Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.

Jetzt testen

sofort das Ergebnis sehen

DSGVO Website-Check
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Google Tag Manager: Betrachtung aus Datenschutzsicht

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 25. Juni 2025 · Lesezeit: 4 Minuten
2
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live

Kategorien: Datenschutz

Zur Einrichtung eines Google Tag Manager Kontos muss ein AVV abgeschlossen werden (Stand: 24.11.2020, siehe Quelle). Außerdem muss ein Zusatz zur Datenverarbeitung abgeschlossen werden (siehe Quelle): „Wenn Sie bei der Einrichtung Ihres Kontos angegeben haben, dass Sie sich im Europäischen Wirtschaftsraum (EWR) befinden, haben Sie den Zusatz zur Datenverarbeitung bereits als Teil der Nutzungsbedingungen akzeptiert“.

Die Google Tag Manager Nutzungsbedingungen besagen (Verlinkung aus dem Original entfernt):

We may collect information such as how the Service is used, and how and what tags are deployed. We may use this data to improve, maintain, protect and develop the Service as described in our privacy policy, but we will not share this data with any other Google product without Your consent.

Quelle: Google.

Diese schwammige Formulierung liefert keine gemäß DSGVO geforderte transparente Erklärung zur Datenverwendung. Weitere Beispiele finden sich nach Belieben. Google gibt immerhin zu, Daten von Dritten über die Nutzung des Tag Managers zu erheben, und zwar in erheblichem Umfang („how the service is used, and how and what tags are deployed“). Zwar gibt Google laut dieser Formulierung Daten nicht ohne Einwilligung an andere Google Produkte weiter, nutzt sie aber selbst ohne Produktbezug und gibt sie möglicherweise an Dritte weiter. Im Zweifel ist davon auszugehen, dass Google Daten, die über den Google Tag Manager erhoben wurden, selbst nutzt, und zwar für Zwecke, die nicht absolut notwendig sind (ein notwendiger Zweck wäre etwa Gefahrenabwehr). Dies steht dem o.g. AVV entgegen.

Eine Verwendung des Google Tag Managers ohne Einwilligung erscheint aus diesen Gründen rechtlich fragwürdig. Zieht man die Tatsache hinzu, dass der Tag Manager bei mehrmaligem Aufruf einer Webseite sehr wahrscheinlich mindestens einmal Daten aus einem unsicheren Drittland abruft, ist ein Einsatz ohne vorige Einwilligung nicht zu rechtfertigen, sofern keine geeigneten Garantien für dieses Drittland vorliegen. Es sei angemerkt, dass in der Praxis bei tausendfachem Abruf einer Webseite mehrere unsichere Drittländer in den Datentransfer involviert sind. Der tausendfache Abruf einer Webseite ist für die meisten Webseiten bereits innerhalb weniger Tage oder Wochen erreicht.

Zu Werbezwecken darf der Google Tag Manager laut Google Nutzungsbedingungen die folgenden Angaben, denen Google selbst einen Personenbezug zuordnet, nicht verwenden: „Online-Kennzeichnungen (einschließlich Cookie-Kennungen) und Internet-Protokoll-Adressen“.

Ein AVV zum GTM kann abgeschlossen werden, ist aber wahrscheinlich unwirksam.

Lädt der Google Tag Manager Tools nach, etwa Google Analytics, gelten für diese nachgeladenen Tools mindestens die Einwilligungserfordernisse, die für das jeweilige Tool alleinstehend gelten würden. Zu den Tags, die eine Einwilligung benötigen, zählen wegen des Personenbezugs:

  • Klassisches Tracking: Auswerten des Nutzerverhaltens zu beliebigen Marketing-Zwecken
  • A/B-Tests und Personalisierung –Third Party-Angebote und an Zielgruppensegmente gerichtete personalisierte Angebote
  • Conversion Tracking – bestimmen, ob ein Besucher eine gewünschte Aktion durchgeführt hat (Kauf, Download, Formulareingabe…).
  • Marketing Automatisierung – Zielgruppensegmentierung zur Optimierung von Marketing-Kampagnen
  • Remarketing – Zielgruppen erkennen, um Ihnen nach dem Verlassen einer Webseite Werbung anzuzeigen
  • User-Feedback – Rückmeldungen von Nutzern oder Erkennung von Nutzerverhalten.
  • Benutzerdefinierte Tags – frei definierbare Tags, die einen Personenbezug zu Nutzern herstellen könnten

In einer eigenen Untersuchung habe ich folgendes gezeigt und bewiesen:

Der Google Tag Manager ist keine cookielose Domäne wie oft behauptet wird.

Quelle: eigene Untersuchung (Dr-dsgvo.de)

Daraus folgt zusätzlich, dass der Google Tag Manager immer einer Einwilligung bedarf. Dies kann man aus §15 Abs. 3 TMG in Verbindung mit Art. 5 (3) der ePrivacy-Richtlinie für Deutschland evident ableiten. In einigen Artikeln auf dieser Webseite habe ich dies im Detail genauer erklärt.

Das Gebot der Datenminimierung aus Art. 5 DSGVO macht zusätzlich die Einwilligungspflicht noch deutlicher. Entweder wird durch den Tag Manager ohne Einwilligung nichts nachgeladen – dann muss er offenbar nicht geladen werden. Oder nach Einwilligung lädt der Tag Manager Dienste nach. Dann reicht es offenbar, wenn er selbst erst nach Einwilligung geladen wird. Oder vor Einwilligung werden Dienste, die nicht einwilligungspflichtig sind, geladen. Dann können diese Dienste auch direkt selbst geladen werden, was sogar aus Netzwerksicht noch schneller geht als über den Tag Manager.

Bekanntlich ist Google ein weltweit agierender Konzern mit Hauptsitz in den USA. Demnach alleine liegt eine Einwilligungspflicht aus Art. 44 DSGVO vor, weil ein Datentransfer in unsichere Drittländer stattfindet bzw. nicht ausgeschlossen werden kann. Der AVV zum Tag Manager besagt sogar, dass Google sich zahlreicher Unternehmen weltweit zur Datenverarbeitung bedient.

In einem eigenen Beitrag beschreibe ich Alternativen für verschiedene Google Tools.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere Lösungen an (mit und ohne KI).
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-tag-manager
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Dieser Beitrag wird in anderen Beiträgen erwähnt

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

YouTube-Videos als Datenschutzfalle auf Webseiten