling-Mechanismus, dessen Qualität von Ihrer Consent Rate abhängt. Die korrekte Implementation erfordert Verständnis für Defaults, Updates, den gcs-Parameter und die Interaktion mit Server-Side Tracking.
Die gute Nachricht: Wenn Consent Mode v2 korrekt implementiert ist, verlieren Sie bei typischen Consent Rates von 60 bis 70 % nicht 30 bis 40 % Ihrer Daten, sondern nur 10 bis 15 %. Behavioral Modeling schließt die Lücke, wenn auch nicht vollständig.
Ist Ihr Consent Mode korrekt implementiert? Unser DSGVO & Compliance Audit prüft die Implementation im Detail: Defaults, Updates, Timing, gcs-Parameter, Server-Side-Weiterleitung.
Das könnte Sie auch interessieren
DSGVO-konformes Tracking: Was erlaubt ist, was nicht, und wie Sie beides unter einen Hut bringen
Rechtssicheres Tracking ohne Datenverlust. Consent Mode v2, Server-Side Tracking, First-Party Data: ein Referenzguide für Entscheider und Umsetzer.
Beitrag lesen → Tracking & ComplianceRegionsbasiertes Consent Management: Warum Sie nicht jedem Besucher einen Cookie-Banner zeigen sollten
Besucher aus den USA brauchen keinen DSGVO-Banner. Shopifys getRegion() erkennt den Standort, Consent-Defaults passen sich an. So maximieren Sie Datenqualität ohne Compliance-Risiko.
Beitrag lesen →Unsere Leistung
DSGVO & Compliance Audit
Wir analysieren Ihre Tracking-Infrastruktur. DSGVO-Score, Accessibility-Check, konkrete Handlungsempfehlungen.