Bullshit Basics: Google Tag Manager är ingen cookiefri domän: ett bevis

I många dataskyddsförklaringar hävdas att Google Tag Manager är en cookiefri domän. Andra föreslår att ingen samtyckesbehövlig användning av tag manager krävs. Båda påståendena är obefogade. Även Google levererar argument mot det angivna påståendet.

Google Tag Manager är ett verktyg med vilket man kan styra utspelningen av andra verktyg. Istället för att tala om utspelning kunde man också prata om återladdning av andra verktyg. Ofta används förkortningen GTM för Google Tag Manager. ([1])

Google's Tag Manager ansluts via ett Skript och en variant för system med inaktiverat JavaScript. Ofta hittas en kod som liknar följande:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Skriptdelen är logiken för att läsa in skriptet gtm.js från Tag Manager. Där sätts några parametrar. Under följer i ett IFRAME-tag en logik för att aktivera Tag Manager, om JavaScript är avaktiverat i användarens webbläsare.

Innan missförstånden upplöses, här är det första missförståndet. Många tror att Google inte alls får personuppgifter via GTM. Det är fel. Sanningen är: För Google är din och min IP-adress potentiellt alltid en personuppgift. GTM får alltid din och min IP-adress när vi besöker webbplatser som innehåller GTM. Tyvärr är Googles förklaringar så formulerade att Google nästan medger att de använder data för egna ändamål. Således skulle GTM redan vara en samtyckesskyldig del av Google.

Vanliga missuppfattningar om taghanteraren

Som syns, laddas Tag Manager från domänen googletagmanager.com. En domän kan teoretiskt vara cookiefri. Ett verktyg att kalla för en domän är i sig fel.

Att kalla en domän för Kakoröda är en mycket riskfylld påstående. Detta påstående kan bara vara rätt om man tolkar det välmenande. En domän i sig själv är inte någon cookiehanterare. Istället är alla webbsidor som finns på denna domän och externa filer som laddats från tredjepartswebbplatser möjliga cookiehanterare på denna domän. Den som tar på sig att känna till alla dessa webbsidor och filer måste ha en mycket god insikt.

En domän kan inte hantera cookies själv. Det kan bara filer som finns på denna domän göra. Om man bortser från möjliga konfigurationer på webbservern, kan endast filer med programlogik hantera cookies. Under hantering avses här att skapa, läsa ut, ändra och radera cookies.

Google Tag Manager är inte en cookiefri domän. För att säga det riktigt:

Från domänen googletagmanager.com läses in Cookies!

Utredning av Googles tag manager på webbplatser som använder den (källa: dr-dsgvo.de) samt uttalande från Google (juli 2021).

Google Tag Manager laddar direkt cookies

Yes, ni har läst rätt. Tro inte på vad andra säger! Denna del visar varför cookies laddas när Google Tag Manager är inlagd på en webbplats.

Cookies finns tillgängliga för varje domän (beroende på konfiguration även i underdomäner). För att Google Tag Manager ska kunna överföra cookies vid anrop, måste ett cookie redan finnas i domänen googletagmanager.com eller skapas av Google Tag Manager.

Det räcker alltså att en enda webbplats i världen existerar inom domänen eller en underdomän, som det handlar om, och sätter ett cookie. Vi talar här bara om beständiga cookies, dvs långvariga cookies. session cookies är mer opåkallade (kan dock ändå orsaka problem under vissa förhållanden).

Här är beviset att vid integration av Googles Tag Manager cookies läses in:

Det här videon visar hur "Bakgat" Tag Manager laddas, alltså utan att ytterligare verktyg från Tag Manager laddas (som annars skulle kunna vara ansvariga för efterföljande datahantering). Trots detta överför ett kaka vid hämtningen av Tag Manager. Eftersom kakorna redan skickades med när GTM laddades, är det faktiskt ointressant om GTM laddar ytterligare verktyg eller inte, eftersom kakorna var redan där vid hämtningen av GTM!

Obs! Allt det som visas i videon skedde utan medgivande. Det finns inte ens en fråga om medgivande på den visade webbplatsen. Den visade webbplatsen valdes helt slumpartat ut. Det finns många andra webbplatser där Tag Manager används, och på dem är det samma beteende synligt.

För att återskapa det beteende som visas i videon är följande att göra på Fortplantning: im Mozilla Firefox:

1. Öppna en webbplats som kör på domänen googletagmanager.com eller en underdomän av den och skapa ett cookie
2. För att följa nätverkstrafiken i webbläsaren tryck på tangenten F12 för att öppna utveveloppen, där klicka på menyalternativet Netzwerkanalyse.
3. Sidan att besöka, som använder Google Tag Manager.
4. Klicka på en nätverksanfrage som laddar upp Google Tag Manager, så sök efter inlägg med googletagmanager.com.
5. Klicka till höger i konsolen på menyfliken Cookies. Där visas de cookies som överförts vid laddningen av Tag Manager.

Google Tag Manager sätter direkt cookies

Jag hänvisar här till en officiell uttalande från Google från slutet av juli 2021. Google säger själva att cookies sätts via det så kallade Preview and Debug Mode i Tag Manager.

Använd nu en administratör Förhandsvisningsläge, så når tre Tag Manager-cookies, som är kopplade till googletagmanager.com, Googles enhet. Besöker administratören senare någon webbplats som innehåller Tag Manager kommer Vorschaumodus-cookien att överföras till Google.

Det gäller inte för alla besökare på en webbplats, utan "bara" för administratörer av Tag Managers, som använder försöks- och felsökningläget. Dessutom kompliceras saken ytterligare av att med de angivna cookies är det möjligt att dra ett konkrete, exakt slutsats om personen. För att nämna detta: de angivna cookies innehåller information som gör det möjligt att dra en slutsats om ett Google-konto, och det Google-kontot i sin tur gör det möjligt att dra en exakt slutsats om en enskild person.

Google Tag Managertags kan sätta Cookies

Om man tar det noggrant, och advokater gärna gör, som kritiserar dataskyddsinformationen, är följande också relevant för frågan om Google Tag Manager är en cookielös domän.

Med ett Custom Html Tag, alltså ett självskapat tag, kan Tag Manager placeras i en situation där cookies kan sättas. Här är ett exempel:

I den angivna källan hittar du ytterligare beskrivningar om detta. Den Tag Manager kan själv sätta in cookies.

Obs! Med detta kodexempel skapas ett cookie på den aktuella webbplatsens domän. Trots det kan man med detta exempel visa att Tag Manager inte är en cookielös domän, eftersom Tag Manager är en tjänst och denna är inte cookielös, som visats flera gånger här.

Vanliga fel med tag manager

På många webbplatser används Google Tag Manager, men i Dataskyddspolicyn nämns det inte ett ord. Ofta hänvisas till den i ett samtyckesskärmen, fastän den enligt uppgift inte använder cookies. Denna hänvisning vore i sig inget stort problem, utan snarare välkommen. Men s.k. Consent Management Plattformerna fokuserar på cookies, vilket är fel.

Om ett verktyg används, måste det enligt artikel 13 GDPR förklaras. Detta ska i vart fall ske i dataskyddspolicyn. Om en cookie-förfrågan sker, som egentligen borde kallas tillståndsförfrågan, måste verktygsförklaringen också ske där, åtminstone på ett tillräckligt sätt. Den totala förklaringen kan sedan ske i dataskyddsinstruktionerna.

Ett verktyg som inte alls kan förklaras är i sig fel, utom om det rör en tekniskt nödvändig tjänst där inga ytterligare föreskrifter ska beaktas (vilket måste prövas i varje enskilt fall). Det är också fel att som tillhandahållare av ett verktyg använda begreppet "Google". Vad betyder "Google" då? Hur ser den fullständiga adressen ut för "Google" och vilken juridisk form har "Google"?

Många webbplatser frågar efter en samtyckande för vissa verktyg. Trots det sker redan innan ett samtycke en laddningsprocess, där ibland Google Tag Manager är inblandad.

När Tag Manager laddar in andra verktyg, hamnar många Consent-verktyg i kaos. Ännu en anledning till att inte använda dem! Läser till exempel Tag Manager in tjänsten Google Analytics, sätter Google Analytics via den datakanal som öppnas av Tag Manager cookies.

Här ett exempel på en samtyckesfråga från praktiken av en webbplats tillhörande ett kända tyska företag:

I detta lilla bildexisterar flera uppenbara fel:

1. Cookies _ga och _gat tilldelas Tag Manager, trots att de tillhör Google Analytics. Integritetspolicyn motsäger denna uppgift: „Den tjänst som Google Tag Manager själv (som implementerar taggar) är en cookie-lös domän och samlar inte personuppgifter.“ Här ser man åtminstone en grov falsk påstående.
2. Som leverantör kallas det "Google Tag Manager". Var och en som känner till bestämmelserna i Telemediengesetzen om leverantörsuppgifter kommer att medge att här inte finns någon rättsligt konform leverantörsuppgift (även utanför TMG).
3. Termen "förlopp" låter mer efter handfat. Den är inte begriplig för alla.
4. Angivelsen "Typ: HTTP Cookie" är inte allmänt förståelig.
5. Syftet med cookie _gat är ett slags nonsens och allmänt otydligt.

Om man skulle undersöka consent popup, webbplatsen och dataskyddspolicyn ytterligare skulle man sannolikt hitta minst dubbelt så många fel. Varför jag tror det kan läsas i min undersökning Cookiegeddon – det misslyckade försöket med alla (?) consent-verktyg.

Bristande giltigt intresse

Naturligtvis säger jag att det finns inget berättigat intresse att ladda ner Google Tag Manager utan samtycke. Orsaker:

1. När GTM laddas in för att hämta ytterligare, samtygskrävande verktyg, krävs i alla fall ett samtycke. Då kan GTM laddas in efter att användaren gett sitt samtycke.
2. Att ladda GTM ensam utan att andra tjänster laddas, har ingen funktionell nytta.
3. Naturligtvis kan varje x-belägna verktyg också utan den GTM lädas in. För detta krävs endast en JavaScript-logik som inte måste vara mer komplicerad än logiken som lagts in i GTM.

Den som menar att det vore mindre arbete att styra en laddning av andra tjänster med GTM än utan, har kanske rätt. Men om man som bilförare letar efter ett bra parkeringstillfälle är det mer besvär att parkera fel än rätt. Ändå får ingen parkera ad hoc fel, även om det vore mindre arbete.

Jag påstår dock, och kan bevisa det med hjälp av programmering om behov finns, att användningen av Google Tag Manager oftast är mer arbetskrävande än ren och skär programmering av önskat beteende via direkt JavaScript-anvisningar. Även drift av ett Consent-verktyg tillsammans med Google Tag Manager är enklare utan Tag Manager. Man ska bara tänka på data-src-direktiven.

Vem räknar egentligen in den tilläggskostnad för att skapa en ordentlig dataskyddspolicy för Tag Manager och hitta vem som är leverantören av tjänsten och vad leverantören gör med de data man får? Dessutom kommer arbetsinsatsen för att besvara frågor från berörda personer, människor som jag, som tror att många inte tar dataskyddet på allvar. En halvbra dataskyddspolicy för Tag Manager hittar man i alla fall sällan. Även att ta hänsyn till de många rättsliga villkoren för GTM leder till en ökad arbetsinsats som knappt är hanterbar, och som jag kommer att belysa i ett framtida inlägg.

Sammandrag

Denna artikel skrevs av mig för att bevisa att GTM inte är en cookiefria domän, utan snarare tvärtom. Som visas kan cookies överföras vid laddning av Tag Manager. Om detta inträffar ska Tag Manager vara underkastad samtyckeskrav innan den får laddas, vilket följer av §15 Abs. 3 TMG och Artikel 5 Abs. ePrivacy-direktivet. En mer detaljerad utredning finns på min webbplats i flera andra artiklar.

Det berättigade intresset kan uteslutas, eftersom användningen av Tag Managers utan att ladda ned verktyg tydligt är onödig och verktyg som inte kräver samtycke även utan Tag Manager kan laddas ned. GTM kräver dock ett väldigt stort arbetsinsats, om de rättsliga villkoren från Google och andra bindande dataskyddsförordningar ska upprättas.

Förutom det kan en samtyckesplikt också dras av att IP-adresser överförs till "Google" som personuppgifter. "Google" är ett begrepp som beskriver en globalt verksam koncern med tydlig huvudkontor i USA. USA är ett osäkert tredje land (se Privacy Shield domen). Uttryck från företaget Google till Google Analytics tyder på att användningen av Google Tag Manager alltid medför en uppgiftshämtning i USA.

Uppdatering: Vid användning av Google Tag Managers kommer företaget Google LLC att vara ansvarigt för datahanteringen. Detta framgår av " Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte" (se https://privacy.google.com/businesses/processorterms/), som gäller för Google Tag Manager (se användningsvillkoren för Google Tag Manager under https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, som måste accepteras vid skapandet av ett GTM-konto). Således finns det en juridisk tillgång från USA.

Behördenkravet för Googles Tag Manager kan man dra några skäl ifrån. I den tillhörande artikeln går jag också in på överföringen av data via Google LLC samt överföringen av data till USA med anledning av Googles användarvillkor. ([1])

Ett giltigt DPA med Google kan enligt min bedömning inte slutföras , även om Google använder sig av hundratals uppgiftshanterare från dussintals länder runt om i världen med ett tvivelaktigt dataskyddsnivå (se https://privacy.google.com/businesses/subprocessors/). Denna adress hänvisas till i de nämnda DPA-betingelserna. Dessutom säger den giltiga dataskyddsbeskrivningen för GTM att Google använder de insamlade uppgifterna för egna (tekniskt inte nödvändiga) ändamål, vilket strider mot ett DPA. ([1])

Fortsatta artiklar:

• Bullshit Basics: Kakor är inte textfiler
• Kokosbasics: Cookiegeddon – det misslyckade försöket med alla (?) samtyckes verktyg
• Cookies: Grundläggande och GDPR-relevanta aspekter
• Uppgiftshantering: En dataskyddsvänlig alternativ till taghanteraren
• Server Side Tracking

Ytterligare information och en diskussion om Google Tag Manager i privacy Deluxe-podden: