Google Tag Manager DSGVO konform nutzen – Das sagt die Rechtslage

Google Tag Manager DSGVO konform nutzen – Wie sieht die Rechtslage aus? Dieser Artikel informiert Sie über die Funktionsweise des Google Tag Manager, die rechtliche Beziehung zur DSGVO und praktikable Cookie-Consent-Lösungen.

Google Tag Manager und Cookies – so arbeitet das Tool

Der Google Tag Manager dient als Tool der Verwaltung und Steuerung von Cookies, Conversion-Pixel oder Tracking-Codes von Programmen wie Google Analytics oder Bing Ads. Die Anwendung selbst arbeitet mit Tags und Triggern und leitet – so die häufige Annahme – die auf der Website über Cookies erhobenen Informationen direkt zur Weiterverarbeitung an die entsprechenden Tools weiter. Die Codes selbst, die auf der Website für verschiedenste Zwecke (Werbung, Tracking …) eingesetzt werden, sind nicht im Quellcode der Seite, sondern in einem speziellen Container hinterlegt.

Die Arbeit mit dem Tag-Manager ist effizient und vereinfacht das Management von Tracking und Cookies. Sogar Personen, die nur über wenig IT-Erfahrung verfügen, sind in der Lage, die erforderlichen Codes einzubinden. Dies gilt ebenfalls für die Bedienung des Tag-Managers über die einfach gestaltete und intuitive Web-Oberfläche, die ebenfalls kein Expertenwissen erfordert. Hinzu kommt, dass so gut wie alle erforderlichen Tags und Pixel in der Regel als Vorlage verfügbar sind. Profitieren können User also nicht nur bei (fast schon) obligatorischen Anwendungen wie Google Analytics, sondern auch bei Bing Ads, Google Ads oder Testing-Tools wie AB Tasty.

Ohne Tag-Manager müssten die einzelnen Code-Schnipsel mit entsprechendem Zeitaufwand in den Quellcode der Website eingefügt werden. Dafür sind jedoch entsprechende Programmierkenntnisse erforderlich, sofern die Website nach dem „Eingriff“ noch fehlerfrei funktionieren soll.

Google Tag Manager Datenschutz

Der Tag Manager sorgt durch die unkomplizierte Arbeit für die weitgehende Unabhängigkeit des Marketings von der IT. Dadurch sparen Unternehmen nicht nur Zeit, sondern können auch wertvolle IT-Ressourcen anderweitig einplanen. Genauso vorteilhaft sind die zahlreichen Templates für den Google Tag Manager. Vorlagen liefert der GTM für Programme wie Google Analytics, Google Ads Remarketing, Hotjar oder Tradedoubler, welche Sie schnell und unkompliziert hinzufügen. Im Einzelnen profitieren Sie durch folgende Benefits:

  • über die Web-Oberfläche einfach zu benutzen
  • Vorschau-Modus optimiert das Testen von Tags
  • zahlreiche Templates verfügbar
  • unterschiedlichste Tags-, Trigger- und Variablen-Vorlagen
  • integriert sich nahtlos in den Kosmos von Google

Google Tag Manager DSGVO-konform gestalten

Als problematisch gilt der Google Tag Manager spätestens seit der Annullierung des Privacy-Shield-Abkommens durch den Europäischen Gerichtshof (EuGH) im Juli 2020 („Schrems II„). Das Privacy-Shield-Abkommen sah ursprünglich vor, dass europäische Verbraucher bei Datenübermittlungen über den großen Teich auf das gleiche Datenschutzniveau vertrauen können, das sie in der EU vorfinden. Das Problem: Aufgrund der Gesetzeslage in den USA können Behörden über das staatliche Überwachungsrecht in die Daten von US-Riesen wie Microsoft, Google oder Amazon Einsicht nehmen. Für den Google Tag Manager und die damit angebundene Anwendungen bedeutet dies, dass der Datentransfer theoretisch über einen allenfalls sehr engen rechtlich-technischen Korridor umgesetzt werden kann. In der Praxis jedoch: Rechtskonform durchsetzen lassen sich nach Schrems II Anwendungen wie Google Analytics & Co nicht.

Gilt das dann auch für den Google Tag Manager? Prinzipiell heißt es, der Google Tag Manager selbst setze keine Cookies und verwalte Cookies etwa von AdSense oder Google Analytics nur in einem Container. Problematisch ist hierbei aus Perspektive der DSGVO der Zusatz zur Datenverarbeitung (12. April 2021): 

„Wenn Sie bei der Einrichtung Ihres Kontos angegeben haben, dass Sie sich im Europäischen Wirtschaftsraum (EWR) befinden, haben Sie den Zusatz zur Datenverarbeitung bereits als Teil der Nutzungsbedingungen akzeptiert.“

Google Tag Manager Zusatz zur Datenverarbeitung

Gefordert wird durch die Datenschutzverordnung aber Transparenz, nebulös und vage bleiben indes die Hinweise zur Datenverarbeitung des Suchmaschinenriesen:

„Our use of Google Tag Manager data
We may collect information such as how the Service is used, and how and what tags are deployed. We may use this data to improve, maintain, protect and develop the Service as described in our privacy policy, but we will not share this data with any other Google product without Your consent.“

Google Datenschutz

Zwar behauptet Google hier, keine Daten ohne Einwilligung mit anderen Google-Diensten zu verknüpfen; doch schließt das eine Weitergabe an Dritte keinesfalls aus. Unklar ist auch, ob die Datenerhebung absolut erforderlich ist oder über bloße (technische) Notwendigkeiten hinausgeht.

Aufgrund dieser Unwägbarkeiten sollte der Google Tag Manager nie ohne Einwilligung des Users ausgeführt werden. Dies umso mehr, da allem Anschein nach der Google Tag Manager als Steuerungs- und Verwaltungstool selbst Cookies setzt, auch wenn gängige Verlautbarungen in eine andere Richtung gehen. So wird behauptet, dass GTM lediglich Daten von einer Website zu den entsprechend angebundenen Tools sendet. 

Nach dieser Lesart findet die Verwaltung von Cookies, sprich: das Setzen, Ändern und Löschen, erst in Anwendungen wie Google Analytics statt. Dies erlaubt es ja gerade, den GTM mit Cookie Consent Managern Hand in Hand arbeiten zu lassen. Wo Tags und Trigger von vornherein vom Website-Besucher blockiert werden können, werden auch keine nicht-notwendigen Cookies mehr gesetzt. Der Vorteil einer zentralen Steuerung wichtiger Marketing-Tools ist aber dahin, da keine der Anwendungen überhaupt noch Daten erheben darf.

In diesem Zusammenhang wird aber in Blogs darauf hingewiesen, dass auch schon beim Laden des Google-Tag-Managers Daten (IP, Browserinformationen, Sprache, …) und ggf. Cookies transferiert werden, bevor Google Analytics und Co. ausgespielt werden. Mit Blick auf Schrems II ist dieser Sachverhalt bedenklich, da Daten über den Großen Teich in die USA gelangen, ein Staat also, der nach Schrems II aufgrund zahlreicher Datenskandale als „unsicheres Drittland“ gilt. Problematisch ist zudem die Erklärungsbedürftigkeit aller verwendeten Tools einschließlich des GTM entsprechend Artikel 13 DSGVO, da eine Erläuterung dieser Tools wenigstens in der Datenschutzerklärung erfolgen müsste.

Bleiben Sie auf dem Laufenden!

Newsletter abonnieren

Google Tag Manager und die Opt-in-Funktion

Als DSGVO-kompatibler erweist sich der Google Tag Manager in Sachen Opt-in. Der Hintergrund: Seit dem EuGH-Urteil zum Cookie Consent vom 01.10.2019 müssen User der Verwendung von Cookies aktiv zustimmen und die entsprechenden Check-Boxen selbst anklicken oder eben nicht. Um zu verhindern, dass ohne aktive Zustimmung Cookies gesetzt werden, richten Sie über den Google Tag Manager das Opt-in ein. Dadurch ist im Google Tag Manager Datenschutz gegeben.

Um im Google Tag Manager Opt-in einzurichten, erstellen Sie eine Variable, einen Trigger sowie den TAG. Legen Sie den Trigger fest und blockieren Sie nach dem Setzen des Cookies Analytics. Abschließend implementieren Sie einen vorgegebenen HTML-Link auf der Impressums- oder Datenschutzseite der Website. Verhindert das CMS das Implementieren des Links, ist ein Onload-Event erforderlich, indem Sie den Code des Tags ändern und den Trigger entsprechend anpassen.

Die Opt-in-Funktion über den Google Tag Manager einzurichten, ist aufgrund der im Netz verfügbaren gut verständlichen Anweisungen verhältnismäßig unkompliziert und erfordert nicht unbedingt tiefergehende IT-Kenntnisse.

Google Tag Manager – DSGVO und Cookie Consent Tools

Nur wenn man von den Problemfeldern DSGVO und Schrems II absieht, kann man noch den prinzipiellen Komfort des Google Tag Managers als Vorteil anführen. Dieser ergibt sich aus der einfachen und unkomplizierten Integration von Cookie-Consent-Lösungen in die Google-Anwendung. Das Cookie-Consent-Banner dient dabei als Mittler zwischen den im GTM definierten Opt-in-Optionen und dem Website-Besucher, dem die freie Entscheidung obliegen soll, Cookies bzw. einer Auswahl davon zuzustimmen oder alle Cookies abzulehnen.

Entsprechend ergibt sich aus den Verordnungen zum Datenschutz eine Aufgabenteilung und Zusammenarbeit zwischen Cookie-Consent-Lösungen und dem Google Tag Manager. Für die Voreinstellungen des Opt-in reicht der Google Tag Manager. Um den Google Tag Manager DSGVO konform zu gestalten, sind wiederum Cookie-Consent-Lösungen unverzichtbar, da sie dem Seitenbesucher ein Auswahlfenster für die Einwilligung oder Ablehnung der Cookies einblenden. Solange der Nutzer seine Zustimmung nicht gibt, hält der Google Tag Manager die Blockade der zu setzenden Cookies aufrecht. Erst wenn der Seitenbesucher den Cookies aktiv zugestimmt hat, werden die entsprechenden Cookies auf dem Endgerät des Nutzers hinterlegt.

Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste

Checkliste herunterladen

Cookie-Consent-Lösungen für Sicherheit und Komfort

Der Markt bietet eine Vielzahl verschiedener Lösungen, um die Einhaltung der DSGVO sowie der ePrivacy-Richtlinien in Bezug auf Cookies und Tracking zu gewährleisten. So gibt es Lösungen, die grundsätzlich alle Cookies und Tracker blockieren und diese erst freigeben, sobald der Seitenbesucher zustimmt. In diesem Fall wäre es theoretisch nicht erforderlich, im Google Tag Manager den Opt-in einzurichten.

Andere Lösungen aus dem Cookie-Consent-Management bieten umfangreiche Leistungen, indem sie alle Google-Dienste unter der Website-Oberfläche vernetzt ausführen und für den Seitenbesucher das Auswahlfenster generieren. So unterstützen Sie Cookie-Consent-Lösungen dabei, den Google Tag Manager DSGVO gerecht zu gestalten. Gerade aufgrund der aktuellen Gesetzeslage verwandelt sich der vermeintliche Komfort des Google Tag Managers aber in vermintes Terrain. Als Ausweg böte sich dann nur ein unkomfortablerer Weg an: Warum nicht einen Tag-Manager verwenden, der lokal auf dem eigenen Server läuft, statt einen externen zu verwenden?

Für jeden Webseitenbetreiber die individuell angepasste Lösung

Als Consent-Banner wird das Auswahlfenster bezeichnet, das eine Cookie-Consent-Lösung dem Seitenbesucher präsentiert, um das Speichern von Cookies zu erlauben oder abzulehnen. Diese Fenster sind unterschiedlich nutzerfreundlich gestaltet, passen sich oft an das Layout der Website an und interagieren mit dem Google Tag Manager, um die DSGVO Vorgaben zu gewährleisten. Denn der Tag Manager hebt das Opt-in erst dann auf, wenn der Seitenbesucher die Zustimmung zur Hinterlegung der Cookies gibt.

Der Markt bietet eine große Auswahl leistungsfähiger Cookie-Consent-Lösungen, die auch als Consent Management Provider (CMP) bezeichnet werden. Zum Teil können Sie die Lösungen optimal auf die Anforderungen Ihres Unternehmens oder Ihrer Website abstimmen. Dazu zählt die Integration bestehender Analyse-Tools, die individuelle Gestaltung des Opt-in-Fensters oder die Voreinstellung der Cookie-Auswahl für den Seitenbesucher.

Als Unternehmen haben Sie die Wahl zwischen kostenlosen und kostenpflichtigen Lösungen. Wobei sich vor allem kleinere Unternehmen im ersten Schritt häufig für kostenlose Lösungen entscheiden. Achten Sie jedoch unbedingt darauf, dass das ausgewählte CMP zuverlässig den Anforderungen der DSGVO entspricht.

Nicht sicher ob Sie ein CMP brauchen?


Vorgaben der DSGVO an Consent Management Provider

Nicht nur für den Google Tag Manager ist die DSGVO ein Thema, sondern auch für die Anforderungen zur inhaltlichen Gestaltung eines Consent-Banners. Diese Punkte wurden zusätzlich durch ein Gerichtsurteil des EuGH bestätigt und sind dadurch verbindlich.

  • Empfänger der Daten müssen übersichtlich dargestellt werden
  • übersichtliche Darstellung der Tätigkeit der Datenverarbeitung , Marketing, Analyse usw.
  • Der Seitenbesucher muss jede Klassifizierung einzeln ab- oder auswählen können
  • keine Vorauswahl von Empfängern und Tätigkeiten
  • bis zur Zustimmung des Nutzers müssen alle Cookies geblockt sein

Weitere wichtige Punkte, die eine leistungsfähige Consent-Lösung erfüllen muss und die Sie vor der Entscheidung für ein Produkt beim Anbieter auf jeden Fall im Blick haben sollten:

  • Ort der Speicherung des Consents – lokal auf dem Nutzer-Endgerät oder in Datenbank (wichtig für die Auskunftsfähigkeit des Seitenbetreibers)
  • Welche Möglichkeiten gibt es für den Nutzer, Einwilligungen zu widerrufen oder den Status des eigenen Consents zu prüfen?
  • Länge der Laufzeit der Cookies
  • Gibt es detaillierte Informationen zur Verarbeitung der Daten?
  • Ist der Zweck eines Cookies eindeutig erkenntlich?

Unabhängig davon, ob Sie ein kostenpflichtiges oder kostenfreies Tool nutzen: Entscheiden Sie sich ausschließlich für die Cookie-Consent-Lösung eines Consent Management Providers, der diese Anforderungen erfüllt.

Fazit

Natürlich: Der Google Tag Manager vereinfacht die Einbindung gängiger Tools gerade für Marketingzwecke signifikant. Trotzdem erweist sich die Einbindung spätestens mit dem als Schrems II genannten EuGH-Urteil vom Juli 2020 als problematisch. Daten gelangen durch die Verwendung des GTM (und anderer angeschlossener Tools) in die USA und bieten somit Angriffsflächen für Klagen und Bußgelder. Auch aus der Perspektive der DSGVO arbeitet der Google Tag Manager aufgrund unscharfer Ausführungen zum Thema Datenverarbeitung alles andere als DSGVO-konform. Eine rechtlich einwandfreie Einbindung des GTM ist daher fast nicht möglich. Als einzige Perspektive bleibt gegenwärtig nur, diesen vorsichtshalber nur nach Zustimmung über einen Cookie Consent Provider wie consentmanager laden zu lassen. Auf der sicheren Seite befindet man sich dadurch aber noch lange nicht.

CMP

Nicht sicher ob Sie ein CMP brauchen?

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden!

In Kontakt treten