Google Analytics und der Consent Mode: Warum die Lösung das Problem nicht löst

Google bewirbt den Consent Mode als datenschutzfreundliche Lösung für Analytics und Werbung. In der Praxis überträgt der Advanced Mode Daten an Google — auch wenn Ihre Besucher die Einwilligung verweigern. Was Sie darüber wissen sollten.

Google Analytics ist mit 21,7 % das meisterkannte Analytics-Tool in unseren Audits (Stand: März 2026). Über 37.000 der von uns geprüften Websites setzen es ein — und fast alle stehen vor demselben Problem: Ohne Cookie-Banner darf Google Analytics nicht laden. Mit Cookie-Banner fehlen je nach Branche 30 bis 60 % der Besucherdaten, weil Nutzer ablehnen, den Banner ignorieren oder Adblocker nutzen.

Googles Antwort auf dieses Problem heißt Consent Mode v2. Die Idee: Auch ohne Einwilligung sollen verwertbare Daten entstehen — durch sogenannte modellierte Daten. Das klingt nach einer eleganten Lösung. Aber bei genauer Betrachtung wirft der Consent Mode mehr Fragen auf, als er beantwortet.

Hinweis: Die folgenden Ausführungen basieren auf unserer technischen Analyse und stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer Google-Analytics-Konfiguration konsultieren Sie bitte Ihren Datenschutzbeauftragten.

Was ist der Google Consent Mode?

Der Consent Mode ist eine API, die das Verhalten von Google-Tags an den Einwilligungsstatus des Besuchers anpasst. Er existiert in zwei Varianten — und der Unterschied ist entscheidend.

Basic Mode

Im Basic Mode werden Google-Tags (Analytics, Ads, Floodlight) erst geladen, nachdem der Besucher über den Cookie-Banner zugestimmt hat. Ohne Einwilligung passiert nichts: kein Script, kein Request, keine Datenübertragung.

Das entspricht dem klassischen Verhalten eines korrekt konfigurierten Cookie-Banners. Der Basic Mode ist technisch unproblematisch — aber er löst auch das Datenverlust-Problem nicht: Besucher ohne Consent bleiben unsichtbar.

Advanced Mode

Im Advanced Mode werden Google-Tags bei jedem Seitenaufruf geladen — auch ohne Einwilligung. Statt regulärer Tracking-Daten sendet Google in diesem Fall sogenannte „Pings": cookielose Signale mit eingeschränktem Informationsgehalt.

Was diese Pings enthalten:

• Zeitstempel des Seitenaufrufs
• URL der aufgerufenen Seite
• IP-Adresse des Besuchers
• User-Agent (Browser und Betriebssystem)
• Bildschirmauflösung und Viewport-Größe
• Browsersprache
• Referrer (woher der Besucher kam)
• Einwilligungsstatus

Google nutzt diese Daten zusammen mit Machine Learning, um das Verhalten der ablehnenden Besucher anhand ähnlicher zustimmender Besucher hochzurechnen. Das Ergebnis sind „modellierte Daten", die in Ihren GA4-Reports und Google Ads Conversion-Berichten erscheinen.

Seit Consent Mode v2 gibt es zwei zusätzliche Parameter: ad_user_data (Nutzerdaten für Werbung) und ad_personalization (personalisierte Werbung). Diese granularere Steuerung ist Googles Reaktion auf den Digital Markets Act (DMA) der EU — nicht auf die DSGVO.

Google Analytics-Experte Markus Baersch hat die technischen Details des Consent Mode v2 ausführlich dokumentiert — unter anderem die Entschlüsselung der kryptischen gcs- und gcd-Parameter in GA4-Requests, die den Consent-Status kodieren. Wer die technische Tiefe sucht, findet dort die beste deutschsprachige Quelle.

Warum der Advanced Mode rechtlich problematisch ist

Im Advanced Mode werden bei jedem Seitenaufruf personenbeziehbare Daten an Google übertragen — auch wenn der Besucher die Einwilligung ausdrücklich verweigert hat.

Das ist der zentrale Kritikpunkt, und er wiegt schwer:

Datenübertragung trotz fehlendem Consent

Die „Pings" des Advanced Mode enthalten die IP-Adresse des Besuchers. Die IP-Adresse ist nach ständiger Rechtsprechung ein personenbezogenes Datum. Die Übertragung an Google — einen US-Konzern, der die Daten in den USA verarbeitet — erfordert nach DSGVO eine Rechtsgrundlage.

Welche Rechtsgrundlage soll das sein? Ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) lässt sich kaum begründen, wenn der Besucher gerade aktiv abgelehnt hat. Die Einwilligung fehlt per Definition. Und eine Vertragserfüllung liegt nicht vor.

Darüber hinaus verbietet das TDDDG (§ 25) den Zugriff auf Informationen der Endeinrichtung ohne Einwilligung. Das Laden der Google-Tags im Advanced Mode — mit dem Lesen von Bildschirmauflösung, Viewport-Größe und Browsersprache — dürfte genau diesen Tatbestand erfüllen.

Die überwiegende Einschätzung der Experten

Die meisten deutschen Datenschutz-Fachportale stufen den Advanced Mode als nicht DSGVO-konform ein. Google Analytics-Experte Markus Baersch bringt es auf den Punkt: „Selbst aus Marketing-Sicht ist der Consent Mode von Google größtmöglich Bullshit." Seine Kritik richtet sich vor allem gegen die Kernfunktion des Advanced Mode — bei fehlender Zustimmung dennoch cookielose Daten an Google zu senden. Aus Datenschutzsicht sei das ein „klares No-Go".

Gleichzeitig erkennt Baersch pragmatisch an: Wer GA4-Zielgruppen oder Google Ads nutzt, kommt am Basic Mode nicht vorbei. Die ausführliche FAQ auf seiner Website erklärt beide Varianten im Detail.

Unsere Einschätzung: Diese Frage muss Ihr Datenschutzbeauftragter beantworten. Was wir technisch feststellen können: Im Advanced Mode werden Requests an Google gesendet, auch wenn der Besucher nicht zugestimmt hat. Das ist eine Tatsache, keine Interpretation.

Modellierte Daten: Was Sie wirklich sehen

Googles modellierte Daten füllen die Lücke der fehlenden Einwilligungen — aber mit hochgerechneten Schätzwerten statt echten Messungen.

Wie die Modellierung funktioniert

Google nutzt die Daten der zustimmenden Besucher als Referenz und rechnet hoch, wie sich die ablehnenden Besucher wahrscheinlich verhalten hätten. Das geschieht über Machine-Learning-Modelle, deren genaue Funktionsweise Google nicht offenlegt.

Was das für Ihre Daten bedeutet

• Keine Transparenz: In Ihren GA4-Reports können Sie nicht unterscheiden, welche Daten auf echten Messungen basieren und welche modelliert sind. Google mischt beides.
• Systematische Verzerrung: Die Annahme, dass ablehnende Besucher sich genauso verhalten wie zustimmende, ist eine unbelegte Hypothese. Technikaffine Besucher lehnen häufiger ab — und haben oft ein anderes Nutzungsverhalten.
• Asymmetrischer Informationsfluss: Google erhält die vollständigen Rohdaten (auch von den Pings). Sie als Website-Betreiber sehen nur die aggregierten, modellierten Reports. Google profitiert, Sie raten.

Google Analytics in unseren Audits: Die Zahlen

Google Analytics ist das meisterkannte, aber auch das meistproblematische Analytics-Tool in unseren Audits.

Bei vielen dieser Installationen zeigen unsere Audits Probleme: Google Analytics lädt vor der Einwilligung, der Consent Mode ist nicht oder fehlerhaft konfiguriert, oder der Google Tag Manager ist aktiv, obwohl der Besucher abgelehnt hat.

Das Zusammenspiel von Google Tag Manager, Google Analytics und Cookie-Banner ist komplex — und jede Fehlkonfiguration führt entweder zu einem Datenschutzverstoß oder zu verfälschten Daten.

Die Alternativen: Was statt Google Analytics?

Google Analytics ist nicht alternativlos. Für reine Reichweitenanalyse gibt es datenschutzfreundlichere Lösungen, die ohne Consent-Banner und ohne modellierte Daten auskommen.

Matomo (Self-Hosted)

Matomo auf dem eigenen Server kann ohne Cookie-Banner und ohne Einwilligung betrieben werden — mit der richtigen Konfiguration. Die Daten bleiben auf Ihrem Server, es erfolgt keine Übermittlung an Dritte. Sie erfassen alle Besucher, nicht nur die 40 bis 70 %, die zufällig auf „Akzeptieren" klicken.

Mehr dazu in unserem Ratgeber: Matomo datenschutzkonform einsetzen.

Plausible, Fathom und andere

Es gibt weitere datenschutzfreundliche Analytics-Tools, die ohne Cookies und teilweise ohne Consent auskommen. In unseren Audits sind sie allerdings noch selten vertreten: Plausible mit 0,9 %, Fathom mit 0,1 %.

Wann Google Analytics trotzdem Sinn macht

Google Analytics bleibt das richtige Tool, wenn Sie:

• Google Ads schalten und die Conversion-Daten direkt in der Google-Werbeplattform benötigen
• Die fortgeschrittenen E-Commerce-Funktionen von GA4 nutzen
• Bereits tief in das Google-Ökosystem integriert sind

In diesen Fällen ist der Basic Mode die sicherere Variante: Kein Tracking ohne Consent, dafür aber auch keine modellierten Daten für die ablehnenden Besucher. Markus Baersch zeigt auf seiner Website auch, wie sich der Consent Mode im Google Tag Manager zur Trigger-Reduktion nutzen lässt — ein pragmatischer Ansatz für komplexe Tag-Setups.

Checkliste: Google Analytics und Consent Mode

• Welchen Consent Mode nutzen Sie? Basic oder Advanced — der Unterschied ist rechtlich erheblich
• Lädt Google Analytics vor der Einwilligung? Prüfen Sie den Netzwerk-Tab im Browser vor dem Consent-Klick
• Werden Requests an Google gesendet, wenn der Besucher ablehnt? Im Advanced Mode: ja
• Wissen Sie, welcher Anteil Ihrer GA4-Daten modelliert ist? Google zeigt das nicht transparent
• Ist Ihr Cookie-Banner korrekt konfiguriert? Der Consent Mode ersetzt keinen funktionierenden Banner
• Haben Sie die Datenschutzerklärung aktualisiert? Consent Mode v2 und die neuen Parameter müssen dokumentiert sein
• Brauchen Sie wirklich Google Analytics? Für reine Reichweitenanalyse gibt es Consent-freie Alternativen

Weiterführende Artikel

• Adblocker und Analytics: Warum Besucher unsichtbar sind
• Datenqualität in der Webanalyse: Warum Ihre Daten lügen
• Welche Consent-Tools nutzt Deutschland?
• Tracking ohne Einwilligung: Was unsere Audits aufdecken
• Was ist exatics Audit? — Alle Prüfkategorien

Jetzt Ihre Website prüfen