Warum Google jetzt eine zertifizierte CMP verlangt

Seit Januar 2024 setzt Google eine strikte Richtlinie durch: Jede Website, die Anzeigen für Nutzer im Europäischen Wirtschaftsraum (EWR) oder im Vereinigten Königreich ausliefert, muss die Einwilligung über eine von Google zertifizierte Consent Management Platform einholen. Dies ist keine optionale Empfehlung. Ohne Zertifizierung sehen sich Publisher mit konkreten Konsequenzen konfrontiert, die sich direkt auf Umsatz und Datenqualität auswirken.

Die Anforderung ergibt sich aus der sich weiterentwickelnden Regulierung in der EU. Der Digital Markets Act hat Google als Gatekeeper eingestuft, was Google wiederum dazu verpflichtet, nachzuweisen, dass die Einwilligungssignale, die durch seinen Ad-Stack fließen, legitim, prüfbar und konform mit dem Transparency and Consent Framework (TCF) sind. Googles Lösung war die Einführung eines Zertifizierungsprogramms, das CMPs anhand eines definierten Sets technischer und operativer Kriterien prüft.

Für Publisher bedeutet das: Die Wahl Ihrer CMP ist nicht länger nur eine Frage der Präferenz oder Bequemlichkeit. Sie ist ein entscheidender Faktor dafür, ob Ihr EWR-Werbeinventar den vollen Umsatz erzielt oder auf einen Bruchteil seines Potenzials gedrosselt wird.

Was die Google-CMP-Zertifizierung tatsächlich bedeutet

Die Zertifizierung ist kein bloßer Formalakt. Google bewertet CMPs anhand mehrerer Dimensionen, bevor der zertifizierte Status vergeben und aufrechterhalten wird:

• TCF 2.2+ Integration: Die CMP muss registriertes Mitglied des IAB Europe Transparency and Consent Framework sein, das sich derzeit in Version 2.2 befindet, während der Übergang zu TCF 2.3 läuft. Das bedeutet, dass die CMP TC Strings generiert, die nachgelagerte Anbieter auslesen können, um den Einwilligungsstatus für bestimmte Verarbeitungszwecke zu bestimmen.
• Consent Mode V2 Unterstützung: Die CMP muss die korrekten Google-Consent-Signale — ad_storage, analytics_storage, ad_user_data und ad_personalization — über die Google Consent Mode API senden. Das V2-Update hat die beiden letztgenannten Parameter hinzugefügt, die nun für jede Auslieferung von Anzeigen im EWR verpflichtend sind.
• Korrektes Standardverhalten: Bevor ein Nutzer mit dem Banner interagiert, muss die CMP Standardzustände für die Einwilligung setzen (typischerweise „verweigert“ für EWR-Nutzer). Google prüft, dass keine Tags mit erteilter Einwilligung feuern, bevor der Nutzer eine Entscheidung getroffen hat.
• Benutzeroberflächen-Standards: Das Consent-Banner muss eine echte Wahlmöglichkeit bieten. Google prüft, ob die CMP es Nutzern erlaubt, ihre Einwilligung zu akzeptieren, abzulehnen oder anzupassen, ohne irreführende Designmuster, die Nutzer in Richtung „Akzeptieren“ lenken.
• Laufende Compliance-Audits: Die Zertifizierung ist nicht dauerhaft. Google bewertet CMPs regelmäßig neu und kann die Zertifizierung entziehen, wenn Standards sinken oder wenn die CMP mit Aktualisierungen des Frameworks nicht Schritt hält.

Die aktuelle Liste zertifizierter CMPs

Google führt auf seinen Support-Seiten eine öffentliche Liste zertifizierter CMPs. Anfang 2026 verfügen rund 30 bis 40 Plattformen über eine Zertifizierung. Die Liste umfasst große Enterprise-Plattformen, Mid-Market-Tools und spezialisierte Lösungen. Zu den bekannten Namen gehören Cookiebot, OneTrust, Usercentrics, Didomi und FlexyConsent.

Die Liste ist nicht statisch. CMPs können hinzugefügt werden, sobald sie den Zertifizierungsprozess abgeschlossen haben, und sie können entfernt werden, wenn sie nicht mehr konform sind. Publisher sollten ihre CMP mindestens vierteljährlich mit der offiziellen Liste auf der Google CMP Partner Program Seite abgleichen. Wenn Ihre CMP nicht aufgeführt ist, ist Ihre Anzeigenauslieferung im EWR gefährdet – unabhängig davon, was der CMP-Anbieter über seinen Compliance-Status behauptet.

Es ist außerdem wichtig zu beachten, dass ein Eintrag in der Liste nicht bedeutet, dass alle zertifizierten CMPs qualitativ gleichwertig sind. Die Zertifizierung legt eine Compliance-Basis fest, aber Qualität der Implementierung, Anpassungsmöglichkeiten, Performance-Auswirkungen und Support unterscheiden sich erheblich zwischen den Anbietern. Publisher sollten zertifizierte CMPs nach ihren fachlichen Qualitäten über die Zertifizierung hinaus bewerten.

Was ohne eine zertifizierte CMP passiert

Die Folgen des Betriebs ohne zertifizierte CMP im EWR sind erheblich und treten unmittelbar ein:

• Eingeschränkte Anzeigenauslieferung: Google Ad Manager, AdSense und AdMob begrenzen die Anzeigen, die EWR-Nutzern angezeigt werden. In vielen Fällen bedeutet dies, dass nur nicht-personalisierte Anzeigen oder gar keine Anzeigen ausgeliefert werden, abhängig von Ihrer Konfiguration. Nicht-personalisierte Anzeigen erzielen typischerweise 50 bis 70 Prozent weniger Umsatz als personalisierte.
• Kein Conversion Modeling: Das fortgeschrittene Conversion Modeling von Google ist auf Einwilligungssignale angewiesen. Ohne korrekte Consent Mode V2 Signale verlieren Sie den Zugriff auf modellierte Conversions in Google Ads und GA4, was Lücken in Ihren Attributionsdaten erzeugt und die Kampagnenoptimierung unzuverlässig macht.
• Reduzierte programmatische Nachfrage: Viele SSPs und DSPs im Google-Ökosystem prüfen, ob gültige TC Strings vorhanden sind. Fehlen diese, werden Bid-Requests entweder herausgefiltert oder erhalten niedrigere TKPs, weil Käufer den Einwilligungsstatus nicht verifizieren können.
• Compliance-Risiko: Über die Durchsetzung durch Google hinaus setzt der Betrieb ohne ordnungsgemäße Einwilligung im EWR Sie der Gefahr von GDPR-Bußgeldern durch nationale Datenschutzbehörden aus. Diese Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen EUR betragen – je nachdem, welcher Betrag höher ist.
• Verlust von Vertrauen bei Werbetreibenden: Direktkunden und Agenturen prüfen zunehmend die Compliance von Publishern. Der Betrieb ohne zertifizierte CMP signalisiert Premium-Werbetreibenden, dass Ihr Inventar ein rechtliches Risiko darstellen könnte, was Sie direkte Deals kosten kann.

TCF 2.3 und Consent Mode V2: Die doppelte Anforderung

Ein verbreitetes Missverständnis ist, dass TCF-Compliance allein ausreicht. Das ist nicht der Fall. Google verlangt sowohl einen gültigen TC String von einer TCF-registrierten CMP als auch Consent Mode V2 Signale. Diese erfüllen im Adtech-Ökosystem unterschiedliche Aufgaben:

Der TC String übermittelt der programmatischen Werbeökonomie granulare, anbieterbezogene Einwilligungen. Er teilt jedem Anbieter in der Lieferkette genau mit, für welche Verarbeitungszwecke der Nutzer seine Einwilligung erteilt hat. Consent Mode V2 hingegen übermittelt den Einwilligungsstatus speziell an Googles eigene Tags (Analytics, Ads, Floodlight). Eine zertifizierte CMP muss beides gleichzeitig handhaben und sicherstellen, dass beide Signale synchron bleiben.

TCF 2.3, die neueste Framework-Version, führt Verfeinerungen beim Umgang mit berechtigtem Interesse und bei den Anforderungen an die Anbieteroffenlegung ein. Sie verschärft die Regeln dafür, wie Anbieter berechtigtes Interesse als Rechtsgrundlage geltend machen können, und verlangt eine klarere Offenlegung gegenüber Nutzern, welche Anbieter ihre Daten verarbeiten werden. CMPs, die eine Google-Zertifizierung anstreben oder aufrechterhalten wollen, werden erwartet, TCF 2.3 zu unterstützen, sobald es sich im Laufe des Jahres 2026 als Standard etabliert.

Wie FlexyConsent die Google-Zertifizierung erreicht hat

FlexyConsent wurde von Grund auf mit der Google-Zertifizierung als zentrales Designziel entwickelt – nicht als nachträglicher Zusatz. Die Plattform implementiert alle vier Consent Mode V2 Parameter mit korrekt standardmäßig verweigerten Zuständen für EWR-Traffic. Sie generiert standardkonforme TC Strings als registrierte IAB Europe CMP.

Wesentliche technische Entscheidungen, die die Zertifizierung unterstützt haben, umfassen:

• Script-Ladung vor allen anderen Tags: Das leichte, asynchrone Script von FlexyConsent lädt und setzt Standard-Einwilligungszustände, bevor Google Tag Manager oder gtag.js feuern können, sodass es in den kritischen Millisekunden nach dem Page Load zu keinem Einwilligungs-Leak kommt.
• Geo-bewusste Standardwerte: Die Plattform erkennt den Standort des Nutzers und wendet regionsspezifische Standardwerte für die Einwilligung an — „verweigert“ für EWR und UK, „erteilt“ für Regionen ohne ausdrückliche Einwilligungsanforderungen, sofern der Publisher nichts anderes konfiguriert.
• Transparente Speicherung der Einwilligung: Einwilligungsentscheidungen werden in First-Party-Cookies mit klaren Namenskonventionen gespeichert, sodass sie sowohl von Google im Rahmen von Zertifizierungsprüfungen als auch von Publishern bei eigenen Compliance-Checks prüfbar sind.
• Kontinuierliche Unterstützung neuer TCF-Versionen: Während sich das Framework von 2.2 zu 2.3 weiterentwickelt, aktualisiert FlexyConsent die Generierung der TC Strings automatisch, ohne dass Änderungen oder Script-Updates auf Publisher-Seite erforderlich sind.
• Minimale Performance-Auswirkungen: Das Script ist so optimiert, dass es unter typischen Verbindungen in weniger als 50 Millisekunden lädt und somit nicht zu einer Verschlechterung der Seitengeschwindigkeit beiträgt, die sich negativ auf Core Web Vitals auswirken könnte.

Was Publisher jetzt überprüfen sollten

Wenn Sie Anzeigen im EWR ausliefern, finden Sie hier eine konkrete Checkliste, um Ihre Compliance sicherzustellen:

• Prüfen Sie die zertifizierte Liste: Bestätigen Sie, dass Ihre CMP auf der offiziellen Liste der zertifizierten CMP-Partner von Google erscheint. Führen Sie diese Prüfung vierteljährlich durch, da sich die Liste ändert.
• Überprüfen Sie die Consent Mode V2 Signale: Nutzen Sie Google Tag Assistant oder die Browser-Konsole, um zu bestätigen, dass consent default- und consent update-Befehle mit allen vier Parametern (ad_storage, analytics_storage, ad_user_data, ad_personalization) ausgelöst werden.
• Testen Sie den TC String: Verwenden Sie den TC String Decoder des IAB, um zu prüfen, ob Ihre CMP gültige, auslesbare TC Strings mit korrekten Anbieter-Einwilligungen und Zweckdeklarationen generiert.
• Prüfen Sie die Reihenfolge der Tag-Auslösung: Stellen Sie sicher, dass Ihr CMP-Script vor den Google-Tags lädt. Wenn Tags feuern, bevor die Einwilligung gesetzt ist, besteht eine Compliance-Lücke, die von Googles Systemen erkannt wird.
• Überprüfen Sie die Einwilligungsraten: Wenn Ihre Einwilligungsrate im EWR verdächtig hoch ist (über 90 %), sollten Sie untersuchen, ob Ihr Banner-Design tatsächlich eine freie Wahl bietet oder Nutzer in einer Weise beeinflusst, die von Aufsichtsbehörden beanstandet werden könnte.
• Testen Sie auf allen Geräten: Vergewissern Sie sich, dass der Consent-Flow auf Mobilgeräten, Tablets und Desktops korrekt funktioniert. Probleme bei der Einwilligung auf Mobilgeräten sind häufig und bleiben oft unentdeckt, wenn nur auf dem Desktop getestet wird.

Wichtigste Erkenntnis: Die Google-CMP-Zertifizierung ist kein Marketing-Siegel – sie ist ein technisches Nadelöhr, das bestimmt, ob Ihre EWR-Werbeumsätze normal fließen oder gedrosselt werden. Überprüfen Sie den Status Ihrer CMP, testen Sie Ihre Implementierung und stellen Sie sicher, dass sowohl TCF- als auch Consent Mode V2 Signale korrekt ausgelöst werden.

FlexyConsent bietet einen kostenlosen Tarif, der die vollständige, von Google zertifizierte CMP-Funktionalität, Consent Mode V2 und TCF 2.3 Unterstützung umfasst. Für Publisher, die schnell compliant werden müssen, ist dies einer der schnellsten Wege von der Installation bis zur einwilligungskonformen Datenerhebung auf Zertifizierungsniveau.