Bullshit Basics: Der Google Tag Manager ist keine cookielose Domäne: ein Beweis

Kategorien: Bullshit Basics, Beweis, Cookies, Datenschutz und Hacking

In vielen Datenschutzerklärungen wird behauptet, der Google Tag Manager sei eine cookielose Domäne. Andere suggerieren, dass für den Einsatz des Tag Managers keine Einwilligung erforderlich sei. Beides ist unhaltbar. Sogar Google selbst liefert Argumente gegen die genannte Behauptung.

Der Google Tag Manager ist ein Tool, mit dem das Ausspielen anderer Tools gesteuert werden kann. Statt von Ausspielen könnte man auch von Nachladen anderer Tools sprechen. Oft wird die Abkürzung GTM für den Google Tag Manager verwendet.

Der Tag Manager von Google wird über ein Script und eine Variante für Systeme mit deaktiviertem JavaScript eingebunden. Häufig ist ein Code wie dieser zu finden:

<script>
 (function(w, d, s, l, i) {
    w[l] = w[l] || [];
    w[l].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });                      
    var f = d.getElementsByTagName(s)[0],j = d.createElement(s),                         
            dl = l != 'dataLayer' ? '&amp;l=' + l : '';                      
    j.async = true;
    j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;                     
    f.parentNode.insertBefore(j, f);                 
  })(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');             

 <iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Der Script-Teil ist die Logik zum Laden des Tag Manager-Scripts namens gtm.js. Dabei werden einige Parameter gesetzt. Darunter folgt in einem IFRAME-Tag eine Logik zum Feuern des Tag Managers, wenn JavaScript im Browser des Nutzers deaktiviert ist.

Bevor die Missverständnisse aufgeklärt werden, hier das allererste Missverständnis. Viele meinen, Google erhalten über den GTM ja gar keine personenbezogenen Daten. Das ist falsch. Richtig ist: Für Google ist Ihre und meine IP-Adresse potentiell immer personenbezogen. Der GTM erhält immer Ihre und meine IP-Adresse, wenn wir Webseiten besuchen, die den GTM einbinden. Leider sind die Erklärungen von Google derart formuliert, dass Google quasi zugibt, dass Google erhaltene Daten für eigene Zwecke verwendet. Somit wäre der GTM alleine deswegen bereits einwilligungspflichtig.

Häufige Missverständnisse zum Tag Manager

Wie zu sehen, wird der Tag Manager von der Domäne googletagmanager.com geladen. Eine Domäne kann theoretisch cookielos sein. Ein Tool als Domäne zu bezeichnen, ist an sich falsch.

Eine Domäne als cookielos zu bezeichnen, ist eine sehr gewagte Aussage. Diese Aussage kann nur richtig sein, wenn man sie wohlwollend versteht. Eine Domäne an sich ist nicht Verwalter von Cookies. Vielmehr sind alle auf dieser Domäne befindlichen Webseiten und von Dritt-Webseiten geladenen externen Dateien auf dieser Domäne mögliche Verwalter von Cookies. Wer sich anmaßt, alle diese Webseiten und Dateien einer Domäne zu kennen, muss sehr gut Bescheid wissen.

Eine Domäne kann an sich keine Cookies verwalten. Das können nur die auf dieser Domäne befindlichen Dateien. Wenn man mögliche Konfigurationen auf Ebene des Web-Servers außen vor lässt, können nur Dateien, die Programmlogik ausführen, Cookies verwalten. Unter Verwalten versteht man hier das Erzeugen, Auslesen, Ändern und Löschen von Cookies.

Der Google Tag Manager ist keine cookielose Domäne. Um es richtiger zu sagen:

Von der Domäne googletagmanager.com werden Cookies geladen!

Untersuchung des Google Tag Managers auf Webseiten, die diesen einsetzen (Quelle: dr-dsgvo.de) sowie Aussage von Google (Juli 2021).

Der Google Tag Manager lädt direkt Cookies

Ja, Sie haben richtig gelesen. Glauben Sie nicht das, was andere behaupten! Dieser Abschnitt zeigt, warum Cookies geladen werden, wenn der Google Tag Manager auf einer Webseite eingebunden wird.

Cookies existieren jeweils innerhalb einer Domäne (je nach Konfiguration auch in Subdomänen). Damit beim Abruf des Google Tag Manager Cookies übertragen werden, muss also zuvor ein Cookie in der Domäne googletagmanager.com existieren oder vom Google Tag Manager neu erzeugt werden.

Es reicht also, wenn eine einzige Webseite weltweit in der Domäne oder einer Subdomäne existiert, um die es geht, und ein Cookie setzt. Wir sprechen hier nur von persistenten Cookies, also von dauerhaften Cookies. Sitzungs-Cookies sind eher unkritisch (können aber dennoch unter bestimmten Bedingungen Probleme bereiten).

Hier der Beweis, dass beim Integrieren des Google Tag Managers Cookies geladen werden:

Das Video zeigt, wie der "nackte" Tag Manager geladen wird, also ohne dass weitere Tools vom Tag Manager nachgeladen werden (die ansonsten für nachgelagerte Datenverarbeitungen verantwortlich sein könnten). Dennoch wird beim Abruf des Tag Managers ein Cookie transferiert. Weil das Cookie zum Laden des GTM schon mitgeschickt wird, ist es übrigens unerheblich, ob der GTM weitere Tools nachlädt oder nicht, denn das Cookie war ja schon beim Abruf des GTM da!

Wohlgemerkt, fand all das im Video gezeigte ohne Einwilligung statt. Es gibt nicht einmal eine Einwilligungsabfrage auf der gezeigten Webseite. Die gezeigte Webseite wurde rein zufällig ausgewählt. Es gibt zahlreiche andere Webseiten, die den Tag Manager einsetzen, auf denen das gleiche Verhalten nachweisbar ist.

Zur Reproduktion des im Video gezeigten Verhaltens ist im Mozilla Firefox folgendes zu tun:

1. Webseite aufrufen, die auf der Domäne googletagmanager.com oder einer Subdomäne davon läuft und ein Cookie erzeugt
2. Zum Nachverfolgen des Netzwerkverkehrs im Browser die Taste F12 drücken, um die Entwicklerkonsole zu öffnen. Dort den Karteireiter Netzwerkanalyse anklicken.
3. Webseite aufrufen, die den Google Tag Manager einsetzt.
4. Auf eine Netzwerkanfrage klicken, die den Google Tag Manager lädt, also Einträge mit googletagmanager.com suchen.
5. Rechts in der Konsole auf den Karteireiter Cookies klicken. Die dort gezeigten Cookies wurden beim Laden des Tag Managers übertragen.

Der Google Tag Manager setzt direkt Cookies

Hierbei beziehe ich mich auf eine offizielle Aussage von Google von Ende Juli 2021. Google sagt selbst, dass über den sogenannten Preview and Debug Mode des Tag Managers Cookies gesetzt werden.

Verwendet nun ein Administrator den Vorschaumodus, gelangen so laut Google drei Tag Manager-Cookies, die mit googletagmanager.com assoziiert sind, auf dessen Endgerät. Besucht der Administrator später irgend eine beliebige Webseite, die den Tag Manager einbinden, werden die Vorschaumodus-Cookies an Google übertragen.

Dies trifft zwar nicht für alle Besucher einer Webseite zu, sondern „nur“ für Administratoren des Tag Managers, die den Vorschau- und Debug-Modus nutzen. Jedoch kommt erschwerend hinzu, dass mit den genannten Cookies ein konkreter, exakter Rückschluss auf die Person möglich ist. Denn die genannten Cookies enthalten Informationen, die auf ein Google-Konto rückschließen lassen. Das Google-Konto wiederum erlaubt genaue Rückschlüsse auf eine einzelne Person.

Tags des Google Tag Managers können Cookies setzen

Wenn man es genau nimmt, und das tun Anwälte gerne, die Datenschutzhinweise kritisieren, dann ist folgendes auch relevant für die Frage, ob der Google Tag Manager eine cookielose Domain ist.

Mit einem Custom Html Tag, also einem selbst erstellten Tag, kann der Tag Manager in die Lage versetzt werden, Cookies zu setzen. Hier ein Beispiel:

In der angegebenen Quelle finden sich weitere Beschreibungen dazu. Der Tag Manager kann also selbst Cookies setzen.

Es sei angemerkt, dass mit dem gezeigten Code ein Cookie auf der Domäne der aktuell besuchten Webseite erzeugt wird. Dennoch kann damit alleine schon gezeigt werden, dass der Tag Manager keine cookielose Domäne ist, denn der Tag Manager ist ein Dienst und dieser ist nicht cookielos, wie hier mehrfach gezeigt wurde.

Häufige Fehler zum Tag Manager

Auf zahlreichen Webseiten wird der Google Tag Manager eingesetzt, aber in der Datenschutzerklärung keines Wortes gewürdigt. Oft wird er in einem Einwilligungsfenster genannt, obwohl er angeblich keine Cookies einsetzt. Diese Erwähnung wäre an sich nicht schlimm, sondern begrüßenswert. Allerdings fokussieren sich sogenannte Consent Management Plattformen auf Cookies, was an sich falsch ist.

Wenn ein Tool eingesetzt wird, muss es gemäß Artikel 13 DSGVO erklärt werden. Dies hat zumindest in der Datenschutzerklärung zu geschehen. Sofern eine Cookie-Abfrage stattfindet, die eigentlich Einwilligungsabfrage heißen müsste, müsste die Erklärung zum Tool auch dort erfolgen, jedenfalls zumindest in ausreichender Form. Die Gesamterklärung kann dann in den Datenschutzhinweisen erfolgen.

Ein Tool gar nicht zu erklären ist an sich falsch, außer es handelt sich um einen technisch notwendigen Dienst, für den keine weiteren Vorschriften zu beachten sind (was im Einzelfall zu prüfen ist). Es ist auch falsch, als Anbieter eines Tools den Begriff „Google“ zu verwenden. Was bedeutet „Google“ denn? Wie lautet die vollständige Adresse von „Google“ und was ist die Rechtsform von „Google“?

Nicht selten fragen Webseiten nach einer Einwilligung für bestimmte Tools. Dennoch findet bereits vor Erteilen einer Einwilligung ein Ladevorgang statt, bei dem mitunter der Google Tag Manager involviert ist.

Weil der Tag Manager andere Tools nachlädt, kommen viele Consent Tools durcheinander. Noch ein Grund mehr, sie nicht einzusetzen! Lädt beispielsweise der Tag Manager den Dienst Google Analytics nach, werden über den vom Tag Manager eröffneten Datenkanal Cookies von Google Analytics gesetzt.

Hier ein Beispiel einer Einwilligungsabfrage aus der Praxis von einer Webseite eines bekannten deutschen Unternehmens:

In diesem kleinen Bildchen existieren gleich mehrere offensichtliche Mängel:

1. Die Cookies _ga und _gat werden dem Tag Manager zugeordnet, obwohl sie zu Google Analytics gehören. Die Datenschutzerklärung widerspricht dieser Angabe: „Der Dienst Google Tag Manager selbst (der die Tags implementiert) ist eine Cookie-lose Domain und erfasst keine personenbezogenen Daten.“ Wie man sieht, liegt hier mindestens einmal eine grobe Falschaussage vor.
2. Als Anbieter wird „Google Tag Manager“ genannt. Jeder, der die Vorschriften des Telemediengesetzes zu Anbieterangaben kennt, wird zugeben, dass hier keine rechtskonforme Anbieterangabe vorliegt (auch außerhalb des TMG nicht).
3. Der Begriff „Ablauf“ klingt eher nach Waschbecken. Er ist nicht allgemeinverständlich.
4. Die Angabe „Typ: HTTP Cookie“ ist nicht allgemein verständlich.
5. Die Zweckangabe zum Cookie _gat ist grober Unfug und allgemein unverständlich.

Würde man das Consent Popup, die Webseite und die Datenschutzerklärung weiter untersuchen, würde man wahrscheinlich mindestens doppelt so viele Mängel finden. Warum ich das behaupte, kann in meiner Untersuchung Cookiegeddon – das Versagen aller (?) Consent Tools nachgelesen werden.

Fehlendes berechtigtes Interesse

Selbstverständlich, sage ich, gibt es kein berechtigtes Interesse zum Laden des Google Tag Managers ohne Einwilligung. Gründe:

1. Wird der GTM geladen, um weitere, einwilligungspflichtige Tools nachzuladen, bedarf es sowieso einer Einwilligung. Damit kann der GTM geladen werden, nachdem eine Einwilligung durch den Nutzer gegeben wurde.
2. Den GTM alleine zu laden, ohne dass dieser andere Dienste nachlädt, hat keinen funktionellen Nutzen.
3. Selbstverständlich kann jedes x-beliebige Tool auch ohne den GTM geladen werden. Hierzu bedarf es lediglich einer JavaScript-Logik, die nicht komplizierter sein muss als die im GTM hinterlegte Logik.

Wer meint, er müsste anführen, es wäre weniger Arbeit, mit dem GTM einen Ladevorgang für andere Dienste zu gestalten als ohne, hat damit möglicherweise recht. Wenn man sich als Autofahrer einen ordentlichen Parkplatz sucht, ist es allerdings mehr Aufwand als falsch zu parken. Dennoch darf niemand ad hoc falsch parken, obwohl es weniger Aufwand ist.

Ich behaupte allerdings, und kann das bei Bedarf auch durch Programmierung beweisen, dass der Einsatz des Google Tag Managers meist mit mehr Aufwand verbunden ist als die reine Programmierung des gewünschten Verhaltens über direkte JavaScript-Anweisungen. Selbst (oder erst Recht) der Betrieb eines Consent Tools zusammen mit dem Google Tag Manager ist ohne Tag Manager einfacher möglich. Man denke hier nur an die data-src Direktive.

Wer rechnet eigentlich die Zusatzarbeit mit ein, die es kostet, eine ordentliche Datenschutzerklärung zum Tag Manager zu erstellen und herauszufinden, wer der Anbieter des Dienstes ist und was der Anbieter mit den erhaltenen Daten macht? Zusätzlich kommt der Aufwand für die Beantwortung von Betroffenenanfragen hinzu, die Menschen wie ich stellen, weil sie glauben, dass viele den Datenschutz nicht ernst nehmen. Eine halbwegs unangreifbare Datenschutzerklärung zum Tag Manager findet man jedenfalls selten. Auch das Berücksichtigen der zahlreichen rechtlichen Bedingungen zum GTM führt zu einer Mehrarbeit, die kaum zu bewältigen erscheint. Ein zukünftiger Beitrag von mir beleuchtet diesen Aspekt.

Fazit

Dieser Beitrag wurde von mir geschrieben, um die Aussage, dass der GTM eine cookielose Domäne sei, mehrfach zu widerlegen. Wie bewiesen, können beim Laden des Tag Managers Cookies übertragen werden. Findet dieser Vorgang statt, ist der Tag Manager einer Einwilligungspflicht unterworfen, bevor er geladen werden darf. Dies folgt aus §15 Abs. 3 TMG und Art. 5 Abs. der ePrivacy Richtlinie. Eine genauere Herleitung findet sich auf meiner Webseite in mehreren anderen Artikeln.

Das berechtigte Interesse kann ausgeschlossen werden, weil der Einsatz des Tag Managers ohne das Nachladen von Tools offenbar unnötig ist und Tools, die nicht einwilligungspflichtig sind, auch ohne Tag Manager geladen werden können. Der GTM erfordert hingegen ein ganz erhebliches Maß an Mehrarbeit, wenn die rechtlichen Bedingungen von Google und von anderen verbindlichen Datenschutzregeln eingehalten werden sollen.

Weiterhin kann eine Einwilligungspflicht auch daraus abgeleitet werden, dass IP-Adressen als personenbezogene Daten an „Google“ übertragen werden. „Google“ ist ein Begriff, der einen weltweit operierenden Konzern beschreibt, der offenbar in den USA seinen Hauptsitz hat. Die USA sind ein unsicheres Drittland (siehe Privacy Shield Urteil). Aussagen der Firma Google zu Google Analytics lassen es wahrscheinlich erscheinen, dass die Verwendung des Google Tag Manager immer eine Datenerhebung in den USA zur Folge hat.

Update: Bei Nutzung des Google Tag Managers wird das Unternehmen Google LLC zur Datenverarbeitung tätig. Dies geht aus den „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ hervor (siehe https://privacy.google.com/businesses/processorterms/), die für den Google Tag Manager gelten (siehe die Google Tag Manager Nutzungsbedingungen unter https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, die beim Erstellen eines GTM-Kontos zu akzeptieren sind). Somit besteht rechtlich ein Zugriff aus den USA.

Das Einwilligungserfordernis für den Google Tag Manager kann man aus verschiedenen Gründen ableiten. In dem zugehörigen Beitrag gehe ich auch auf den Datentransfer über Google LLC sowie den Datentransfer in die USA aufgrund der Nutzungsbedingungen von Google ein.

Ein rechtsgültiger AVV mit Google kann meiner Einschätzung nach nicht abgeschlossen werden, auch, weil Google sich hunderter Auftragsverarbeiter aus dutzenden Ländern weltweit mit fragwürdigem Datenschutzniveau bedient (siehe https://privacy.google.com/businesses/subprocessors/. Diese Adresse wird in den vorgenannten AVV-Bedingungen verlinkt). Ebenfalls besagt die für den GTM gültige Datenschutzerklärung, dass Google die erhobenen Daten für eigene (technisch nicht notwendige) Zwecke nutzt, was einem AVV entgegensteht.

Weiterführende Artikel:

• Bullshit Basics: Cookies sind keine Textdateien
• Bullshit Basics: Cookiegeddon – das Versagen aller (?) Consent Tools
• Cookies: Grundlagen und DSGVO Relevanz
• Untagmanager: Datenschutzfreundliche Alternative zum Tag Manager
• Server Side Tracking

Weitere Informationen und eine Diskussion zum Google Tag Manager im Datenschutz Deluxe Podcast: