gekennzeichnet. 
Viele Datenschutzhinweise zum Tag Manager enthalten grobe Fehler. Die Ursache liegt sowohl bei Google als auch bei Dienstleistern und bei Anbietern von Consent Tools.
Einleitung
Bereits vor ein paar Tagen habe ich mich mit dem Google Tag Manager (GTM) beschäftigt und einige Probleme damit thematisiert sowie eine datenschutzfreundliche Alternative für viele Anwendungsfälle aufgezeigt. Nun gibt es noch mehr zu berichten.
Der Tag Manager wird oft als cookielose Domain bezeichnet. Dass dies jeglicher Grundlage entbehrt, habe ich bereits bewiesen. Richtig ist, was hoffentlich viele mittlerweile wissen: Der Tag Manager ist keine Domäne, sondern ein Dienst, auch Tool genannt. Darum soll es hier aber nicht gehen.
Der GTM wird dazu benutzt, weitere Dienste nachzuladen und JavaScript-Logiken auszuführen. So kann beispielsweise gesteuert werden, dass ein Dienst erst nach 10 Sekunden geladen wird. Dass dies auch mit herkömmlicher JavaScript Logik ganz ohne Tag Manager möglich ist, ist eine andere Sache.
Die Datenschutzkompetenz mancher bekannter Dienstleister reicht für die Absicherung von Webseiten nicht aus.
Beweisware Feststellung, sieht diesen Artikel und weitere Untersuchungen
Erstaunlich ist, dass viele Datenschutzerklärungen und sogenannte Cookie Popups zum Tag Manager grobe Fehler enthalten. Diese Fehler haben letztendlich die Betreiber der Webseiten zu verantworten bzw. die dafür in der Datenschutzerklärung als Verantwortliche genannte. Die Anbieter von Consent Tools sind zwar nicht selten ebenso unwissend, was Datenschutzfragen angeht. Merkwürdigerweise wird diesen aber vertraut.
Welche Probleme existieren?
Einige der Probleme existieren wahrscheinlich, weil der Betreiber einer Webseite und derjenige, der den Tag Manager einrichtet, zwei verschiedene Einheiten sind. Oft sind Agenturen mit Datenschutzfragen überfordert. Nur gut, wenn der Kunde davon nichts mitbekommt. Das Dilemma fliegt deswegen noch nicht auf, weil es bisher kaum Sanktionen gegen Datensünder gibt. Sobald sich das ändert, wird das Universum der deutschen Webseiten in Teilen wie eine Supernova explodieren, vermute ich.
Kein AVV oder veralteter AVV
Der Google Tag Manager sollte nicht ohne Auftragsverarbeitungsvertrag (AVV) genutzt werden. Auch, wenn der AVV, den man mit Google abschließen kann, wahrscheinlich nicht gültig ist, sollte er im Streitfall vorgelegt werden können. Den GTM ohne AVV mit einem berechtigten Interesse zu rechtfertigen, dürfte schwierig bis unmöglich werden. Siehe auch Art. 25 DSGVO ("Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen").
Um Rückfragen und Unsicherheiten zu vermeiden, sollte der vorhandene AVV in den Datenschutzhinweisen erwähnt werden. Bei gültigem AVV müssten übrigens gar keine Datenschutzhinweis gegeben werden.
Weltweite Datenverarbeitung durch hunderte Unternehmen
Im AVV, den Google zum Tag Manager anbietet, sind als Vertragspartner folgende Unternehmen genannt: "Google LLC (vormalige Bezeichnung Google Inc.), Google Ireland Limited oder andere verbundene Unternehmen der Google LLC". Die verbundenen Unternehmen sind in einer sehr langen Liste aufgeführt. Es sind hunderte Unterauftragnehmer. Wer nicht gut in Erdkunde ist, wird auf Anhieb nicht wissen, wo all die Länder liegen, in denen Unterauftragnehmer von Google sitzen. Unter den Ländern sind auch Drittländer mit fragwürdigem Datenschutz-Niveau.
Google steht für hunderte Firmen weltweit, die Daten verarbeiten
Siehe AVV von Google und Liste der Unterauftragnehmer
Als verarbeitendes Unternehmen ist in Datenschutzerklärungen und Cookie Popups oft Google Ireland genannt. Dies ist nur ein Teil der Wahrheit. Siehe oben für meine Begründung. Als Datenempfänger ist öfters mal Alphabet Inc. genannt. Dies ist falsch, weil die wirklichen Empfänger einige Google-Unternehmen sowie deren Unterauftragnehmer sind.
Gemäß Art. 3 Abs. 2 DSGVO sind auch Auftragsverarbeiter für die Beurteilung der Rechtmäßigkeit einer Datenverarbeitung für betroffene Personen aus Europa relevant. Somit ist auch Google LLC aus den USA verantwortlich für die Datenverarbeitung im Zusammenhang mit dem Google Tag Manager. Dies sollte aus einer Datenschutzangabe zum Tag Manager hervorgehen, da die USA ein unsicheres Drittland sind.
Unterauftragnehmer ändern sich dauernd
Gemäß Art. 28 Abs. 2 DSGVO muss der Auftragsverarbeiter den Verantwortlichen informieren, sobald sich die Unterauftragnehmer ändern, insbesondere, wenn neue hinzukommen. Mir ist nicht bekannt, dass Google dies tut. Schaut man sich die Historie der Unterauftragnehmer von Google an, sieht man dort zahlreiche Änderungen, etwa nach dem 11. Januar 2021. Als Kunde von Google, der rein testweise ein Google Tag Manager Konto sein eigen nennt, bekam ich keinerlei Information von Google zu geänderten Unterauftragsverarbeitern, obwohl mir diese Information zusteht.
Der AVV wäre (auch) aus diesem Grund meiner Einschätzung nach angreifbar. Ich gehe davon aus, dass Webseitenbetreiber, die den GTM einsetzen, nachweisen können, dass sie von ihrem Auftragsverarbeiter entsprechend informiert wurden. Falls das nämlich nicht nachweisbar ist, kann die Gültigkeit des AVV bis zum Beweis des Gegenteils zumindest in Teilen bestritten werden.
Datenverwendung für eigene Zwecke
Die Nutzungsbedingungen des Google Tag Managers verweisen auf die Google Datenschutzerklärung. Dort wird unter anderem folgendes erklärt: "Wir erheben in unseren Diensten Daten zu Ihren Aktivitäten. Diese Daten verwenden wir beispielsweise, um Ihnen ein YouTube-Video zu empfehlen, das Ihnen gefallen könnte".
Somit nutzt Google die über den Tag Manager erhobenen Daten auch für eigene Zwecke. Damit ist der AVV meiner Einschätzung nach ungültig und Google wird zur Verantwortlichen für deren Datenverarbeitungen. Der Webseitenbetreiber wird hingegen zur Verantwortlichen für die Datenlieferungen an Google. Eine gemeinsame Verantwortlichkeit durch beide genannte Parteien ist zu prüfen. Unabhängig vom AVV sollte der Webseitenbetreiber über die Zwecke aufklären, zu denen Google Daten verwendet, damit nicht auch eine eingeholte Einwilligung in Zweifel gezogen werden kann.
Der Tag Manager erhält immerhin die Netzwerkadresse von Webseiten-Besuchern als personenbezogenes Datum.
Laden ohne Einwilligung trotz Nachfrage
Auf nicht wenigen Webseiten wird der GTM direkt nach dem Aufruf der Webseite geladen. Gleichzeitig wird im sogenannten Cookie Popup nach einer Einwilligung für den GTM gefragt. Das widerspricht sich und klingt für mich nach Irreführung.
Oft steht in der Einwilligungsabfrage als Rechtsgrundlage für den Tag Manager der Art. 6 Abs. 1 f, also das berechtigte Interesse. Dennoch wird eine Einwilligung abgefragt. Oder es ist umgekehrt und der GTM wird direkt geladen, als Rechtsgrundlage wird aber Art. 6 Abs. 1 a, also die Einwilligung angegeben.
Falsch zugeordnete Cookies
Immer wieder weisen Consent Tools einige Cookies zum Tag Manager aus. Meist sind dies Cookies, die Google Analytics zuzurechnen sind. Weil der Tag Manager das Analyse Tool nachlädt, kommen die Consent Management Plattformen aber durcheinander.
Natürlich haftet der Webseitenbetreiber, der ein unfähiges Consent Tool einbindet. Im besten Fall haftet der Anbieter einer solchen Einwilligungsabfrage mit. Das ist aber unwahrscheinlich. Zumindest bei Cookiebot wird absichtlich kein AVV angeboten, obwohl dieser aus Sicht des Kunden wünschenswert wäre.
Möglicherweise immer Datenverarbeitung in den USA
Möglicherweise werden die mit dem Google Tag Manager zwangsweise erhobenen IP-Adressen der Besucher von Webseiten sowie eventuell weitere Verkehrsdaten immer in den USA verarbeitet. Dies liegt jedenfalls nahe, nachdem Google selbst zugegeben hat, dass sämtliche Google Analytics Daten immer in den USA gehalten werden.
Beim Konstrukt der Google Ländergesellschaften frage nicht nur ich mich, sondern beispielsweise noyb auch, wie Google einfach so je nach Vertragspartner die Server umstellen kann. Technisch ist die möglich, sofern vor Eröffnung eines Kundenkontos der Sitz des Vertragspartners abgefragt wird. Allerdings fragt man sich dann, was passiert, wenn der Besucher einer Webseite aus einem anderen Land als der Vertragspartner von Google kommt, der die Webseite betreibt.
Bei Google Analytics sammeln gemäß Aussage von Google sogenannte Kollektoren Daten in der geographischen Nähe eines Nutzers ein und schicken diese Daten dann in die USA. Dies unterstelle ich beim Tag Manager ebenfalls, kann es aber nicht beweisen. Ich vermute stark, dass die Wahrheit hierüber sehr bald ans Licht kommen wird, weil Google zur Aussage gezwungen werden wird.
Empfehlung
Wer die Gefahren des Google Tag Managers nicht überschauen kann, sollte ihn nicht nutzen. Wer sich auf Dienstleister verlassen muss, sollte sich von diesen eine Haftungsübernahme für den Tag Manager zusichern lassen. Unabhängig davon, ob diese letztendlich relevant wird, zeigt sich dann bereits, wie ernst die Aussagen des Dienstleistern zum Tag Managers gemeint waren. Oft wird gerne beschwichtigt, weil einfach noch zu wenig passiert ist und manche die Konsequenzen von falscher Beratung erst einmal nicht fürchten.
Der Tag Manager kann auf vielen Webseiten entweder entfernt oder durch eine einfache Lösung ersetzt werden. Falls das nicht möglich ist, sollte die Datenschutzerklärung wenigstens so gut wie möglich an die Realität angenähert werden.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 