Im Jahr 2026 bedeutet die Einhaltung der Einwilligungsregeln längst nicht mehr nur ein DSGVO-Häkchen. Für Publisher wie für Marketer ist sie zu einer strategischen Priorität geworden, die Rechtskonformität, Marketingleistung und die Qualität der User Experience gleichzeitig beeinflusst.
Mit den neuen Pflichten des Digital Markets Act, der breiten Einführung des Google Consent Mode v2 und dem Aufschwung zertifizierter CMPs hat sich das Consent-Management grundlegend verändert. Was 2023 noch ausreichte, genügt heute nicht mehr. Granularität der Präferenzen, Bearbeitungszeiten der Einwilligung, gemeinsam genutzte Daten mit Marketing-Tools – alles wird genau geprüft, auch durch Browser und Aufsichtsbehörden.
Dieser Artikel fasst alle wichtigen Entwicklungen zusammen und zeigt Best Practices für 2026, um:
- die technische Funktionsweise des Consent Mode v2 von Google und seine konkreten Vorteile zu verstehen;
- eine zertifizierte CMP auszuwählen, die mit TCF 2.3 (und bald GPC) kompatibel ist;
- Nutzerpräferenzen, Laufzeit der Einwilligung und die anzubindenden Tools in der Stack (GTM, CRM, Analytics …) effizient zu steuern;
- Risikofelder (z. B. GTM-Fall in Deutschland) vorwegzunehmen und Compliance ohne Performance-Verlust zu optimieren.
Ob Acquisition Lead, CRM-Projektmanager:in, Medien-Publisher oder E-Commerçant – dieser Leitfaden hilft Ihnen, Ihre Stack in Ordnung zu bringen, um weiterhin zu messen, zu aktivieren und zu personalisieren – in einem 100 % konformen Rahmen.
Der europäische Rechtsrahmen entwickelt sich rasant und zwingt Publisher und Marketer, ihre Consent-Erhebung zu überprüfen. Der Digital Markets Act (DMA), seit März 2024 in Kraft, verpflichtet sogenannte „Gatekeeper“ (Google, Facebook …) zu mehr Transparenz bei der Datenerhebung. Als Reaktion kündigte Google Ende 2023 an, dass alle Werbetreibenden die europäische Consent-Policy von Google einhalten müssen, um personalisierte Werbung weiterhin nutzen zu können.
Konkret gilt seit dem 16. Januar 2024: Jede Website, die personalisierte Werbung im EWR oder im Vereinigten Königreich ausliefert, muss eine von Google zertifizierte CMP mit IAB-TCF-Anbindung verwenden. In der Schweiz gilt diese Pflicht seit dem 31. Juli 2024. Praktisch heißt das: Nur Websites, auf denen eine zertifizierte CMP (OneTrust, Usercentrics, Cookiebot, Quantcast, Didomi, Axeptio … – offizielle Liste von Google fortlaufend aktualisiert) den Consent steuert, dürfen personalisierte Anzeigen ausspielen; alle anderen sind auf „Limited Ads“ bzw. nicht-personalisierte Werbung beschränkt.
Google Consent Mode v2: Funktionsweise und Pflichten
Zur Angleichung an diese Anforderungen hat Google Ende November 2023 den Consent Mode v2 eingeführt. Diese Version verlangt, dass Websites mit Google Analytics oder Google Ads Google beim Seitenaufruf über den Einwilligungsstatus der Nutzer informieren. Google fordert die Umsetzung von Consent Mode v2 für alle Sites, die Werbung an Nutzer:innen in der EU/EEE ausspielen. Ohne Consent Mode v2 erfassen GA4 und Google Ads kaum noch Konversionsdaten europäischer Nutzer – mit massiven Folgen für Kampagnen.
Technisch führt Consent Mode v2 zwei neue Signale zur Google-API (gtag('consent', ...)) hinzu, zusätzlich zu ad_storage und analytics_storage (bereits in v1). Neu sind: ad_personalization (Einwilligung für personalisierte Werbung) und ad_user_data (Einwilligung für werberelevante Nutzerdaten). Eine Site muss alle vier Consent-Signale direkt beim Laden senden (via gtag oder konfiguriertem Google Tag Manager). Es gibt zwei Implementierungsmodi: den Basic Mode, bei dem Google-Tags blockiert bleiben, bis der/die Nutzer:in im Banner entscheidet (Opt-in/Opt-out), und den Advanced Mode, bei dem Tags bereits vor Banner-Interaktion geladen werden und bei Ablehnung „cookieless pings“ senden. Der Advanced Mode ermöglicht die Erfassung aggregierter Signale zur Modellierung fehlender Konversionen bei nicht erteilter Einwilligung (siehe unten).
Konkretes Beispiel: Zwei Kampagnen A und B mit je 100 Klicks und 10 erfassten Konversionen (10 %) ohne Consent-Signal („Unknown consent“). Mit dem Consent Mode v2 kann Google fehlende Daten modellieren und nicht-consentierte Konversionen schätzen – potenziell bis zu 65 % der sonst verlorenen Konversionen dogdigital.com.
Google hebt den Nutzen der integrierten Konversionsmodellierung im Consent Mode v2 hervor. Ohne Consent Mode bleiben Konversionen ohne Einwilligung in Reports unsichtbar (wie oben: beide Kampagnen scheinen identisch bei 10 %). Mit Consent Mode v2 modelliert Google diese fehlenden Konversionen auf Basis des Verhaltens einwilligender Nutzer. Laut Google lassen sich so etwa 65 % der Konversionen zurückgewinnen, die ohne direkten Consent nicht messbar wären. Mit einer korrekt implementierten v2 (und einer CMP, die Google schnell benachrichtigt) begrenzen Sie Performance-Verluste bei voller Wahrung der Privatsphäre.
Zertifizierte CMPs und Weiterentwicklung des TCF
Über den Consent Mode hinaus bleibt das IAB-TCF Marktstandard, um Einwilligungen zwischen CMP und Werbe-Ökosystem zu synchronisieren. Google verlangt CMPs, die nicht nur TCF-integriert, sondern auch „von Google zertifiziert“ sind (geprüft wird die technische Kompatibilität mit dem TCF und Googles Additional-Consent-Spezifikation). Nur die Übermittlung des TC-Strings über eine zertifizierte CMP garantiert die Berechtigung für personalisierte Anzeigen. Außerdem wird TCF v2.3 – vom IAB Tech Lab verabschiedet – v2.2 ablösen. Publisher und CMP-Anbieter haben bis zum 28. Februar 2026 Zeit für die Migration. Danach müssen neue TC-Strings v2.3 entsprechen (v2.2-Strings, die vor dem 28.02.26 erzeugt wurden, bleiben akzeptiert). Google akzeptiert v2.3 bereits seit Oktober 2025 und empfiehlt, die Umstellung frühzeitig zu starten. Die neue Version präzisiert u. a. die Vendor-Deklaration und führt ein Segment „Disclosed Vendors“ ein – für mehr Transparenz und Nutzerkontrolle.
Beispiele für CMP-Tools (nicht abschließend): Didomi, OneTrust, Usercentrics, Cookiebot, Quantcast, Sourcepoint, Priduct sowie der französische Anbieter Axeptio u. a. Diese Lösungen bieten mehrsprachige Cookie-Banner und meist ein Preference Center, in dem Nutzer:innen ihre Entscheidungen jederzeit anpassen können (Cookie-Kategorien, E-Mail-Kampagnen usw.). Jede CMP für personalisierte Anzeigen muss in Googles Liste als „certified“ geführt sein (für Frankreich u. a.: Didomi, Axeptio, Cookiebot, Commanders Act etc.).
Nutzerpräferenzen und Best Practices
Die Regulierung verlangt zudem eine verantwortungsvolle Verwaltung der Einwilligung über den Klick auf „Akzeptieren“ hinaus. So sieht die DSGVO vor, dass Einwilligungen nur gültig sind, wenn sie „freiwillig, spezifisch, informiert und unmissverständlich“ sind. Die CNIL empfiehlt darüber hinaus eine kurze Gültigkeitsdauer für relevante Einwilligungen: „im Allgemeinen gilt eine Aufbewahrung der Entscheidungen von 6 Monaten als gute Praxis“. Danach sollte das Einverständnis erneut eingeholt werden – insbesondere, wenn sich Datenverwendungen ändern oder neue Drittanbieter-Cookies hinzukommen. Zudem muss jede Person ihre Einwilligung leicht widerrufen können. Daher bieten moderne CMPs ein Dashboard („Präferenzen“), in dem sich die Entscheidungen jederzeit anpassen lassen, nicht nur beim ersten Besuch.
Technisch ist eine saubere Synchronisierung dieser Präferenzen über die gesamte Marketing-Stack nötig: Google Analytics, CRM-Tools und Werbeplattformen. Lehnt ein:e Nutzer:in z. B. Werbe-Cookies ab, muss der Site-Code die entsprechenden Tags für alle Tools aktualisieren (ad_storage='denied' usw.). Für Robustheit lädt man idealerweise zuerst die CMP, wartet deren Signal ab und initialisiert dann (oder blockiert) Tags via Google Tag Manager oder per bedingtem Script-Laden. Parallel arbeitet Europa an Initiativen wie dem Global Privacy Control (GPC), einem Opt-out-Standard auf Browser-Ebene; in Frankreich derzeit nicht verpflichtend, wird er von einigen CMPs (Didomi, OneTrust …) bereits unterstützt – als Vorbereitung auf die Zukunft.
Sonderfall: Google Tag Manager und Compliance in Deutschland
Ein letzter wichtiger Punkt für eine „aufgeräumte Stack“: Ein jüngstes deutsches Urteil (März 2025) stellte fest, dass Google Tag Manager eine vorherige ausdrückliche Einwilligung erfordert. Das Verwaltungsgericht Hannover entschied, dass schon das bloße Laden von GTM (gtm.js) technische Daten (IP-Adresse usw.) vor jeder Einwilligung an Google sendet – entgegen TTDSG und DSGVO. Heißt: GTM ohne vorheriges Opt-in zu deployen, ist in Deutschland (und potenziell in der EU) riskant. Die Lösung ist, GTM zu „gaten“: GTM erst laden, nachdem der/die Nutzer:in im CMP das Marketing-Consent erteilt hat. Konkret: Zuerst die CMP laden, dann nach Klick das GTM-Container-Snippet dynamisch injizieren. So wird sichergestellt, dass gtm.js bei Ablehnung nicht ausgeführt wird (und keine Daten sendet). Beachten Sie, dass damit alle in GTM verwalteten Tags bei fehlendem Consent blockiert werden – gründliches Testing ist Pflicht. Fortgeschrittene Setups (z. B. der „Addingwell“-Container von Didomi) bieten serverseitige Architekturen, um Client-seitige Datenlecks zu vermeiden. Kernaussage: GTM + Consent Mode reicht nicht – jegliche Pings an Google müssen vor ausdrücklicher Einwilligung verhindert werden.
Zusammengefasst sollte ein Publisher Anfang 2026:
- eine von Google zertifizierte CMP mit TCF 2.3 (ggf. zusätzlich GPC) implementiert haben;
- Google Consent Mode v2 (Basic oder Advanced nach Bedarf) über diese CMP konfiguriert haben;
- die technische Integration in GTM und anderen Tags geprüft haben, sodass kein Drittservice ohne Consent aktiviert wird;
- sicherstellen, dass Nutzerpräferenzen (Dauer, Zugriff/Änderung) den Empfehlungen (z. B. CNIL) folgen.
Damit ist die Konformität mit DSGVO/ePrivacy gewährleistet und Sie holen das Maximum aus Google-Tools (Analytics, Ads etc.) heraus – bei minimalem Verlust an Marketingdaten.
