Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Bullshit Basics: Google Tag Manager er ikke en cookiefri domæne: et bevis

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel som PDF
📄 Artikel som PDF (kun for abonnenter på nyhedsbrevet)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

I mange persondatopolicyer påstås det, at Google Tag Manager er en cookiefri domæne. Andre foreslår, at der ikke kræves samtykke til brugen af tag manageren. Begge påstande er usigeligt. Så meget som selv Google leverer argumenter mod ovennævnte påstande.

Der Google Tag Manager er et værktøj, med hvilket udsmykningen af andre værktøjer kan styres. I stedet for at tale om udsmykning kunne man også tale om genladning af andre værktøjer. Ofte bruges forkortelsen [GTM] til den [Google Tag Manager].

Er Google Tag Manager en cookiefri domæne?

Google Tag Manager er ikke en domæne. Hvis det var en domæne, ville det ikke være cookiefrit. Det er rigtigt, at cookies kan sættes og læses fra domænet googletagmanager.com.

Google's Tag Manager indsættes via et Skript og en variant til systemer med deaktiveret JavaScript. Ofte kan man finde en kode som denne:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Script-delen er logikken til at hente scriptet gtm.js fra Tag Manager. Her bliver nogle parametre sat. Under følger i en IFRAME-tag en logik til at aktivere Tag Manager, hvis JavaScript er deaktiveret på brugerens browser.

Alternativ til daglig administrator
Samtykningspligt for GTM
Juridiske vilkår til GTM

Inden for, at misforståelserne bliver opklaret, her det allerførste misforståelse. Mange mener, at Google får ikke personlige data via GTM, men det er forkert. Rigtig er: For Google er din og min IP-adresse potentielt altid personbeholden. Derfor modtager GTM altid din og min IP-adresse, når vi besøger hjemmesider, der har indsat GTM. Desværre er Googles forklaring så formuleret, at de næsten siger, at de selv bruger dataene til egne formål. Således ville GTM være enighedspflichtigt alene på grund af det.

Fælles misforståelser om daglig leder

Som at ses, bliver Tag Manager fra domænet googletagmanager.com lastet ind. En domæne kan teoretisk set være cookieløs. Et værktøj at betegne som en domæne er i sig selv forkert.

En domæne at betegne som Kokiemindstilte er en meget modig påstand. Denne påstand kan kun være rigtig, hvis man forstår den velvilende. En domæne i sig selv er ikke administrator af cookies. I stedet er alle websteder på denne domæne og eksterne filer fra tredjeparter, der er lastet på denne domæne, mulige administrators af cookies. Den, som søger at beskrive alle disse websteder og filer på en domæne, må være meget godt informeret.

En domæne kan selv ikke håndtere cookies. Det kan kun gøres af filer, der findes på denne domæne. Hvis man ser bort fra mulige konfigurationer på webserver-niveau, kan kun filer, der udfører programlogik, håndtere cookies. Under håndtering forstås her at oprette, læse ud, ændre og slette cookies.

Google Tag Manager er ikke en cookiefri domæne. For at sige det rigtigt:

Fra domænet googletagmanager.com bliver cookies lastet!

Undersøgelse af Googles Tag Manager på hjemmesider, der bruger dette (kilde: dr-dsgvo.de), samt udtalelse fra Google (juli 2021).

Google Tag Manager laster direkte cookies

Yes, det er rigtigt, hvad du har læst. Tro ikke på, hvad andre siger! Denne afsnit viser, hvorfor cookies bliver lastet, når der er indføjet Google Tag Manager på en hjemmeside.

Cookies eksisterer hverken indenfor en domæne (afhængigt af konfiguration også i underdomæner). Dermed skal der først være et kik tilbage i domænet googletagmanager.com eller oprettet af Google Tag Manager.

Det er således tilstrækkeligt, hvis der kun findes en hjemmeside i hele verden i domænet eller en underdomæne, hvor det drejer sig om, og et cookie sættes. Vi taler her kun om faste cookies, altså vedholdende cookies. session cookies er mere uskyldige (kan dog stadigvæk under visse forhold give problemer).

Her er beviset for, at når man integrerer Googles Tag Manager cookies bliver lastet:

Bevis for, at der ved at laste Google Tag Manager overføres et cookie.

Det video viser, hvordan den "Bareæble" Tag Manager bliver loaded, altså uden at yderligere værktøjer fra Tag Manager bliver loaded (som ellers kunne være ansvarlige for efterfølgende databehandling). Alligevel bliver der ved hentningen af Tag Manager et cookie overført. Fordi det cookie allerede er med til at load GTM, er det faktisk uvidenskabeligt, om GTM loader yderligere værktøjer eller ej, fordi det cookie var jo allerede ved hentningen af GTM der!

Vedkendt fand alle dette i videoklippet uden samtykke sted. Der er ikke engang en samtykningsfråge på den viste hjemmeside. Den viste hjemmeside blev valgt tilfældigt. Der er mange andre hjemmesider, der bruger Tag Manager, hvor dette samme adfærde kan ses.

Til reproduktion af det i videoklippet viste opførsel er følgende at gøre i Mozilla Firefox:

  1. Kalde på en hjemmeside, som kører på domænet googletagmanager.com eller en underdomæne af det og opretter et cookie
  2. For at følge nettetrafikken i browseren, tryk på tasten F12 for at åbne udviklerkonsollen. Derfra klikke på menuen Netzwerkanalyse.
  3. Kald på en hjemmeside, der bruger Google Tag Manager.
  4. Klik på en netværksanmodning, der laster op Google Tag Manager, så søger man efter indgange med googletagmanager.com.
  5. Klik på Cookies-folderen til højre i konsolen. Der vises cookies, der blev overført ved lastning af Tag Manager.

Google Tag Manager sætter direkte cookies

Jeg henviser her til en officielt udtalelse fra Google fra slutningen af juli 2021. Google siger selv, at der over det såkaldte Preview and Debug Mode i Tag Manageren sættes cookies.

Brugt nu en administrator Forbipudsmodus, kan så efter Google tre Tag Manager-Cookies, der er forbundet med googletagmanager.com, nå frem til enheden. Besøger administrator senere hvilken som helst hjemmeside, der indlægger Tag Manager, bliver Vorschaumodus-Cookies overført til Google.

Google bekræfter selv, at i visse tilfælde bruges cookies af Google Tag Manager, der er forbundet med googletagmanager.com.

Dette skriver jeg fra Google i juli 2021.

Det gælder ikke for alle besøgende af en hjemmeside, men kun for Tag Managers' administratoren, der bruger visnings- og fejlfindingemoden. Men det gør det endnu vanskeligere, at med de nævnte cookies er et konkret, præcis træk på personen muligt. Fordi de nævnte cookies indeholder oplysninger, som kan føre til en Google-konto, og dette konto igen tillader præcise træk på en enkelt person.

Google Tag Managers tags kan sætte cookies

Hvis man tager det nøjere i betragtning, og det gør advokater gerne, når de kritiserer persondatapolitikken, så er følgende også relevant for spørgsmålet om Google Tag Manager er en cookiefri domæne.

Med en Custom Html Tag, altså en selvskabt tag, kan Tag Manageren sættes i stand til at sætte cookies. Her et eksempel:

Kilde: https://www.analyticsmania.com/post/cookies-with-google-tag-manager/.

I den angivne kilde finder du yderligere beskrivelser til dette emne. Tag Manager kan selv sætte cookies.

Det skal bemærkes, at med den viste kode bliver et cookie oprettet på domænet for den hjemmeside, der er besøgt i øjeblikket. Alligevel kan det allerede hermed vises, at Tag Manager ikke er en cookieløs domæne, da Tag Manager er en tjeneste og denne er ikke cookieløs, som flere gange har været vist her.

Fælles fejl til tag manager

På mange hjemmesider bruges Google Tag Manager, men i Datatilsynsbehandling nævnes det ikke engang. Ofte bliver han nævnt i et samtykningsvindue, selv om han ifølge sig selv ikke bruger cookies. Denne nævnelse ville være af sig selv ikke skidt, men snarere velkommen. Men sådan som sogenkaldte Consent Management Plattforme fokuserer på cookies, er det i virkeligheden forkert.

Når et værktøj anvendes, skal det ifølge artikel 13 GDPR forklaret blive. Det skal i hvert fald ske i den personlige datapolitik. Hvis der foretages en cookie-undersøgelse, som egentlig skulle hedde samtykningsundersøgelse, skulle forklaringen af værktøjet også finde sted her, i det mindste på tilstrækkelig vis. Den samlede forklaring kan så ske i de personlige datapolitikkevisninger.

Et værktøj kan ikke forklaret blive, er i sig selv forkert, bortset fra hvis det drejer sig om en teknisk nødvendig tjeneste, hvor der ikke er flere regler til at følge (hvad der skal vurderes hver gang). Det er også forkert, som leverandør af et værktøj at bruge begrebet "Google". Hvad betyder "Google" da? Hvilken fuldstændige adresse har "Google" og hvad er rechtsformen for "Google"?

Ikke sjældent spørger websteder efter en samtykke til bestemte værktøjer. Alligevel finder der allerede før, at give afkald på en lasteprocessen sted, hvor Google Tag Manager kan være involveret.

Da Tag Manager laster andre værktøjer, kommer mange Consent værktøjer i konflikt med hinanden. Endnu en grund til at ikke bruge dem! Hvis Tag Manager for eksempel laster Google Analytics, bliver der via den af Tag Manager åbne datakanal cookies fra Google Analytics sat.

Her et eksempel på en samtykningsfråga fra praksis fra hjemmesiden af et kendt tysk firma:

Falske oplysninger om indsamlede data i forbindelse med Google Tag Manager (billedet blev automatisk oversat).

I dette lille billede findes flere åbenlyse fejl:

  1. Cookies _ga og _gat tildeles Tag Manageren, selv om de tilhører Google Analytics. Persondatopsikken modsiger denne påstand: „Tjenesten Google Tag Manager selv (der implementerer tags) er en cookie-løs domæne og indsamler ikke persondata.“ Som man kan se, ligger her mindst én grov falsk påstand.
  2. Som leverandør kaldes "Google Tag Manager". Enhver, der kender bestemmelserne i Telemediengesetzen til leverandøroplysninger vil indrømme, at her ikke er en retskonform leverandøroplysning (heller ikke uden for TMG).
  3. Terminen "afvikling" lyder mere efter en vaskpult. Den er ikke almindeligt forståelig.
  4. Angivelsen "Type: HTTP Cookie" er ikke forståelig for alle.
  5. Cookieens formål beskrevet som "grober Unfug und allgemein unverständlich".

Hvis man yderligere undersøger consent popup, hjemmesiden og persondatapolitikken, ville man sandsynligvis finde mindst dobbelt så mange fejl. Hvorfor jeg tror på det kan læses i min undersøgelse Cookiegeddon – alle (?) Consent værktøjs mislykkede forsøg.

Manglende retlig interesse

Selvfølgelig siger jeg, at der ikke er et berettiget interesse til at laste Google Tag Manager uden samtykke. Grunde:

  1. Når GTM bliver lastet ind for at hente flere, samtykningspligtige værktøjer, skal der i hvert fald være en samtykke. Derved kan GTM blive lastet ind efter, at brugeren har givet sin samtykke.
  2. At skulle GTM alene til at laste, uden at dette andre tjenester laster, har ingen funktionel nytteværdi.
  3. Selvøjelig kan hverken hvilket som helst værktøj også uden den GTM lastes op. Dertil er blot en JavaScript-logik nødvendig, der ikke må være mere kompleks end logikken, der er indsat i GTM.

Den der synes, han skulle kunne påvise, at det ville være mindre arbejde at styre en ladeprocess med GTM til andre tjenester end uden, har måske ret. Når man søger efter en ordentlig parkeringsplads som bilist, er det dog mere besvær at gøre det forkert end at gøre det rigtigt. Alligevel må ingen ad hoc gøre det forkerte, selv om det er mindre besvær.

Jeg påstår dog, og kan bekræfte det ved hjælp af programmering, hvis nødvendigt, at brugen af Google Tag Manager ofte er mere arbejdskrævende end blot at programmere ønsket adførelse direkte gennem JavaScript-instruktioner. Selv (eller især) drift af et Consent Tool sammen med Google Tag Manager er uden Tag Manager lettere muligt. Man tænker bare på data-src-direktivet.

Den, der regner med den tilføjende arbejde, som det koster at skrive en ordentlig persondataerklæring til Tag Manager og at finde ud af, hvem leverandøren af tjenesten er og hvad leverandøren gør med de modtagne data? Tilføjet kommer også arbejdet for at besvare påklag fra berørte personer, som mennesker som mig stille, fordi vi tror, at mange ikke tager persondataet alvorligt. En halvvejs usårbar persondataerklæring til Tag Manager finder man i hvert fald sjældent. Det at tage hensyn til de mange juridiske betingelser til GTM fører også til en større arbejde, som næsten ikke kan håndteres. En fremtidig artikel af mig vil belyste dette aspekt.

Konklusion

Denne artikel blev skrevet af mig for at bekræfte på, at GTM ikke er en cookiefri domæne flere gange. Som vist kan der overdrages cookies ved at laste Tag Manager. Hvis dette sker, er Tag Manager underlagt en samtykningspligt, før den må lastes. Dette følger af §15 Abs. 3 TMG og Art. 5 Abs. af ePrivacy-richtlinien. En mere detaljeret udvikling finder du på min hjemmeside i flere andre artikler.

Det rette interesse kan udelukkes, fordi indsættelsen af Tag Managers uden at genindlade værktøjer tydeligvis er overflødigt og værktøjer, der ikke kræver samtykke, kan også indlades uden Tag Manager. GTM kræver imodover en meget betydelig indsats, hvis de retlige vilkår fra Google og andre bindende persondataforskrifter skal overholdes.

Før man kan bruge Google Tag Manager, skal der indhentes en samtykke fra besøgende på hjemmesiden

Grund til at være enige: se artiklen

Der kan også tale om en samtykningspligt, hvis IP-adresser overføres til "Google" som persondata. "Google" er et begreb, der beskriver en global virksomhed med hovedsæde i USA. USA er et usikkert tredje land (se Privacy Shield dom). Udtales fra firmaet Google til Google Analytics tyder på, at brug af Google Tag Manager altid følger med en dataindsamling i USA.

Opdatering: Ved brug af Google Tag Managers bliver det firma Google LLC, der er ansvarlig for databehandling. Dette fremgår af de „aftale om behandling af personoplysninger til Google's reklameprodukter“ (se https://privacy.google.com/businesses/processorterms/), som gælder for Google Tag Manager (se brugerbetingelserne for Google Tag Manager under https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, der skal accepteres ved oprettelse af et GTM-konto). Dermed findes en juridisk adgang fra USA.

Der samtybestandskrav for Google Tag Manager kan man udlede på grund af forskellige årsager. I den tilhørende artikel går jeg også ind i overførelsen af data via Google LLC samt overførelsen af data til USA på grund af brugsbetingelserne for Google.

En gyldig DPA med Google kan ifølge min vurdering ikke afsluttes , også fordi Google bruger hundreder af underleverandører fra hele verden med usikker niveau af persondatabeskyttelse (se https://privacy.google.com/businesses/subprocessors/). Denne adresse bliver henviset til i de ovenstående DPA-betingelser. Desuden siger den for GTM gyldige persondataafklaring, at Google bruger opdaterede data til egne (teknisk ikke nødvendige) formål, hvilket går imod en DPA. ([1])

Følgende artikler:

Yderligere oplysninger og en diskussion om Google Tag Manager i privacy Deluxe Podcast:

Podkast: Google Tag Manager
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Serverens placering og dens relevans for GDPR