Google Tag Manager DSGVO

Seit die DSGVO am 25.Mai.2018 in Kraft getreten ist, gibt es bei Unternehmen und Verantwortlichen noch immer viele Fragen zur Umsetzung. Speziell zum Google Tag Manager.

Grundsätzlich wird jedes Tool in Frage gestellt. Sei es ein Analyse Tool oder der Google Tag Manager. Um zu verstehen ob und wie der Google Tag Manager unter der DSGVO weiter genutzt werden kann, müssen wir uns anschauen, was der Google Tag Manager eigentlich ist und was nicht.

Beim Google Tag Manager im Hinblick auf die DSGVO grassieren sehr viele Mythen. Wir beantworten die häufigsten: Klar und deutlich!

Inhaltsverzeichnis

Autor | René van Loock

Digital Analyst und TÜV-Nord Zertifizierter Datenschutzbeauftragter. Seit 2018 beschäftige ich mich täglich mit dem Google Tag Manager.

  • TÜV Nord Zertifizierter Datenschutzbeauftragter
  • Marketing Data Analyst
Linkedin

*Hinweis: Ich gebe hier im ersten Abschnitt klare Antworten. Die Begründung und Einordnung erfolgt im Abschnitt: „Das wird in 2024 kritisch bleiben“

Darf der Google Tag Manager unter der DSGVO weiter genutzt werden?

Ja, der Google Tag Manager darf weiter genutzt werden.

Ist bei Nutzung des Google Tag Managers ein Cookie Banner nötig?

Nein. Wer über den Google Tag Manager zum Beispiel das Facebook Pixel feuert, der benötigt eine Einwilligung für das Facebook Pixel. Das hat mit dem Tag Manager jedoch nichts zu tun. Ob das Pixel direkt aus dem Quellcode feuert oder über den Tag Manager ist irrelevant.

Der Google Tag Manager setzt beim Nutzer keine Cookies. Der ein oder andere Mitarbeiter, der den Google Tag Manager nutzt, findet ggf. ein Cookie vom GTM in seinem Browser. Dies ist ein Cookie der den Preview-/ Debug Mode des Google Tag Managers ermöglicht. Das hat aber nichts mit euren eigentlichen Websitebesuchern zu tun.

Benötige ich eine Zustimmung des Nutzers bei Nutzung des Google Tag Managers?

Nein. Der Google Tag Manager sammelt und sendet keine Daten an dritte. Der Google Tag Manager ist technisch gesehen ein asynchroner JavaScript Tag Injector. Er lädt nach dem Einbau eine Bibliothek und den Container herunter. Erfolgt über den Google Tag Manager das Consent Management anderer Tools, kann der Tag Manager als unbedingt erforderlich angesehen werden.

Muss der Google Tag Manager in der Datenschutzerklärung erwähnt werden?

Nein. Der Google Tag Manager sendet und speichert keine Daten. Trotzdem weisen einige Unternehmen darauf hin und erklären kurz die Funktion des Google Tag Managers. Gleiches würde ich auch empfehlen.

Was muss ich bei Nutzung des Google Tag Managers beachten?

Der Vertrag zum Zusatz der Datenverarbeitung (AV Vertrag) muss mit Google abgeschlossen werden. Dies könnt Ihr erledigen im Google Tag Manager -> Verwaltung -> Kontoeinstellungen. Hier dann dem Vertrag zustimmen.

Wie du den Einsatz des Google Tag Mangers begründest?

Wie bereits oben erwähnt speichert der Google Tag Manager keine Daten. Er sendet die Daten nur von der Website zu weiteren Tools. Er bildet aus den Daten die er erfasst keine Sitzungen, keine Nutzer und setzt keine Cookies.

Bei vielen Unternehmen werden die Cookie Banner direkt über den Tag Manager geladen. Einige Consent-Management-Plattformen (CMP) empfehlen dies sogar. Der Google Tag Manager ist dann ein notwendiges Tool zur Einhaltung der DSGVO.

Darf der Cookie Banner über den Google Tag Manager gefeuert werden?

Von vielen Stellen hört man immer wieder, dass das Cookie Banner zwingend direkt auf der Webseite eingebunden werden muss. Hier kommt meist das Totschlag-Argument: „Was ist, wenn der Google Tag Manager blockiert wird?“. Naja wenn schon der Google Tag Manager blockiert wird, werden wahrscheinlich sowieso alle restlichen Tracker wie zum Beispiel Google Analytics, Matomo oder auch das Facebook Pixel blockiert. Der Nutzer hat dann vorab schon das Ruder der Cookie Steuerung übernommen.

Du möchtest klare Antworten zu Datenschutz Fragen im Online Marketing?

Online Marketing & Tracking geht nicht mehr ohne Datenschutz. Aus diesem Grund habe ich mein Wissen als Datenschutzbeauftragter (TÜV®) und Digital Analyst mit mehr als 6 Jahren Erfahrung in einen Online Kurs gepackt.

Datenschutz im Online Marketing Praxisorientiert

Grundlagen DSGVO, Cookies, Cookie Banner, CMP-Lösungen, EuGH & BGH Urteil Auswirkungen, Tracking. Aus der Praxis im Detail erklärt. 

  • 113 Seiten Skript
  • 8 Stunden On-Demand-Video
  • Google Tag Manager Vorlagen
  • Checklisten und Praxisbeispiele
  • 30-Tage Geld zurück Garantie
Mehr erfahren

Das wird in 2024 kritisch bleiben

Viele Datenschützer bemängeln grundsätzlich das Prinzip vom Herunterladen externer Ressourcen. Das trifft nicht nur den Google Tag Manager. Dabei steht unter anderem das Laden von externen Schriftarten (z.B. Google Fonts, Font Awesome) zur Debatte. Ähnliches gilt für das Laden vieler weiterer Ressourcen. Auch Plugins in WordPress könnten problematisch sein…

In diesem Bereich gab es sogar schon eine größere Abmahnwelle im Jahr 2022. Hierbei ging es um den Einsatz von Google Fonts, welcher mit dem Einsatz des Google Tag Managers gleichzusetzen ist. Technisch werden in beiden Fällen Dateien von Google Servern geladen, die in den USA stehen könnten.

Gegen diese Massenabmahnungen wurde jedoch erfolgreich geklagt, sodass sich die Abmahnwelle wieder gelegt hat. Das Risiko aufgrund des Google Tag Managers ohne Einwilligung abgemahnt zu werden, halte ich dafür weiterhin als sehr gering.

Mittlerweile mehren sich zwar „Anweisungen“ von Datenschutzbehörden (Österreich: Ist Google Analytics verboten) und Gerichtsurteilen (in erster Instanz) die genau das bemängeln. Hier hat die USA mit der Executive Order von Biden schon einen Grundstein für ein neues „Privacy Shield“ jetzt  „European Union-U.S. Data Privacy Framework.“ gelegt.

Dieses neue Privacy Shield soll Abhilfe in diesen Fällen schaffen, da dann US-Datentransfers nicht per se verboten sind.

Fazit: Das Risiko bei Nutzung des Google Tag Managers ohne Einwilligung nach der DSGVO abgemahnt zu werden ist gering und kann in Kauf genommen werden. Wer auf Nummer Sicher gehen möchte kann auch den Serverseitigen Google Tag Manager verwenden, der auf einem eigenem Server in Europa gehostet werden kann.

Fazit

Der Google Tag Manager selbst, hat nichts mit Cookies oder Tracking zu tun. Eher hilft der Google Tag Manager bei der Umsetzung der DSGVO, indem er das Aussteuern von Tracking-Technologien für Unternehmen vereinfacht.

Das Laden externer Ressourcen stellt immer ein Risiko dar. Ich selbst rechne nicht damit, dass es in den nächsten 2-3 Jahren zur Klärung dieser Fragestellung kommt. Wer den Google Tag Manager aus diesem Grund nicht nutzt, verzichtet auf ein praktisches Tool, was den Datenschutz sogar erleichtern kann.

Noch nicht klar, was der Google Tag Manager eigentlich macht?

Auf dieser Webseite findest du grundlegende Informationen zum Google Tag Manager, die dir auch dabei helfen zu verstehen, warum der Google Tag Manager in Bezug auf Datenschutz, ganz anders einzuordnen ist als z.B. Google Analytics.

Mehr:

Erhalte exklusive Analytics Tipps, die ich nur mit E-Mail Abonnenten teile.

Mit Klick auf „Jetzt exklusive Inhalte sichern“ erklären Sie sich mit dem Empfang des Newsletters mit Informationen zu Online Marketing, Datenschutz, Analytics und Angeboten sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Der Versand erfolgt mit dem US-Dienstleister MailChimp (auf Grundlage von Standardvertragsklauseln). Ausführliche Informationen erhalten Sie in unseren Datenschutzhinweisen“).

  • 1-2 mal Pro Monat. Kein Spam.
  • Zugriff auf E-Books & Tools
  • Kostenlos