Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Tag Manager: Ist das Tool DSGVO-konform und was muss in die Datenschutzerklärung?

1

Der Google Tag Manager kann nicht vollständig rechtssicher verwendet werden. Ein paar Grundregeln und Angaben in der Datenschutzerklärung sorgen für besseren Datenschutz.

Einleitung

Der Google Tag Manager (GTM) ist ein Tool für Webseiten, um weitere Tools nachzuladen. Dies geschieht mithilfe sogenannter Tags. Ein Tag ist nicht mehr als eine Programmlogik, also ein Code-Schnipsel, die dafür sorgt, dass etwas passiert. Meist werden einwilligungspflichtige Tools wie Google Analytics vom Tag Manager geladen. Mithilfe der Tags ist ein Laden möglich, das von Bedingungen abhängt. Beispielsweise kann man definieren, dass der GTM ein Tool erst nach 10 Sekunden lädt.

Häufig wird der GTM ohne ersichtlichen Grund eingesetzt. Er soll „nur“ Tools laden, sobald eine Einwilligung erteilt wurde. Diesen Ladevorgang nach Einwilligung kann man aber genauso gut ohne den GTM bewerkstelligen. Hierzu legt man sich einfach ein Script an, mit dem weitere Scripte geladen werden. Nur dieses Script wird dann nach Einwilligung geladen. Sofern kann der GTM komplett entfernt werden.

Problematisch wird es, wenn der Tag Manager ohne Einwilligung und ohne Funktion geladen wird. Ohne Funktion heißt, dass der GTM keine weiteren Tools lädt, sondern einfach selbst geladen wird. Aus einer Nichtfunktion ein berechtigtes Interesse abzuleiten, halte ich für ausgeschlossen. Viel Erfolg bei einer erhaltenen Abmahnung, in der ich auf jeden Fall den GTM mit aufnehmen würde und dies auch schon getan habe.

Datenschutzrechtliche Betrachtungen

Die folgenden Untersuchungen beziehen sich nur auf allgemeine Gegebenheiten. Für den Google Tag Manager sind darüber hinaus zahlreiche weitere rechtliche Bedingungen zu berücksichtigen, die Google vorgibt.

Sendet der GTM Daten?

Ja, jedes Script und jedes Tool, welches auf einer Webseite von einem Google-Server (oder einem anderen Server) eingebunden wird, bedeutet den Transfer personenbezogener Daten von der Webseite zum Anbieter des Tools. Wird der GTM geladen, wird dabei zwangsweise die IP-Adresse des Nutzers vom Besucher einer Webseite an Google übertragen. Die IP-Adresse ist bereits ein personenbezogenes Datum. Das gilt auch für dynamische IP-Adressen. Beweis: Siehe EuGH-Urteil vom 19.10.2016 – C-582/14 und BGH-Urteil vom 16.05.2017 – VI ZR 135/13.

Zunächst ist der Datentransfer der IP-Adresse an den GTM technisch notwendig. Er ist allerdings auch dann nur erlaubt, wenn entweder eine Einwilligung vorliegt oder es geeignete Garantien gibt, dass der Empfänger der Daten, also Google, diese Daten nicht für eigene Zwecke verwendet. Für letzteres ist ein Vertrag abzuschließen. Siehe weiter unten. Es sei angemerkt, dass der GTM nicht alternativlos ist. Von daher kann nicht einfach mit dem berechtigten Interesse argumentiert werden.

Verarbeitet der GTM personenbezogene Daten?

Ja, der Google Tag Manager verarbeitet personenbezogene Daten. Begründung:

  • IP-Adressen sind personenbezogene Daten
  • Beim Aufruf des GTM wird die IP-Adresse des Nutzers zu Google übertragen
  • Der Abruf des GTM stellt bereits eine Datenverarbeitungstätigkeit dar, weil dort eine Datenerhebung stattfindet. Eine Datenerhebung bedeutet laut Art. 4 Nr. 2 DSGVO automatisch eine Datenverarbeitung.

Somit entsteht aufgrund des Einsatzes des GTM bei Ihnen eine Verantwortlichkeit gemäß DSGVO. Wenn jemand behauptet, der GTM speichert keine Daten, ist dies erstens falsch und zweitens irrelevant für die Frage, ob eine Datenverarbeitung stattfindet.

Sammelt der GTM Daten? Ja, denn bereits das Erheben von Daten ist ein Sammeln oder Ansammeln von Daten. Im englischen Originaltext der DSGVO steht statt dem Begriff Datenerhebung der Begriff collection, also Sammlung.

Wo landen die Daten bei Google?

Das weiß letztendlich nur Google. Für Google Analytics gibt Google laut einer mir vorliegenden schriftlichen Stellungnahme zu, dass sämtliche Daten in den USA gehostet (gespeichert und verarbeitet) werden. Dies entspricht dem Stand von Ende April 2021.

Google gibt im AVV (s. u.) zu, dass Google „personenbezogene Daten des Kunden in jedem Land, in dem Google oder Googles Unterauftragsverarbeiter Einrichtungen unterhalten, speichern und verarbeiten kann“. Weiter unten im Abschnitt zum Auftragsverarbeitungsvertrag sehen Sie, dass dies zahlreiche Länder weltweit sind, darunter auch die USA.

Die USA sind ein unsicheres Drittland. Das liegt vor allem am Cloud Act, aber auch am US Executive Order 12333 (EO 12333) und am Titel 50 United States Code (U.S.C.) § 1881a (FISA 702). Damit wird die DSGVO in den USA ungültig, soweit es dem amerikanischen Präsidenten beliebt, eine Datenherausgabe durch ein amerikanisches Unternehmen an amerikanische Stellen zu erlassen. Die Betroffenenrechte aus Europa gelten dann ebenfalls nicht.

Dass die Daten in den USA landen können, zeigt auch eine weitere Untersuchung zum GTM. Dort sind weitere Argumente genannt, warum für den GTM eine Einwilligungspflicht anzunehmen ist.

Ist der Google Tag Manager eine cookielose Domäne?

Nein und Nein. Diese Aussage muss von jemandem kommen, der irgendwas irgendwo abgeschrieben hat und sich nicht so sehr für richtig und falsch interessiert. Fakt ist, dass der GTM keine Domäne ist. Der GTM ist ein Dienst (Tool genannt).

Fakt ist auch, dass der GTM nicht an sich cookielos ist. Mein Beweis zeigt, dass der Google Tag Manager selbst Cookies übertragen kann. Gemeint ist hier wohlgemerkt, dass der GTM Cookies übertragen kann, nicht ein vom GTM geladenes Tool und auch nicht der GTM in seiner Funktion als Tunnel.

Rahmenbedingungen

Die Nutzungsbedingungen des Google Tag Managers sind über das GTM Konto aufrufbar. Dort finden Sie die Information, dass folgende Bedingungen einzuhalten sind:

Es dürfte kaum gelingen, in diese komplexen rechtlichen Bedingungen eine hohe Rechtssicherheit zu erkennen.

Auftragsverarbeitungvertrag (AVV)

Ein AVV dient dazu, dem Auftragnehmer (Google) Pflichten zum DSGVO-konformen Umgang mit personenbezogenen Daten, die Sie liefern, aufzuerlegen. Ein AVV kann im Google Tag Manager Konto abgeschlossen werden. In Wirklichkeit handelt es sich um Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte (Stand: 04.05.2021).

Was ein Auftragsverarbeiter ist, besagt Art. 4 Nr. 8 DSGVO. Aus einem AVV entsteht eine Verantwortlichkeit für den Auftragnehmer, also für Google.

Der AVV kann im GTM Konto abgeschlossen werden. Im Zweifel müssen Sie nachweisen, dass Sie den AVV abgeschlossen hatten, bevor sich eine betroffene Person wegen eines Besuchs auf Ihrer Webseite an Sie gewandt hat.

Möglichkeit, einen AVV im Google Tag Manager Konto abzuschließen

Der GTM ist ein Produkt von Google. Wer oder was Google ist, weiß man oft nicht so genau. Ist es Google Ireland Limited, Google LLC oder sind es alle diese Einheiten zusammen? Welchen Dritten gibt Google Daten? Wenn Sie sich die Übersicht der Unterauftragsverarbeiter von Google ansehen, erkennen Sie schnell, dass Google Daten nach dem Gießkannenprinzip verteilt. Als erste Länder sind Taiwan, die Phillipinen, Japan und die USA genannt.

Im AVV definiert sich Google selbst als “Google LLC (vormalige Bezeichnung Google Inc.), Google Ireland Limited oder andere verbundene Unternehmen der Google LLC”.

Im AVV für den Tag Manager geht Google übrigens gar nicht konkret auf den Tag Manager ein. Das ist nicht verboten, erweckt aber nicht gerade besonders großes Vertrauen, zumal der AVV als solcher für Werbeprodukte gekennzeichnet ist. Ein Werbeprodukt ist etwas anderes als ein harmloser Container, der selbst angeblich gar nichts schlimmes tut.

Die Anforderungen an einen gültigen AVV enthalten die Pflicht, die Beschränkgungen für Datentransfers in Drittländer gemäß Art. 44 DSGVO einzuhalten. Hier sieht es sehr schlecht für Google aus. Genauer gesagt, sieht es erst einmal schlecht für Sie aus, wenn Sie mit Google einen AVV geschlossen haben wollen. Denn Sie sind der erste Verantwortliche für den Murks, den Google mit den Daten macht, die Sie an Google weitergeben.

Empfehlungen für den GTM

Untagmanager mit Konfigurator

Der Untagmanager ist eine datenschutzfreundliche Alternative für den Google Tag Manager. Mit einem einfachen Konfigurator können die Tools definiert werden, die vom Untagmanager nachgeladen werden sollen. Kein AVV, kein Datentransfer zu Google, kein Datenschutzproblem.

Den GTM durch JavaScript Logik ersetzen

Anstatt stumpfsinnig ein Tool oder mehrere Tools mit dem Google Tag Manager zu laden, tut es auch ein einfaches Script. Ganz ohne Datentransfer zu Google. Ganz ohne undurchsichtige rechtliche Vereinbarungen mit Google. Hierfür spricht auch Art. 25 DSGVO (“Datenschutz durch Technikgestaltung”).

Das folgende Script lädt andere Scripte, also andere Tools, dynamisch:

function loadTools() { 
 var scriptabc = document.createElement('script');
 scriptabc.src = "tool1-script.js";//Tool 1
 document.head.appendChild(scriptabc);
 scriptabc = document.createElement('script');
 scriptabc.src = "tool2-script.js";//Tool 2
 document.head.appendChild(scriptabc);
 ...
}

Anstelle der Namen tool1-script.js und tool2-script.js einfach die zu ladenden Adressen (URLs) eintragen, beispielsweise https://www.irgendeine-webseite/script-zum-ganz-tollen-einwilligungspflichtigen-tool.js

Um diese Tools nach Einwilligung zu laden, einfach die obige Funktion loadTools() aufrufen. Mit meinem kostenfreien Consent Tool geht das sehr einfach. In der mitgelieferten Demo ist ein Script eingebunden, was erst nach Einwilligung geladen wird. In jenem Script kopiert man obige Funktion rein und ruft sie dann einfach auf.

Richtlinien

Sollten Sie sich trotz der Unwägbarkeiten für den Einsatz des Google Tag Manager entscheiden, empfehle ich, folgendes zu beachten.

Der GTM sollte gar nicht verwendet werden, wenn er andere Tools einfach direkt lädt, egal ob vor oder nach Einwilligung. Jedes Tool kann selbst direkt geladen werden. Dafür braucht es den Tag Manager nicht.

Der GTM sollte keinesfalls ohne Einwilligung leer geladen werden. Dies ist rechtswidrig, außer, Sie haben einen gültigen AVV mit Google abgeschlossen. Ich bestreite, dass ein solcher AVV möglich ist, weil die Hürden für einen gültigen AVV sehr hoch sind.

Der GTM sollte generell nicht ohne Einwilligung geladen werden, außer Sie haben einen gültigen AVV mit Google.

Lesen Sie sich den AVV durch, den Sie mit Google abschließen. Lesen Sie sich die weiteren Google Vertragsdokumente durch. Wenn Sie nicht verstehen, was darin steht, ist das Ihr Problem. Verwenden Sie im Zweifel den GTM nicht. Es ist Ihr Problem, wenn Sie aufgrund des Tag Manager Einsatzes eine Abmahnung erhalten. Der GTM ist meist vermeidbar und zudem datenschutzrechtlich kritisch.

Inhalt der Datenschutzerklärung

Die Datenschutzerklärung ist bei einem gültigen AVV nicht notwendig. Ich bezweifle, dass der AVV von Google gültig ist bzw. gehe davon aus, dass er ungültig ist (siehe oben). Daher und auch um bei als gültig angenommenem AVV Rückfragen zu vermeiden, sollten Datenschutzhinweise zum Google Tag Manager gegeben werden. Auch sollten die Datenschutztexte gegeben werden, weil für den GTM meiner Ansicht nach eine Einwilligung erforderlich und somit eine Datenschutzangabe notwendig ist.

Ich empfehle allerdings, den GTM aus den oben genannten zahlreichen Gründen gar nicht einzusetzen.

Mein Mustertext für einen Datenschutzhinweis für den Google Tag Manager ist folgender:

Google Tag Manager
Wir verwenden den Dienst namens Google Tag Manager von Google. "Google" ist eine Firmengruppe und besteht aus den Firmen Google Ireland Ltd. (Anbieter des Dienstes), Gordon House, Barrow Street, Dublin 4, Irland sowie Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA sowie andere verbundene Unternehmen der Google LLC.
Wir haben einen Auftragsverarbeitungsvertrag mit Google abgeschlossen. Der Google Tag Manager ist ein Hilfsdienst und verarbeitet selbst personenbezogenen Daten nur zu technisch notwendigen Zwecken. Der Google Tag Manager sorgt für das Laden anderer Komponenten, die ihrerseits unter Umständen Daten erfassen. Der Google Tag Manager greift nicht auf diese Daten zu. 
Weitere Informationen zum Google Tag Manager finden Sie in den Datenschutzbestimmungen von Google. 
Bitte beachten Sie, dass amerikanische Behörden, etwa Geheimdienste, aufgrund amerikanischer Gesetze wie dem Cloud Act möglicherweise Zugriff auf personenbezogene Daten erhalten könnten, die beim Einbinden dieses Dienstes zwangsläufig aufgrund des Internet Protokolls (TCP) mit Google ausgetauscht werden.

Bitte beachten Sie, dass ein solcher Text all die oben genannten Probleme nicht löst. Der Text ist womöglich auch nicht absolut korrekt. Er ist nur eine Annäherung an das, was man erklären kann, ohne ein Studium sämtlicher Google Rechtsdokumente absolvieren zu müssen. Für Google-Tools gelingt eine Erklärung meines Erachtens sowieso nie völlig zutreffend.

Meiner Meinung nach ist dieser Datenschutztext zum Google Tag Manager genauer als die meisten anderen. Gründe:

  1. Als Anbieter bzw. Auftragsverarbeiter sind alle im AVV beteiligten Firmen genannt
  2. Der GTM ist nicht als cookielose Domäne bezeichnet, weil das falsch ist
  3. Der GTM verarbeitet Daten, deswegen wird dies auch so genannt
  4. Der AVV mit Google wurde explizit erwähnt. Oft fehlt diese Angabe. Natürlich muss der AVV auch tatsächlich abgeschlossen werden, wenn dies erklärt wird
  5. Der Text erwähnt die Tatsache, dass amerikanische Behörden Zugriff auf erhobene Daten haben könnten

Wer es noch genauer schreiben möchte, sollte die pseudonymisierte Datenerfassung erwähnen. Diese liegt u.a. deswegen vor, weil Google Analytics eine sogenannte Client Id pro Nutzer führt und diese im Google Analytics Dashboard exponiert.

Fazit

Vergessen Sie die Datenschutzerklärung erst einmal. Die größten Probleme mit dem Tag Manager liegen ganz irgendwo anders. Angefangen damit, dass der Tag Manager meist vermeidbar ist, geht es weiter damit, dass Daten in einem unsicheren Drittland erhoben werden und an zahlreiche, oft nicht sichere, Drittänder verteilt werden können. Der GTM kann zudem in vielen Fällen mit einem einfachen, datenschutzfreundlichen Script ersetzt werden.

Erst, wenn Sie dann immer noch meinen, unbedingt den Google Tag Manager einsetzen zu müssen und ihn datenschutzrechtlich bestmöglich eingebunden haben, fangen Sie an, über den Datenschutztext nachzudenken. Schreiben Sie diesen am besten von jemandem ab, der alle wichtigen Aspekte zum GTM berücksichtigt hat. Einen gültigen AVV können Sie im Zweifel dann sicher auch nachweisen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Guido Feuerriegel

    Hallo Klaus,
    mal wieder ein perfektes Plädoyer zur sinnvollen Vermeidungsstrategie. Es lohnt sich beim Erstellen einer Webseite immer wieder, sich vorher genau zu überlegen, ob man wirklich alle angebotenen Tools benötigt, bzw. welche Alternativen es gibt, statt immer nach Schema F vorzugehen.
    Der Datenschützer vom Ammersee

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

New Relic: Tracking auf Webseiten mit Cookies – Eine Untersuchung