Google Tag Manager: Einwilligungspflicht wegen Datenverarbeitung in den USA durch Google und weiteren Gründen

Kategorien: Datenschutz und Tracking

Der Google Tag Manager wird auf Webseiten vor allem verwendet, um andere Dienste nachzuladen. Der Datenschutz wird oft vernachlässigt, weil das Tool ohne Einwilligung verwendet wird. Die Einwilligung erscheint aber aus mehreren Gründen als Rechtsgrundlage notwendig.

Update 2025: Das Verwaltungsgericht Hannover hat entschieden, dass der Google Tag Manager erst nach Einwilligung verwendet (geladen) werden darf! Das Urteil stammt vom März 2025. Es ist unabhängig vom nachfolgend genannten Data Privacy Framework. Der Grund ist, dass der GTM Daten von Nutzern ausliest und auf Endgeräten von Nutzern abspeichert. Zitat aus dem Urteil: "…namentlich die IP-Adresse und Gerätedaten – an den US-Server www.googletagmanager.com übermittelt und ein Java-Skript namens gtm.js auf dem Endgerät des Nutzers gespeichert wird, welches die Google Tag Manager-ID der Klägerin enthält und Informationen der Nutzer ausliest. Damit werden durch den Dienst Google Tag Manager sowohl Informationen auf den Endgeräten der Nutzer gespeichert als auch ausgelesen."

Update: Wegen des Data Privacy Frameworks (DPF) ist der Transfer personenbezogener Daten aus der EU (nur) in die USA aktuell legitimiert. Nun müssen „nur“ noch alle anderen Bedingungen geprüft werden, die im Beitrag erwähnt sind, und auch das vorhin erwähnte Urteil berücksichtigt werden. Ebenso muss geprüft werden, ob alle Länder von Unterauftragsverarbeitern, die Google für den Tag Manager einsetzt, sichere Drittländer sind. Zu prüfen sind insbesondere Taiwan, Philippinen, Japan, Indien, Brasilien, Argentinien, Mexiko, UK, Schweiz, Neu-Seeland. Unabhängig erscheint mir das DPF dauerhaft nicht haltbar.

Einleitung

Der Google Tag Manager (GTM) ist ein Dienst von Google, der unter anderem andere Dienste nachladen kann. Dies geschieht mit sogenannten Tags. Ein Tag ist ein Code-Schnipsel. Ein Tag kann auch jede beliebige andere Logik enthalten, die mit JavaScript realisierbar ist. Alleine deswegen schon kann statt des GTM auch JavaScript verwendet werden. Der GTM ist also technisch nicht notwendig. Alternativen werden am Ende des Beitrags genannt.

Der Erfolg des GTM ist wohl darauf zurückzuführen, dass Google das Produkt als Marketing-Instrument platziert hat. Der GTM ist Teil der Google Marketing Platform. Vor allem Personen, die nicht programmieren können, sollen dadurch eine Arbeitserleichterung erfahren. Dass dies falsch ist, kann man durch Betrachten der zahlreichen rechtlichen Bedingungen erkennen, die Google zur Nutzung des eigenen Tag Managers stellt. Siehe folgenden Abschnitt für Belege.

Beteiligte Parteien bei Einsatz des Google Tag Managers sind insbesondere:

• Verantwortlicher: Betreiber der Webseite (oder gemäß Datenschutzhinweisen als verantwortlicher Benannter), der den Google Tag Manager einbindet
• Google: Anbieter des Google Tag Managers
• Kunde: die Stellung des Verantwortlichen gegenüber Google
• Nutzer: Besucher der Webseite des Verantwortlichen
• Administrator: Person, die den Google Tag Manager für den Verantwortlichen anpasst

Rechtliche Bedingungen

Die zahlreichen zu berücksichtigen und einzuhaltenden rechtlichen Bedingungen zum Google Tag Manager sind in einem eigenen Beitrag zusammengestellt. An dieser Stelle sollen nur Aspekte thematisiert werden, die für die Frage relevant sind, ob der GTM vor Einbindung in eine Webseite einer Einwilligung durch den Besucher der Webseite bedarf.

Übermittlung personenbezogener Daten

Beim Einbinden des Google Tag Managers in eine Webseite werden personenbezogene Daten des Besuchers der Webseite (Nutzer) zu Google übertragen. Diese Datenübertragung findet in der Verantwortlichkeit des Webseitenbetreibers statt bzw. dessen, der für die Webseite verantwortlich zeichnet. Schließlich entscheidet dieser über die Mittel (Google Tag Manager) und Zwecke (genutzter Funktionsumfang sowie Webseite). Ob eine gemeinsame Verantwortlichkeit mit Google entsteht, soll hier nicht weiter betrachtet werden.

Die personenbezogenen Daten enthalten insbesondere die Netzwerkadresse des Webseitenbesuchers. Diese Netzwerkadresse wird auch als IP-Adresse bezeichnet und gilt aufgrund von Urteilen des EuGH (Urteil vom 19.10.2016 – C-582/14) und BGH (Urteil vom 16.05.2017 – VI ZR 135/13) als personenbezogenes Datum.

Außerdem werden Verkehrsdaten des Nutzers zu Google übertragen. Diese Verkehrsdaten können verwendet werden, um Benutzerprofile zu erstellen. Dies wird als Fingerprinting bezeichnet. Unabhängig davon, ob der digitale Fingerabdruck des Nutzers von Google verwendet wird, stellt dessen unnötige Weitergabe ein Problem dar. Google behält sich das Recht vor, genau diese Auswertung vorzunehmen, wie der Datenschutzerklärung von Google zu entnehmen ist.

Google Tag Manager Nutzungsbedingungen

Um den Google Tag Manager nutzen zu können, muss ein Google Konto erstellt hierfür werden. Im Zuge dessen müssen zahlreiche rechtliche Bedingungen zur Kenntnis genommen und akzeptiert werden.

Die Bedingungen sind im Wesentlichen in den Google Tag Manager Terms of Service angegeben. Dort sind auch die Nutzungsbedingungen genannt:

Datentransfers in die USA

Der rot unterstrichene Text bezieht die Google Ads Data Processing Terms mit ein. Diese werden in Deutsch als „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ bezeichnet. Der für den Datentransfer wichtige Abschnitt dort ist Nummer 10:

Wie zu lesen ist, akzeptiert der Google-Kunde, also der Webseitenbetreiber, der den GTM einbindet und nutzt, dass die vom GTM erhobenen Daten in allen Google Rechenzentren landen können. Diese Rechenzentren sind in Punkt 10.3 genannt und schließen folgende Standorte ein:

Die Datenerhebung findet also in vielen Ländern der Welt statt, vor allem in den USA. Auch wird Google LLC als Datenimporteur bezeichnet (siehe Abschnitt 10.2 der o.g. Bedingungen). Diese Firma ist bekanntlich in den USA beheimatet.

Bereits der EuGH hatte für die USA im Schrems II-Urteil festgestellt (Urteil vom 16.07.2020 – C-311/18), dass die USA keine geeigneten Garantien bieten, um die Vorschriften der DSGVO einzuhalten. Der EuGH thematisierte hierbei insbesondere Sektion 702 des FISA (Foreign Intelligence Surveillance Act) und die EO 12333 (Executive Order 12333).

In Art. 44ff DSGVO finden sich weitere Ausführungen zu Datentransfers in Drittländer, für die kein Angemessenheitsbeschluss existiert. Ein solches Land sind die USA. Aktuell existieren laut Hessischem Datenschutzbeauftragtem Angemessenheitsbeschlüsse nur für folgende Länder:

• Andorra
• Argentinien
• Kanada
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Neuseeland
• Schweiz
• Uruguay
• Vereinigtes Königreich

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist darüber hinaus offenkundig ein der DSGVO entgegen stehendes Gesetz. Dies hatte nicht nur der Europäische Datenschutzausschuss EDPB festgestellt. Dieses amerikanische Gesetz erlaubt US-Behörden den Zugriff auf Daten von europäischer Bürgern, die auf Servern amerikanischer Firmen liegen, ohne dass ein Rechtshilfegesuch gestellt wurde. Betroffene Personen werden weder über diesen Zugriff informiert, noch haben sie (logischerweise, weil sie davon nichts mitbekommen) weitergehende Rechte, wie die DSGVO sie vorschreibt (siehe etwa Art. 15 DSGVO). Zum Zugriff auf Daten, sogar auf Server in der EU, durch amerikanische Geheimdienste, hat die Datenschutzkonferenz von Bund und Ländern (DSK) ein Gutachten erstellen lassen. Das Gutachten zeigt die maximalen Befugnisse amerikanischer Geheimdienste. Wer glaubt, Daten wären sicher, hat höchstens recht, wenn diese Daten in keinem Zusammenhang mit einer amerikanischen Organisation stehen.

Die anderen beiden Rechtsvorschriften in den USA (FISA und EO 12333) erlauben weitere Zugriffe.

Die Datenerhebung des GTM erfolgt an vielen Standorten in der ganzen Welt, also weltweit. Insofern ist es nahezu egal, ob amerikanische Gesetze den Datenzugriff nur auf Server innerhalb oder nur auf Server außerhalb der USA gestatten.

Auch ist festzustellen, dass Daten durch Google LLC (USA) verarbeitet werden. Dieses Unternehmen steht durch amerikanische Rechtsvorschriften im Zugriff amerikanischer Behörden, ohne dass die DSGVO Anwendung adäquat findet.

Nach alldem ist davon auszugehen dass alleine aus den durch Nutzung des Google Tag Managers stattfindenden Datentransfers eine Einwilligung beim Nutzer gemäß Art. 4 Nr. 11 DSGVO einzuholen ist, bevor der Google Tag Manager eingebunden wird.

Nutzung von Daten für eigene Zwecke

Zur Nutzung des GTM müssen die von Google vorgegebenen rechtlichen Bedingungen akzeptiert werden. Diese wurden oben in Auszügen angegeben. Ein weiterer Teil dieser Bedingungen verweist auf die Google Datenschutzerklärung:

Die Datenschutzerklärung wiederum beschreibt, dass Google die bei Nutzung von Google Diensten anfallenden Daten zu eigenen Zwecken nutzt. Die eigenen Zwecke sind dort unkonkret benannt:

Google beruft sich auf das berechtigte Interesse (Art. 6 Abs. 1 f DSGVO), um personenbezogene Daten zu allen möglichen Zwecken zu nutzen. Zu diesen Zwecken gehört auch Werbung. Diese Werbung wird nicht etwa auf der Webseite ausgespielt, die den Google Tag Manager nutzt, sondern anderswo. Wo die Werbung ausgespielt wird, entscheidet Google zusammen mit seinen Werbepartnern. Dies geschieht weitgehend automatisiert. Als ein Stichwort sei hier Real-Time-Bidding (RTB) genannt.

Die genauen Datenempfänger und genauen Zwecke sind nicht genannt. Dies widerspricht den Informationspflichten, die Art. 13 DSGVO auferlegt.

Nach alldem ist festzustellen, dass aufgrund der Nutzung von personenbezogenen Daten durch Google für eigene Zwecke ein rechtswirksamer Auftragsverarbeitungsvertrag zwischen dem Webseitenbetreiber und Google höchst fraglich erscheint. Art. 28 Nr. 10 DSGVO verweist darauf, dass ein solcher Auftragsverarbeiter gegen die DSGVO verstößt und auch eine Verantwortung zugeschrieben bekommt.

Somit stellt die Datenübermittlung an Google bei Einbindung des GTM auf einer Webseite sehr wahrscheinlich eine Datenverarbeitung durch einen Dritten und nicht durch einen Ersten dar. Dies wiederum bedeutet, dass nicht die mildesten Mittel verwendet wurden. Dies widerspricht dem Erforderlichkeitsgrundsatz aus Art. 6 Abs. 1 f DSGVO, dem berechtigten Interesse. Somit wäre eine Einwilligung vor Nutzung des GTM bei der betroffenen Person einzuholen, also beim Besucher der Webseite.

Nutzung von Cookies

Entgegen der landläufig häufig zu findenden Erklärung, der Google Tag Manager sei eine cookielose Domäne, verarbeitet der Google Tag Manager Cookies. Dies gilt unabhängig davon, dass der GTM keine Domäne ist, sondern ein Dienst (Tool).

Wie Google selbst sagt (siehe eben genannten Link), werden im Vorschau- und Debug-Modus des GTM Cookies genutzt, die mit dem Google Tag Manager assoziiert sind. Diese Administrator-Cookies sind technisch nicht notwendig, sobald der Administrator seine Rolle wechselt und zum Nutzer (Besucher einer ganz anderen Webseite eines ganz anderen Verantwortlichen, die den GTM einbindet) wird. Dies betrifft zwar nur eine recht kleine Gruppe von Administratoren, die den GTM einrichten und anpassen. Aufgrund der großen Verbreitung des Tools kann aber von einer fünfstelligen Anzahl in Deutschland ausgegangen werden.

Weiterhin werden Cookies, die auf dem Endgerät des Nutzers existieren und zur Domäne des Google Tag Managers passen, beim Abruf des Dienstes übertragen.

Der Zugriff auf Cookies, die technisch nicht notwendig sind, ist laut § 15 Abs. 3 TMG einwilligungspflichtig und ab Dezember 2021 laut § 25 TTDSG.

Somit ist alleine daraus eine Einwilligung einzuholen, bevor der GTM genutzt wird, alleine um das rechtliche Risiko des Besuchs eines Administrators auf einer fremden Webseite beherrschen zu können.

Einwilligungsmodus (Beta)

Der Google Einwilligungsmodus (Consent Mode) erscheint wie eine Mogelpackung. Das zeigen meine ersten Untersuchungen. An der Beurteilung des GTM selbst ändert diese Beta-Entwicklung nichts. Vielmehr zielt der neue Modus auf Tools wie Google Analytics ab, die vom GTM nachgeladen werden.

Wenn meine Untersuchung stimmt, dann wird Google Analytics im Google Einwilligungsmodus genauso wie bisher geladen und sendet genauso wie bisher Tracking Events an Google.

Der feine Unterschied ist aber, dass nur Google die Analytics-Daten erhält und sie dem Webseitenbetreiber vorenthält. Dies scheint ein ganz neuer, kreativer Ansatz von Google zu sein, doch noch an Daten zu gelangen, obwohl keine Einwilligung des Nutzers vorliegt.

Fazit

Der Google Tag Manager erscheint aus mehreren Gründen einwilligungspflichtig. Die Gründe sind aus meiner Sicht vor allem:

1. Datentransfer in die USA und somit Transfer personenbezogener Daten ohne DSGVO-Rechtsgrundlage
2. Nutzung von Daten, die durch das Einbinden des GTM erhoben werden, zu Google-eigenen Zwecken
3. Nutzung von technisch nicht notwendigen Cookies durch den GTM, etwa im Vorschau- und Debug-Modus
4. Zugriff auf das Endgerät des Nutzers und Auswertung von Nutzerinformationen. Siehe auch Urteil des VG Hannover.

Anstatt den Google Tag Manager zu nutzen, stehen folgende Alternativen zur Verfügung:

• Direktes Laden von Diensten, ganz ohne GTM.
• Nutzung von datenschutzfreundlichen Tools wie dem Untagmanager zum Nachladen von Diensten.
• Verwendung von JavaScript-Befehlen.
• Verwendung eines anderen Tag Management Systems.
• Nachladen von Diensten mit Consent Tools (aber am besten nicht die bekannten Vertreter, weil diese in der Praxis nach meiner Untersuchung allesamt Versager sind), dazu etwa Nutzung der Direktive data-src oder Verwendung eines Master-Scripts, welches die eigentlichen Dienste erst nach Einwilligung lädt.