Bullshit Basics: De Google Tag Manager is geen cookievrije domein: een bewijs

In veel privacyverklaringen wordt beweerd dat de Google Tag Manager een cookievrije domein is. Anderen suggereren dat voor het gebruik van de Tag Manager geen toestemming nodig is. Beide beweringen zijn onhoudbaar. Zelfs Google zelf levert argumenten tegen de genoemde bewering.

De Google Tag Manager is een tool waarmee het laden van andere tools gestuurd kan worden. In plaats van laden zou men ook kunnen spreken over herladen van andere tools. Vaak wordt de afkorting GTM gebruikt voor de Google Tag Manager.

De Tag Manager van Google wordt ingeschakeld via een Schrijfcode en een variant voor systemen met uitgeschakelde JavaScript. Vaak is er een code te vinden als deze:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

De script-tak is de logica om het Tag Manager-script genaamd gtm.js te laden. Hierbij worden enkele parameters ingesteld. Daaronder volgt in een IFRAME-tag een logica om het Tag Manager te activeren, wanneer JavaScript in het browsertje van de gebruiker uitgeschakeld is.

Voordat de misverstanden worden zijn uitgeklaard, hier het aller eerste misverstand. Velen menen dat Google via GTM geen persoonsgebonden gegevens ontvangt. Dat is onjuist. Richtig is: Voor Google is uw en mijn IP-adres potentieel altijd persoonsgebonden. De GTM ontvangt altijd uw en mijn IP-adres wanneer we websites bezoeken die de GTM inbinden. Helaas zijn de uitleg van Google zo geformuleerd dat Google bijna toegeeft dat Google ontvangen gegevens voor eigen doeleinden gebruikt. Daarmee zou de GTM al alleen al om die reden verplicht zijn tot toestemming.

Veelvoorkomende misverstanden over de Tag Manager

Zoals te zien is, wordt de Tag Manager van de domein googletagmanager.com geladen. Een domein kan theoretisch cookie-loos zijn. Een tool als domein te noemen, is in zichzelf fout.

Een domein als Cookies wissen te noemen, is een zeer riskante uitspraak. Deze uitspraak kan alleen juist zijn, als men hem welwillend begrijpt. Een domein op zichzelf is geen beheerder van cookies. Integendeel, alle websites die op deze domein staan en externe bestanden die door derde websites worden geladen, kunnen mogelijk beheerders van cookies zijn. Wie zich waagt om al deze websites en bestanden te kennen, moet zeer goed op de hoogte zijn.

Een domaing kan zelf geen cookies beheren. Dat kan alleen de bestanden die zich op deze domaing bevinden. Als we eventuele configuraties buiten beschouwing laten van het webserver niveau, kunnen alleen bestanden met programmalogica uitvoeren, cookies beheren. Onder beheren verstaan we hier het aanmaken, lezen, wijzigen en verwijderen van cookies.

De Google Tag Manager is geen cookievrije domein. Om het juist te zeggen:

Van de domein googletagmanager.com worden cookies geladen!

Onderzoek naar de Google Tag Manager op websites waar deze wordt gebruikt (bron: dr-dsgvo.de), evenals uitspraak van Google (juli 2021).

De Google Tag Manager laadt direct cookies

Yes, u hebt het goed gelezen. Gelooft u niet wat anderen beweren! Deze sectie laat zien waarom cookies geladen worden als de Google Tag Manager op een website wordt ingeladen.

Cookies bestaan elk binnen een domein (afhankelijk van de configuratie ook in subdomeinen). Om bij het ophalen van Google Tag Manager cookies over te dragen, moet dus eerst een cookie in de domein googletagmanager.com bestaan of door Google Tag Manager nieuw worden gegenereerd.

Het is dus voldoende als er wereldwijd één website in de domein of een subdomein bestaat waar het om gaat, en een cookie wordt gezet. We spreken hier alleen over persistente cookies, dus van duurzame cookies. Sessie-cookies zijn minder kritisch (kunnen echter nog onder bepaalde omstandigheden problemen veroorzaken).

Hier de bewijs dat bij het integreren van de Google Tag Manager cookies worden geladen:

Het video toont hoe de "Nakkejongen" Tag Manager wordt geladen, dus zonder dat er nog meer tools van de Tag Manager worden opgeladen (die anders verantwoordelijk zouden zijn voor nalaatste gegevensverwerkingen). Toch wordt bij het ophalen van de Tag Manager een cookie overgedragen. Omdat het cookie al mee is gestuurd om de GTM te laden, is het overigens onbelangrijk of de GTM nog meer tools oplaadt of niet, want het cookie what al bij het ophalen van de GTM aanwezig!

Wegens het feit dat alles wat in het video getoond werd zonder toestemming plaatsvond, is er zelfs geen vraag om toestemming op de website die getoond wordt. De website die getoond wordt, is gewoon willekeurig gekozen. Er zijn talloze andere websites waarop het Tag Manager gebruikt wordt en waarop dit gedrag zichtbaar is.

Om het in het video getoonde gedrag te herhalen, doe je het volgende bij Reproductie: in Mozilla Firefox:

1. Websitel bezoeken, die op de domein googletagmanager.com of een subdomein ervan draait en een cookie aanmaakt
2. Om het netwerkverkeer in de browser te volgen, druk je op F12 om de ontwikkelersconsole te openen. Daar klik je dan op de mapje Netzwerkanalyse.
3. Websitel bezoeken die de Google Tag Manager gebruiken.
4. Op een netwerkverzoek klikken dat de Google Tag Manager laadt, dus entries met googletagmanager.com zoeken.
5. Rechts in de console op het mapje Cookies klikken. De daar getoonde cookies werden bij het laden van de Tag Manager overgedragen.

De Google Tag Manager zet direct cookies

Hierbij verwijzen ik naar een officiële verklaring van Google van eind juli 2021. Google zegt zelf dat over de zogenaamde Preview en Debug Mode van het Tag Manager cookies worden gezet.

Gebruikt nu een beheerder de Voorspoelende stemming, dan komen er volgens Google drie Tag Manager-cookies op het apparaat terecht, die met googletagmanager.com geassocieerd zijn. Bezoekt de beheerder later enige willekeurige website die de Tag Manager gebruikt, worden de Vorschaumodus-cookies naar Google overgebracht.

Dit geldt niet voor alle bezoekers van een website, maar "alleen" voor administrators van de Tag Manager, die de voorspels- en debug-modus gebruiken. Daarnaast wordt het nog moeilijker gemaakt door het feit dat met deze cookies een concreet, exacter conclusie over de persoon mogelijk is. Omdat deze cookies informatie bevatten die op een Google-account wijst, en dit account weer precies terug te voeren is op een individuele persoon.

Google Tag Manager-tags kunnen cookies zetten

Als men het precies opschrijft, en dat doen advocaten graag als ze de gegevensbeschermingsinformatie kritiseren, is dit ook relevant voor de vraag of de Google Tag Manager een cookieloze domein is.

Met een Custom Html Tag, dus een zelfgemaakte tag, kan de Tag Manager worden geïnstrueerd om cookies te zetten. Hier is een voorbeeld:

In de gegeven bron vind je meer beschrijvingen over dit onderwerp. De Tag Manager kan zelf cookies zetten.

Opmerking: Met de getoonde code wordt een cookie op het domein van de huidige website gegenereerd. Dit laat al op zichzelf zien dat de Tag Manager geen cookieloze domein is, want de Tag Manager is een dienst en deze is niet cookieloos, zoals hier meerdere keren is aangetoond.

Veelvoorkomende fouten bij de Tag Manager

Op talloze websites wordt de Google Tag Manager gebruikt, maar in de gebruikersvoorwaarden geen woord gewijd. Vaak wordt hij genoemd in een toestemmingsvenster, hoewel hij volgens het bericht geen cookies gebruikt. Deze vermelding zou op zichzelf niet erg zijn, maar wel te prijzen. Echter richten zogenaamde Consent Management Plattformen zich op cookies, wat in zichzelf fout is.

Wanneer een tool wordt gebruikt, moet het volgens artikel 13 GDPR worden uitgelegd. Dit moet althans in de privacyverklaring gebeuren. Als er een cookie-verzoek plaatsvindt, dat eigenlijk een toestemmingsverzoek zou moeten zijn, dan moet de uitleg over het tool ook daar plaatsvinden, in ieder geval op voldoende wijze. De totale uitleg kan vervolgens in de privacy-informatieplaatsen plaatsvinden.

Een tool dat niet te verklaren is, is in zichzelf fout, tenzij het gaat om een technisch noodzakelijke dienst waarvoor geen verdere voorschriften in acht moeten worden genomen (wat per geval moet worden nagekeken). Het is ook fout als aanbieder van een tool de term "Google" gebruikt. Wat betekent "Google" dan? Hoe luidt de volledige adres van "Google" en wat is de rechtsvorm van "Google"?

Niet zelden vragen websites om toestemming voor bepaalde tools. Toch vindt alvorens een toestemming te geven een laadproces plaats, waarbij soms de Google Tag Manager betrokken is.

Weil de Tag Manager andere tools oplaadt, komen veel Consent Tools door elkaar heen. Noch een reden om ze niet te gebruiken! Lädt beispielsweise de Tag Manager het dienst Google Analytics op, worden over de door de Tag Manager geopende dataport cookies van Google Analytics gezet.

Een voorbeeld van een toestemmingsvraag uit de praktijk van een website van een bekend Duits bedrijf:

In dit kleine plaatje bestaan er gelijktijdig meerdere duidelijke gebreken:

1. De cookies _ga en _gat worden aan de Tag Manager toegekend, hoewel ze bij Google Analytics horen. De privacyverklaring loopt hier tegenover: „Het dienst Google Tag Manager zelf (die de tags implementeert) is een cookie-loze domein en verzamelt geen persoonsgebonden gegevens.“ Zoals men ziet, ligt hier minstens één grove onwaarheid.
2. Als aanbieder wordt "Google Tag Manager" genoemd. Iedereen die de regels van het telemediengesetz kent, zal toegeven dat hier geen rechtsconforme aanbieding voorligt (ook buiten het TMG niet).
3. De term "afloop" klinkt eerder naar een wasbak. Hij is niet algemeen verstaanbaar.
4. De aanduiding "Type: HTTP cookie" is niet voor iedereen duidelijk.
5. De doelstelling van het cookie _gat is onzin en algemeen onbegrijpelijk.

Als men het consent popup, de website en de gegevensbeschermingsverklaring verder onderzoekt, zal men waarschijnlijk minstens twee keer zoveel gebreken vinden. Waarom ik dat beweer, kan in mijn onderzoek Cookiegeddon – het mislukken van alle (?) Consent Tools worden gelezen.

Ontbrekende gerechtvaardigde belang

Natuurlijk zeg ik dat er geen gerechtvaardigd belang is om de Google Tag Manager zonder toestemming te laden. Redenen:

1. Wanneer de GTM wordt geladen om nog meer tools die een toestemming vereisen te laden, is er sowieso al een toestemming nodig. Hierdoor kan de GTM worden geladen nadat de gebruiker toestemming heeft gegeven.
2. Het alleen laden van GTM zonder dat dit andere diensten laadt, heeft geen functioneel nut.
3. Zelfsverwachting kan elk x-belangrijk gereedschap ook zonder de GTM geladen worden. Hiervoor is slechts een JavaScript-logica nodig, die niet ingewikkelder hoeven te zijn dan de logica die in de GTM is opgeslagen.

Wie iedereen die denkt dat het makkelijker is om met de GTM een laadproces voor andere diensten in te richten dan zonder, heeft misschien gelijk. Als je als automobilist op zoek bent naar een fatsoenlijke parkeerplaats, kost het echter meer moeite om fout te parkeren. Toch mag niemand ad hoc fout parkeren, hoewel dat minder moeite is.

Ik beweer echter, en kan dat op aanvraag ook door programmeren aantonen, dat de inzet van het Google Tag Manager meestal gepaard gaat met meer moeite dan de reine programmering van het gewenste gedrag via directe JavaScript-instructies. Zelfs (of juist) het beheer van een Consent Tool samen met het Google Tag Manager is zonder Tag Manager eenvoudiger mogelijk. Men denke hier alleen maar aan de data-src Directief.

Wie reken je de extra werkzaamheden bij, die het kost om een fatsoenlijke privacyverklaring voor Tag Manager op te stellen en uit te zoeken wie de leverancier van dienst is en wat hij met de verkregen gegevens doet? Daarnaast komt de moeite om vragen van betrokkenen te beantwoorden bij, die mensen als ik stellen omdat ze denken dat veel mensen de privacy niet serieus nemen. Een halfweg onaangevallen privacyverklaring voor Tag Manager vind je in ieder geval zelden. Ook het meewegen van de vele juridische voorwaarden voor GTM leidt tot een extra werkzaamheid die nauwelijks te behappen is. Een toekomstig artikel van mij belicht deze aspecten.

Conclusie

Dit artikel is geschreven om de bewering te weerleggen dat GTM een cookievrije domein is. Zoals aangetoond, kunnen bij het laden van de Tag Manager cookies worden overgedragen. Als dit proces plaatsvindt, is de Tag Manager onderworpen aan een toestemmingplicht, voordat hij geladen mag worden. Dit volgt uit §15 lid 3 TMG en Artikel 5 lid van de ePrivacy Richtlijn. Een nauwkeurigere afleiding vindt u op mijn website in meerdere andere artikelen.

Het gerechtvaardigde belang kan worden uitgesloten omdat de inzet van het Tag Manager zonder het herladen van tools duidelijk overbodig is en tools die niet toestemmingsplichtig zijn ook zonder Tag Manager geladen kunnen worden. Het GTM vereist echter een heel groot aantal extra uren, als men de rechtelijke voorwaarden van Google en andere verbindende gegevensbeschermingsregels wil naleven.

Weiterhin kan een toestemmingsplicht ook worden afgeleid uit het feit dat IP-adressen als persoonsgegevens naar „Google“ worden overgedragen. „Google“ is een begrip dat een wereldwijd opererende concern beschrijft, dat kennelijk in de VS zijn hoofdzetel heeft. De VS zijn een onzekere derde land (zie Privacy Shield vonnis). Uitspraken van het bedrijf Google over Google Analytics doen waarschijnlijk vermoeden dat het gebruik van Google Tag Manager altijd tot gegevensverzameling in de VS leidt.

Bijwerken: Bij gebruik van Google Tag Managers wordt het bedrijf Google LLC bij de verwerking van gegevens betrokken. Dit blijkt uit de "opdrachtverwerkersvoorwaarden voor Google-advertentieproducten" (zie https://privacy.google.com/businesses/processorterms/), die gelden voor Google Tag Manager (zie de gebruiksvoorwaarden voor Google Tag Manager onder https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, die je moet accepteren bij het maken van een GTM-account). Hierdoor is er juridisch gezien toegang uit de VS.

De eis tot toestemming voor de Google Tag Manager kan men op verschillende gronden afleiden. In het bijbehorende artikel ga ik ook in op de overdracht van gegevens via Google LLC en de overdracht van gegevens naar de VS als gevolg van de gebruiksvoorwaarden van Google.

Een rechtsgeldig DPA met Google kan naar mijn mening niet worden afgesloten , ook omdat Google zich bedient van honderden opdrachtnemers uit tientallen landen over de hele wereld, die een twijfelachtig niveau van gegevensbescherming hebben (zie https://privacy.google.com/businesses/subprocessors/). Deze adres wordt in de voornoemde DPA-voorwaarden verlinkt. Eveneens zegt de geldende privacyverklaring voor GTM dat Google de verzamelde gegevens gebruikt voor eigen (technisch niet noodzakelijke) doeleinden, wat een DPA tegengaat. ([1])

Verdere artikelen:

• Basics van Bullshit: Cookies zijn geen tekstbestanden
• Bullshit Basics: Cookiegeddon – het mislukken van alle (?) Consent Tools
• Cookies: Grondslagen en GDPR-relevantie
• Untagmanager: Privacyvriendelijke alternatief voor de Tag Manager
• Server Side Tracking

Meer informatie en een discussie over de Google Tag Manager in het privacy Deluxe Podcast: