# Consent-Mode- und GTM-Runbook für blutspendedienst-west.de

Status: offen · Score: 42/100
Check: 2026-06-08 09:58:13.827657+02

> Technische Umsetzungsvorlage aus öffentlichen Scan-Signalen. Betreiber müssen CMP-Konfiguration, reale Tag-Auslösung, Rechtsgrundlagen und Vertragstexte fachlich freigeben.

## Umsetzungsschritte

- [bereit] Google-Tags und Zwecke inventarisieren - Google-Dienste, Tag-IDs, Zwecke, Rechtsgrundlagen, Empfänger und Consent-Kategorien in Anbieterregister und Datenschutzhinweis abgleichen.
  Nachweis: Google-Tags sichtbar, Google-Domains 0, Anbieter 3, Cookies 1.
- [offen] Consent Mode Defaults vor dem ersten Google-Tag setzen - Vor GTM/gtag alle vier Consent-Mode-v2-Signale auf denied setzen: ad_storage, analytics_storage, ad_user_data und ad_personalization.
  Nachweis: Default erkannt: nein, granted by default: nein, denied: nicht sichtbar.
- [offen] CMP-Kategorien auf Consent Updates mappen - Statistik/Marketing-Kategorien der CMP in gtag consent update oder GTM Consent Initialization mappen und Opt-out als denied zurückschreiben.
  Nachweis: CMP erkannt: nein, Consent Update erkannt: nein.
- [bereit] Google- und Marketing-Tags blockieren, bis passende Einwilligung vorliegt - GA4, Ads, Floodlight, Remarketing, Conversion Linker und Drittanbieter-Pixel mit Additional Consent Checks und Triggern nach Consent freigeben.
  Nachweis: Tracking-Cookies vor Consent 0, Cookies vor Consent 1, Datenschutz-Domains nach Ablehnen 0.
- [offen] Ablehnen, Widerruf und GPC als echte Sperre testen - Ablehnen-Button, Preference Center, Widerruf und Global Privacy Control gegen Cookies, Requests und Storage erneut scannen.
  Nachweis: Ablehnen verfügbar: nein, GPC-Zustände 4, Journey-Score 100.
- [bereit] Nachweis, Re-Test und Release-Gate sichern - Vor Livegang Default, Ablehnen, Akzeptieren und GPC dokumentieren; ZIP/XLSX exportieren und nach Tag-Änderungen erneut scannen.
  Nachweis: Consent-Zustände 4, Consent-Audit-Score 36, Google-Consent-Score 58.

## Snippets

### gtag Default vor GTM/Google-Tag
Platzierung: im <head> vor dem ersten Google-Tag

```js
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
  functionality_storage: 'granted',
  security_storage: 'granted',
  wait_for_update: 500
});
```

### CMP-Auswahl in Consent Update übersetzen
Platzierung: nach Akzeptieren, Ablehnen und Widerruf

```js
gtag('consent', 'update', {
  analytics_storage: userAllowsStatistics ? 'granted' : 'denied',
  ad_storage: userAllowsMarketing ? 'granted' : 'denied',
  ad_user_data: userAllowsMarketing ? 'granted' : 'denied',
  ad_personalization: userAllowsMarketing ? 'granted' : 'denied'
});
dataLayer.push({event: 'saferpage_consent_update'});
```

### GTM Custom Template API
Platzierung: Consent Initialization Trigger oder CMP-Template

```js
// Custom Template oder CMP-Template im Google Tag Manager:
setDefaultConsentState({
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
  wait_for_update: 500
});

// Nach CMP-Auswahl:
updateConsentState({
  analytics_storage: statisticsConsent ? 'granted' : 'denied',
  ad_storage: marketingConsent ? 'granted' : 'denied',
  ad_user_data: marketingConsent ? 'granted' : 'denied',
  ad_personalization: marketingConsent ? 'granted' : 'denied'
});
```

## Validierung

- Erstaufruf ohne Interaktion: Consent Default ist gesetzt, nicht notwendige Google-/Marketing-Tags feuern nicht, keine Tracking-Cookies vor Einwilligung. Nachweis: Tag Assistant Summary, Network-Log, Cookie-Tabelle und SaferPage Consent-Audit.
- Ablehnen und Widerruf: Alle Marketing-/Analytics-Signale bleiben denied, bereits gesetzte nicht notwendige Cookies werden nicht erweitert. Nachweis: Reject-Zustand, Storage-Diff und Drittanbieter-Kontakte nach Ablehnen.
- Akzeptieren: Nur freigegebene Kategorien wechseln auf granted; GA4/Ads feuern erst nach passender Einwilligung. Nachweis: Consent update, Tag-Firing-Reihenfolge und Anbieter-/Cookie-Abgleich.
- Global Privacy Control: GPC wird mindestens als Opt-out-Signal im Datenschutz- und Tracking-Kontext ausgewertet. Nachweis: GPC-Browserlauf, Request- und Cookie-Diff.

## Links
- consent_mode_center: https://saferpage.de/consent-mode/blutspendedienst-west.de
- json: https://saferpage.de/consent-mode/blutspendedienst-west.de/export
- csv: https://saferpage.de/consent-mode/blutspendedienst-west.de/export-csv
- gtm_markdown: https://saferpage.de/consent-mode/blutspendedienst-west.de/gtm-md
- report: https://saferpage.de/blutspendedienst-west.de
- consent_center: https://saferpage.de/consent/blutspendedienst-west.de
- cmp_plan_json: https://saferpage.de/consent/blutspendedienst-west.de/cmp-plan
- cookie_center: https://saferpage.de/cookies/blutspendedienst-west.de
- vendor_center: https://saferpage.de/anbieter/blutspendedienst-west.de
- alert_center: https://saferpage.de/alarme/blutspendedienst-west.de
- guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden