Google Analytics kannst du nicht nur mit Hilfe von Usercentrics DSGVO-konform via Google Tag Manager einbinden, sondern auch unter Verwendung vieler anderer Consent Management Platforms (CMP). Zu nennen ist hier beispielsweise Cookiebot. Zwar wurde Cookiebot im September 2021 von Usercentrics erworben, dennoch ist die Anleitung zur DSGVO-konformen Einbindung von GA4 mit Hilfe von Cookiebot und GTM eine andere als die zur DSGVO-konformen Einbindung von GA4 mit Hilfe von Usercentrics und GTM.
Damit du GA4 via Google Tag Manager und Cookiebot (technisch) DSGVO-konform einbinden kannst, benötigst du ein Konto bei Cookiebot. Nach Anmeldung erhältst du im Interface einen Code, den du direkt nach dem HEAD-Tag einbinden solltest.
Auf die Konfiguration im Cookiebot-Interface selbst gehen wir nicht näher ein, zumal Cookiebot Cookies automatisch finden kann. Bei Fragen hierzu könnt ihr euch allerdings gern an uns wenden!
Ist das Skript korrekt eingebunden, erscheint auf deiner Website standardmäßig folgender Cookie-Hinweis:
Wichtige Anmerkung: Zwar hast du die Möglichkeit, über Google Tag Manager das Cookiebot Skript auf deiner Seite einzubinden. Wir empfehlen allerdings die direkte Implementierung, damit das Skript unabhängig von Google Tag Manager läuft.
Dies hat rechtliche Hintergründe, da noch nicht eindeutig geklärt ist, ob Google Tag Manager auch ohne Einwilligung genutzt werden darf. Wir gehen davon aus, dass dies der Fall ist. Da wir allerdings keine Anwaltskanzlei sind, können wir hier nichts mit 100-prozentiger Gewissheit sagen, weshalb wir auch keine Haftung für unsere Aussage übernehmen können. Sei dir allerdings dessen gewiss, dass wir unsere Anleitungen mit bestem Wissen und Gewissen erstellen.
Damit du GA4 DSGVO-konform via Cookiebot und Google Tag Manager einbinden kannst, erstellst du als Erstes eine Datenschichtvariable. Erfreulicherweise gibt es in der Galerie bereits die Variable „Cookiebot Consent State“, die du einfach auswählst. Eine weitere Konfiguration ist nicht vonnöten.
- Klicke in der Variablen-Ebene auf Neu.
- Klicke auf Wählen Sie einen Variablentyp aus, um mit der Einrichtung zu beginnen. oder auf den Stift.
- Klicke auf Weitere Variablentypen finden Sie in der Galerie für Community-Vorlagen, nutze anschließend die Suchfunktion und gebe Cookiebot Consent State ein.
- Wähle die Datenschichtvariable „Cookiebot Consent State“ aus und klicke danach auf Speichern. Den Namen „Cookiebot Consent State“ kannst du (weiter)verwenden.
Screenshot zu Schritt 3:
Die finale Datenschichtvariable sieht wie folgt aus:
Nachdem du die Datenschichtvariable „Cookiebot Consent State“ erstellt hast, ist es im zweiten Schritt deine Aufgabe, einen Trigger zu erstellen, der dem GA4 Konfigurations-Tag sagt, dass er nur dann feuern soll, wenn über Cookiebot das GA4-Cookie (als Statistik-Cookie) akzeptiert worden ist.
- Klicke in der Trigger-Ebene auf Neu.
- Klicke auf Wählen Sie einen Trigger-Typ aus, um mit der Einrichtung zu beginnen. oder auf den Stift.
- Wähle als Trigger-Typ unter „Sonstiges“ Benutzerdefiniertes Ereignis aus.
- Trage in das Feld Ereignisname – unbedingt korrekt und fehlerfrei – cookie_consent_statistics ein.
- Wähle bei Diesen Trigger auslösen bei: die Option Einige benutzerdefinierte Ereignisse aus.
- Unter Diesen Trigger auslösen, wenn ein Ereignis eintritt und all diese Bedingungen erfüllt sind wählst du die Variable Cookiebot Consent State aus. Im zweiten Feld wählst du enthält und in das dritte Feld trägst du statistics ein.
- Nenne den Trigger „Cookie Consent Statistics“ und klicke auf Speichern.
Der fertige Trigger sieht nun wie folgt aus:
Nun benötigst du nur noch den Tag „Google Analytics: GA4-Konfiguration“ mit dem gerade erstellten Trigger „Cookie Consent Statistics“.
- Klicke in der Tag-Ebene auf Neu.
- Klicke auf Wählen Sie einen Tag-Typ aus, um mit der Einrichtung zu beginnen. oder auf den Stift.
- Wähle als Tag-Typ Google Analytics: GA4-Konfiguration aus.
- Gebe im Feld Mess-ID deine Google Analytics 4 Mess-ID ein. Diese findest du in deinem Google Analytics Konto unter Verwaltung -> Datenstreams -> Klick auf den entsprechenden Webstream. Solltest du noch keinen GA4 Webstream angelegt haben, hast du dies natürlich nachzuholen, siehe auch hier.
- Wähle unter Erweiterte Einstellungen bei Optionen für Tag-Auslösung unbedingt Einmal pro Seite aus. (Wird leider zu oft vergessen!)
- Wähle als auslösenden Trigger den zuvor erstellten Trigger „Cookie Consent Statistics“ aus.
- Klicke auf Speichern. Den Tag-Namen „Google Analytics GA4-Konfiguration“ kannst du grundsätzlich übernehmen.
Der fertige Tag „Google Analytics GA4-Konfiguration“ mit Trigger „Cookie Consent Statistics“ sieht nun wie folgt aus:
Abschließend möchtest du natürlich wissen, ob deine DSGVO-konforme Einbindung von GA4 mit Hilfe von Cookiebot und Google Tag Manager korrekt ist. Für die Überprüfung nutzen wir den nützlichen GTM Debug Mode bzw. GTM Vorschaumodus.
- Klicke im GTM Arbeitsbereich oben rechts auf In Vorschau ansehen.
- Trage im Feld Connect Tag Assistant to your site deine Website URL ein.
Wenn über die Cookiebot-Einstellungen das GA4-Cookie abgelehnt wurde, sollte der Tag „Google Analytics: GA4-Konfiguration“ nicht feuern. Wenn über die Cookiebot-Einstellungen das GA4-Cookie hingegen akzeptiert wurde, sollte der Tag „Google Analytics: GA4-Konfiguration“ feuern. Genau diese beiden Fälle prüfen wir.
In unserem Fall ist das GA4-Cookie zunächst einmal nicht akzeptiert, siehe:
Der Output im Tag Assistant sieht richtigerweise wie folgt aus:
Nun testen wir auch den zweiten Fall: Wir akzeptieren das GA4-Cookie (Statistik-Cookie) und prüfen, ob der Tag „Google Analytics: GA4-Konfiguration“ beim Seitenaufruf abgefeuert wird. Der erste Schritt bei diesem Unterfangen ist, über die Cookiebot Cookie-Einstellungen die Statistik-Cookies zuzulassen:
Nachdem wir die Statistik-Cookies zugelassen haben, schauen wir auf den Output im Tag Assistant (Google Debug Mode). Und siehe da: Der GA4-Konfigurations-Tag wurde in dem Moment gefeuert, in dem das GA4-Cookie akzeptiert worden ist. Auch der zweite Test ist damit erfolgreich: Yippieeeeeh!
Aus unserer Sicht ist es unerlässlich, die Datenschutzerklärung entsprechend zu erweitern, wenn du (in Deutschland) GA4 mit Hilfe von Cookiebot und Google Tag Manager nutzen möchtest. Sprich: Unseres Erachtens benötigst du einen Textbaustein zur Verwendung von Cookiebot sowie einen Textbaustein zur Verwendung von GA4.
Wir selbst verwenden die Textbausteine von E-Recht24 (als Premium-Mitglied). Grundsätzlich können wir die Premium-Mitgliedschaft bei E-Recht24 wärmstens weiterempfehlen. Auch hier möchten wir allerdings den wichtigen Hinweis anbringen, dass wir KEINE Rechtsanwaltskanzlei sind, allerdings all unsere Anleitungen mit viel Herz und nach bestem Wissen und Gewissen erstellen.
Muss ich einen Auftragsverarbeitungsvertrag mit Google abschließen?
Auch diese Frage ist aus unserer Sicht zu bejahen. Kläre aber am besten mit deinem:r Datenschutzbeauftragen oder deinem:r Rechtsanwalt:Rechtsanwältin ab, auf was du alles achten solltest, damit du in Deutschland GA4 DSGVO-konform nutzen kannst.
Soll ich Google Analytics Universal Analytics komplett durch GA4 ersetzen? Oder ist es besser, Universal Analytics und GA4 parallel laufen zu lassen?
Da es noch einige Probleme und „Kinderkrankheiten“ bei GA4 gibt, empfehlen wir zum jetzigen Zeitpunkt noch die parallele Verwendung von Universal Analytics und GA4. Die obige Anleitung funktioniert allerdings (zumindest bis zur Tag-Erstellung) auch bei Universal Analytics, da du ja den Trigger „Cookie Consent Statistics“ erstellst und diesen auch für Google Analytics Universal Analytics Seitenaufrufe bzw. den entsprechenden Tag nutzen kannst.
Kann ich mit der Einbindung von GA4 noch warten oder sollte ich mich schnellstmöglich mit GA4 vertraut machen?
Da es Google Analytics Universal Analytics ab dem 01. Juli 2023 nicht mehr geben wird, empfehlen wir dir, dich schnellstmöglich bzw. jetzt schon mit GA4 und den neuen Berichten vertraut zu machen. Sollte dir die Einbindung schwerfallen, kannst du dir gern unsere GA4-Pakete mal genauer ansehen, zumal wir uns dann auch um ein geeignetes GA4-Ereignis Tracking kümmern würden. 😉
Diese Schritt-für-Schritt-Anleitung zum Thema „Mit Cookiebot und Google Tag Manager GA4 DSGVO-konform einbinden“ haben wir am 23.07.2022 nach bestem Wissen und Gewissen erstellt und veröffentlicht. Wir weisen noch einmal mit Nachdruck darauf hin, dass wir für die absolute Richtigkeit aller Inhalte keine Haftung übernehmen können, da wir keine Anwaltskanzlei für IT-Recht oder ähnliches sind.
Darüber hinaus möchten wir anmerken, dass es durchaus sein kann, dass Google zukünftig Änderungen an den Interfaces und Nutzeroberflächen von Google Tag Manager, GA4, Google Tag Assistant und Co. tätigen wird. Wir gehen allerdings davon aus, dass selbst dann diese Anleitung sehr nützlich bleiben wird, wenn es in den nächsten Tagen, Wochen oder Monaten zu kleineren oder auch größeren Änderungen kommen sollte.
Bei Fragen, Anmerkungen, Problemen und Co. könnt ihr, wie immer, gern unsere Kommentarfunktion nutzen. Oder uns gleich direkt kontaktieren. Wir helfen euch gern!
Hallo liebes Team von SEA-Coaching,
ich habe mit eurer Anleitung erfolgreich den CookieBot Banner einrichten können.
Beim letzten Punkt, also der Überprüfung im Debug-Modus, kommt das Problem auf, dass der Debugger von GTM keine Verbindung mit meiner Domain aufbauen kann, bis ich auf „Alle akzeptieren“ auf dem Cookie Banner drücke.
Meine Frage: Gibt es eurerseits eine Lösung, die ihr mir netterweise zur Verfügung stellen könntet oder ist es schon bereits so richtig von mir konfiguriert?
Viele Grüße und danke im Voraus.
Shakeu
Hallo Shakeu,
um vor allem deine letzte Frage beantworten zu können, müsste ich mal in den Arbeitsbereich deines GTM Containers schauen.
LG,
Melvin
Ich finde in eurem Artikel keinerlei Info dazu, ob das GTM Skript (und noscript) selbst noch in irgendeiner Form (mit Cookiebot-Cookie-Klassen) klassifiziert werden müssen oder ob dieses immer geladen werden darf.
Hallo Paulina,
vielen Dank für deinen Kommentar und deinen Hinweis. Bei E-Recht 24 / Usercentrics ist Google Tag Manager by default als essenzielles Cookie hinterlegt. Bei Cookiebot würde ich persönlich GTM ebenfalls entsprechend klassifizieren. Zu deiner Frage passt im Übrigen auch unser Artikel zum Thema, ob der leere GTM Container auch ohne Einwilligung geladen werden kann/darf: https://www.sea-coaching.de/warum-wir-der-meinung-sind-dass-ein-leerer-google-tag-manager-container-auch-ohne-einwilligung-genutzt-werden-kann/
Grundsätzlich können wir, darauf möchten wir weiterhin ausdrücklich hinweisen, keine Rechtsberatung bieten. Allerdings versuchen wir stets nach bestem Wissen und Gewissen zu antworten. Dies ersetzt jedoch nicht die Konsultation eines Fachanwaltes oder einer Datenschutzbeauftragten.
Wichtig wird aus unserer Sicht die ePrivacy-Verordnung sein. Diese bringt dann hoffentlich bald Licht in das ganze Dunkel.
LG,
Melvin und das Team von SEA-Coaching.de und Kapwa Marketing
Die Einrichtung hat ohne Probleme funktioniert. Gibt es einen Grund, warum ihr für die GA4 Tags nicht das eingebaute Consent Tool des GTM verwendet? Beste Grüße Jannik
Hallo Jannik,
selbstverständlich ist es auch möglich, das eingebaute Consent Tool des GTM zu nutzen. Da unsere Kunden allerdings viele verschiedene Sources und Data Processing Services nutzen, macht es dort oft mehr Sinn, mit einer CMP wie beispielsweise Cookiebot, Usercentrics, Borlabs und Co. zu arbeiten.
Freundliche Grüße,
Melvin und das Team von SEA-Coaching.de