Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Bullshit Basics: Der Google Tag Manager ist keine cookielose Domäne: ein Beweis

16
Dieser Beitrag ist als Beweis verfasst. Zur Beweisführung ist es ggfs. erforderlich, eine technische oder formale Sprache zu wählen, die möglicherweise nicht jedem verständlich ist. Eine zu allgemeine Sprache wäre zwar verständlicher, aber dafür nicht so exakt, wie dies meinem Anspruch nach für einen Beweis erforderlich ist.

In vielen Datenschutzerklärungen wird behauptet, der Google Tag Manager sei eine cookielose Domäne. Andere suggerieren, dass für den Einsatz des Tag Managers keine Einwilligung erforderlich sei. Beides ist unhaltbar. Sogar Google selbst liefert Argumente gegen die genannte Behauptung.

Der Google Tag Manager ist ein Tool, mit dem das Ausspielen anderer Tools gesteuert werden kann. Statt von Ausspielen könnte man auch von Nachladen anderer Tools sprechen. Oft wird die Abkürzung GTM für den Google Tag Manager verwendet.

Ist der Google Tag Manager eine cookielose Domäne?

Der Google Tag Manager ist keine Domäne. Wenn er eine Domäne wäre, wäre er nicht cookielos. Richtig ist, dass Cookies über die Domäne googletagmanager.com gesetzt und geladen werden können .

Der Tag Manager von Google wird über ein Script und eine Variante für Systeme mit deaktiviertem JavaScript eingebunden. Häufig ist ein Code wie dieser zu finden:

<script>
 (function(w, d, s, l, i) {
    w[l] = w[l] || [];
    w[l].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });                      
    var f = d.getElementsByTagName(s)[0],j = d.createElement(s),                         
            dl = l != 'dataLayer' ? '&amp;l=' + l : '';                      
    j.async = true;
    j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;                     
    f.parentNode.insertBefore(j, f);                 
  })(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');             

 <iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Der Script-Teil ist die Logik zum Laden des Tag Manager-Scripts namens gtm.js. Dabei werden einige Parameter gesetzt. Darunter folgt in einem IFRAME-Tag eine Logik zum Feuern des Tag Managers, wenn JavaScript im Browser des Nutzers deaktiviert ist.

Häufige Missverständnisse zum Tag Manager

Wie zu sehen, wird der Tag Manager von der Domäne googletagmanager.com geladen. Eine Domäne kann theoretisch cookielos sein. Ein Tool als Domäne zu bezeichnen, ist an sich falsch.

Eine Domäne als cookielos zu bezeichnen, ist eine sehr gewagte Aussage. Diese Aussage kann nur richtig sein, wenn man sie wohlwollend versteht. Eine Domäne an sich ist nicht Verwalter von Cookies. Vielmehr sind alle auf dieser Domäne befindlichen Webseiten und von Dritt-Webseiten geladenen externen Dateien auf dieser Domäne mögliche Verwalter von Cookies. Wer sich anmaßt, alle diese Webseiten und Dateien einer Domäne zu kennen, muss sehr gut Bescheid wissen.

Eine Domäne kann an sich keine Cookies verwalten. Das können nur die auf dieser Domäne befindlichen Dateien. Wenn man mögliche Konfigurationen auf Ebene des Web-Servers außen vor lässt, können nur Dateien, die Programmlogik ausführen, Cookies verwalten. Unter Verwalten versteht man hier das Erzeugen, Auslesen, Ändern und Löschen von Cookies.

Der Google Tag Manager ist keine cookielose Domäne. Um es richtiger zu sagen:

Von der Domäne googletagmanager.com werden Cookies geladen!

Untersuchung des Google Tag Managers auf Webseiten, die diesen einsetzen (Quelle: dr-dsgvo.de) sowie Aussage von Google (Juli 2021).

Der Google Tag Manager lädt direkt Cookies

Ja, Sie haben richtig gelesen. Glauben Sie nicht das, was andere behaupten! Dieser Abschnitt zeigt, warum Cookies geladen werden, wenn der Google Tag Manager auf einer Webseite eingebunden wird.

Cookies existieren jeweils innerhalb einer Domäne (je nach Konfiguration auch in Subdomänen). Damit beim Abruf des Google Tag Manager Cookies übertragen werden, muss also zuvor ein Cookie in der Domäne googletagmanager.com existieren oder vom Google Tag Manager neu erzeugt werden.

Es reicht also, wenn eine einzige Webseite weltweit in der Domäne oder einer Subdomäne existiert, um die es geht, und ein Cookie setzt. Wir sprechen hier nur von persistenten Cookies, also von dauerhaften Cookies. Sitzungs-Cookies sind eher unkritisch (können aber dennoch unter bestimmten Bedingungen Probleme bereiten).

Hier der Beweis, dass beim Integrieren des Google Tag Managers Cookies geladen werden:

Beweis, dass beim Laden des Google Tag Managers ein Cookie transferiert wird.

Das Video zeigt, wie der “nackteTag Manager geladen wird, also ohne dass weitere Tools vom Tag Manager nachgeladen werden (die ansonsten für nachgelagerte Datenverarbeitungen verantwortlich sein könnten). Dennoch wird beim Abruf des Tag Managers ein Cookie transferiert. Weil das Cookie zum Laden des GTM schon mitgeschickt wird, ist es übrigens unerheblich, ob der GTM weitere Tools nachlädt oder nicht, denn das Cookie war ja schon beim Abruf des GTM da!

Wohlgemerkt, fand all das im Video gezeigte ohne Einwilligung statt. Es gibt nicht einmal eine Einwilligungsabfrage auf der gezeigten Webseite. Die gezeigte Webseite wurde rein zufällig ausgewählt. Es gibt zahlreiche andere Webseiten, die den Tag Manager einsetzen, auf denen das gleiche Verhalten nachweisbar ist.

Zur Reproduktion des im Video gezeigten Verhaltens ist im Mozilla Firefox folgendes zu tun:

  1. Webseite aufrufen, die auf der Domäne googletagmanager.com oder einer Subdomäne davon läuft und ein Cookie erzeugt
  2. Zum Nachverfolgen des Netzwerkverkehrs im Browser die Taste F12 drücken, um die Entwicklerkonsole zu öffnen. Dort den Karteireiter Netzwerkanalyse anklicken.
  3. Webseite aufrufen, die den Google Tag Manager einsetzt.
  4. Auf eine Netzwerkanfrage klicken, die den Google Tag Manager lädt, also Einträge mit googletagmanager.com suchen.
  5. Rechts in der Konsole auf den Karteireiter Cookies klicken. Die dort gezeigten Cookies wurden beim Laden des Tag Managers übertragen.

Der Google Tag Manager setzt direkt Cookies

Hierbei beziehe ich mich auf eine offizielle Aussage von Google von Ende Juli 2021. Google sagt selbst, dass über den sogenannten Preview and Debug Mode des Tag Managers Cookies gesetzt werden.

Verwendet nun ein Administrator den Vorschaumodus, gelangen so laut Google drei Tag Manager-Cookies, die mit googletagmanager.com assoziiert sind, auf dessen Endgerät. Besucht der Administrator später irgend eine beliebige Webseite, die den Tag Manager einbinden, werden die Vorschaumodus-Cookies an Google übertragen.

Google selbst bestätigt, dass in bestimmten Fällen Cookies vom Google Tag Manager genutzt werden, die mit googletagmanager.com assoziiert sind.

Mir vorliegendes Schreiben von Google von Juli 2021.

Dies trifft zwar nicht für alle Besucher einer Webseite zu, sondern „nur“ für Administratoren des Tag Managers, die den Vorschau- und Debug-Modus nutzen. Jedoch kommt erschwerend hinzu, dass mit den genannten Cookies ein konkreter, exakter Rückschluss auf die Person möglich ist. Denn die genannten Cookies enthalten Informationen, die auf ein Google-Konto rückschließen lassen. Das Google-Konto wiederum erlaubt genaue Rückschlüsse auf eine einzelne Person.

Tags des Google Tag Managers können Cookies setzen

Wenn man es genau nimmt, und das tun Anwälte gerne, die Datenschutzhinweise kritisieren, dann ist folgendes auch relevant für die Frage, ob der Google Tag Manager eine cookielose Domain ist.

Mit einem Custom Html Tag, also einem selbst erstellten Tag, kann der Tag Manager in die Lage versetzt werden, Cookies zu setzen. Hier ein Beispiel:

Quelle: https://www.analyticsmania.com/post/cookies-with-google-tag-manager/.

In der angegebenen Quelle finden sich weitere Beschreibungen dazu. Der Tag Manager kann also selbst Cookies setzen.

Es sei angemerkt, dass mit dem gezeigten Code ein Cookie auf der Domäne der aktuell besuchten Webseite erzeugt wird. Dennoch kann damit alleine schon gezeigt werden, dass der Tag Manager keine cookielose Domäne ist, denn der Tag Manager ist ein Dienst und dieser ist nicht cookielos, wie hier mehrfach gezeigt wurde.

Häufige Fehler zum Tag Manager

Auf zahlreichen Webseiten wird der Google Tag Manager eingesetzt, aber in der Datenschutzerklärung keines Wortes gewürdigt. Oft wird er in einem Einwilligungsfenster genannt, obwohl er angeblich keine Cookies einsetzt. Diese Erwähnung wäre an sich nicht schlimm, sondern begrüßenswert. Allerdings fokussieren sich sogenannte Consent Management Plattformen auf Cookies, was an sich falsch ist.

Wenn ein Tool eingesetzt wird, muss es gemäß Artikel 13 DSGVO erklärt werden. Dies hat zumindest in der Datenschutzerklärung zu geschehen. Sofern eine Cookie-Abfrage stattfindet, die eigentlich Einwilligungsabfrage heißen müsste, müsste die Erklärung zum Tool auch dort erfolgen, jedenfalls zumindest in ausreichender Form. Die Gesamterklärung kann dann in den Datenschutzhinweisen erfolgen.

Ein Tool gar nicht zu erklären ist an sich falsch, außer es handelt sich um einen technisch notwendigen Dienst, für den keine weiteren Vorschriften zu beachten sind (was im Einzelfall zu prüfen ist). Es ist auch falsch, als Anbieter eines Tools den Begriff „Google“ zu verwenden. Was bedeutet „Google“ denn? Wie lautet die vollständige Adresse von „Google“ und was ist die Rechtsform von „Google“?

Nicht selten fragen Webseiten nach einer Einwilligung für bestimmte Tools. Dennoch findet bereits vor Erteilen einer Einwilligung ein Ladevorgang statt, bei dem mitunter der Google Tag Manager involviert ist.

Weil der Tag Manager andere Tools nachlädt, kommen viele Consent Tools durcheinander. Noch ein Grund mehr, sie nicht einzusetzen! Lädt beispielsweise der Tag Manager den Dienst Google Analytics nach, werden über den vom Tag Manager eröffneten Datenkanal Cookies von Google Analytics gesetzt.

Hier ein Beispiel einer Einwilligungsabfrage aus der Praxis von einer Webseite eines bekannten deutschen Unternehmens:

Falsche Angaben zu erhobenen Daten im Zusammenhang mit dem Google Tag Manager

In diesem kleinen Bildchen existieren gleich mehrere offensichtliche Mängel:

  1. Die Cookies _ga und _gat werden dem Tag Manager zugeordnet, obwohl sie zu Google Analytics gehören. Die Datenschutzerklärung widerspricht dieser Angabe: „Der Dienst Google Tag Manager selbst (der die Tags implementiert) ist eine Cookie-lose Domain und erfasst keine personenbezogenen Daten.“ Wie man sieht, liegt hier mindestens einmal eine grobe Falschaussage vor.
  2. Als Anbieter wird „Google Tag Manager“ genannt. Jeder, der die Vorschriften des Telemediengesetzes zu Anbieterangaben kennt, wird zugeben, dass hier keine rechtskonforme Anbieterangabe vorliegt (auch außerhalb des TMG nicht).
  3. Der Begriff „Ablauf“ klingt eher nach Waschbecken. Er ist nicht allgemeinverständlich.
  4. Die Angabe „Typ: HTTP Cookie“ ist nicht allgemein verständlich.
  5. Die Zweckangabe zum Cookie _gat ist grober Unfug und allgemein unverständlich.

Würde man das Consent Popup, die Webseite und die Datenschutzerklärung weiter untersuchen, würde man wahrscheinlich mindestens doppelt so viele Mängel finden. Warum ich das behaupte, kann in meiner Untersuchung Cookiegeddon – das Versagen aller (?) Consent Tools nachgelesen werden.

Fehlendes berechtigtes Interesse

Selbstverständlich, sage ich, gibt es kein berechtigtes Interesse zum Laden des Google Tag Managers ohne Einwilligung. Gründe:

  1. Wird der GTM geladen, um weitere, einwilligungspflichtige Tools nachzuladen, bedarf es sowieso einer Einwilligung. Damit kann der GTM geladen werden, nachdem eine Einwilligung durch den Nutzer gegeben wurde.
  2. Den GTM alleine zu laden, ohne dass dieser andere Dienste nachlädt, hat keinen funktionellen Nutzen.
  3. Selbstverständlich kann jedes x-beliebige Tool auch ohne den GTM geladen werden. Hierzu bedarf es lediglich einer JavaScript-Logik, die nicht komplizierter sein muss als die im GTM hinterlegte Logik.

Wer meint, er müsste anführen, es wäre weniger Arbeit, mit dem GTM einen Ladevorgang für andere Dienste zu gestalten als ohne, hat damit möglicherweise recht. Wenn man sich als Autofahrer einen ordentlichen Parkplatz sucht, ist es allerdings mehr Aufwand als falsch zu parken. Dennoch darf niemand ad hoc falsch parken, obwohl es weniger Aufwand ist.

Ich behaupte allerdings, und kann das bei Bedarf auch durch Programmierung beweisen, dass der Einsatz des Google Tag Managers meist mit mehr Aufwand verbunden ist als die reine Programmierung des gewünschten Verhaltens über direkte JavaScript-Anweisungen. Selbst (oder erst Recht) der Betrieb eines Consent Tools zusammen mit dem Google Tag Manager ist ohne Tag Manager einfacher möglich. Man denke hier nur an die data-src Direktive.

Wer rechnet eigentlich die Zusatzarbeit mit ein, die es kostet, eine ordentliche Datenschutzerklärung zum Tag Manager zu erstellen und herauszufinden, wer der Anbieter des Dienstes ist und was der Anbieter mit den erhaltenen Daten macht? Zusätzlich kommt der Aufwand für die Beantwortung von Betroffenenanfragen hinzu, die Menschen wie ich stellen, weil sie glauben, dass viele den Datenschutz nicht ernst nehmen. Eine halbwegs unangreifbare Datenschutzerklärung zum Tag Manager findet man jedenfalls selten. Auch das Berücksichtigen der zahlreichen rechtlichen Bedingungen zum GTM führt zu einer Mehrarbeit, die kaum zu bewältigen erscheint. Ein zukünftiger Beitrag von mir beleuchtet diesen Aspekt.

Fazit

Dieser Beitrag wurde von mir geschrieben, um die Aussage, dass der GTM eine cookielose Domäne sei, mehrfach zu widerlegen. Wie bewiesen, können beim Laden des Tag Managers Cookies übertragen werden. Findet dieser Vorgang statt, ist der Tag Manager einer Einwilligungspflicht unterworfen, bevor er geladen werden darf. Dies folgt aus §15 Abs. 3 TMG und Art. 5 Abs. der ePrivacy Richtlinie. Eine genauere Herleitung findet sich auf meiner Webseite in mehreren anderen Artikeln.

Das berechtigte Interesse kann ausgeschlossen werden, weil der Einsatz des Tag Managers ohne das Nachladen von Tools offenbar unnötig ist und Tools, die nicht einwilligungspflichtig sind, auch ohne Tag Manager geladen werden können. Der GTM erfordert hingegen ein ganz erhebliches Maß an Mehrarbeit, wenn die rechtlichen Bedingungen von Google und von anderen verbindlichen Datenschutzregeln eingehalten werden sollen.

Vor Einsatz des Google Tag Managers muss eine Einwilligung vom Besucher der Webseite eingeholt werden

Begründung: siehe artikel

Weiterhin kann eine Einwilligungspflicht auch daraus abgeleitet werden, dass IP-Adressen als personenbezogene Daten an „Google“ übertragen werden. „Google“ ist ein Begriff, der einen weltweit operierenden Konzern beschreibt, der offenbar in den USA seinen Hauptsitz hat. Die USA sind ein unsicheres Drittland (siehe Privacy Shield Urteil). Aussagen der Firma Google zu Google Analytics lassen es wahrscheinlich erscheinen, dass die Verwendung des Google Tag Manager immer eine Datenerhebung in den USA zur Folge hat.

Update: Bei Nutzung des Google Tag Managers wird das Unternehmen Google LLC zur Datenverarbeitung tätig. Dies geht aus den „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ hervor (siehe https://privacy.google.com/businesses/processorterms/), die für den Google Tag Manager gelten (siehe die Google Tag Manager Nutzungsbedingungen unter https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, die beim Erstellen eines GTM-Kontos zu akzeptieren sind). Somit besteht rechtlich ein Zugriff aus den USA.

Das Einwilligungserfordernis für den Google Tag Manager kann man aus verschiedenen Gründen ableiten. In dem zugehörigen Beitrag gehe ich auch auf den Datentransfer über Google LLC sowie den Datentransfer in die USA aufgrund der Nutzungsbedingungen von Google ein.

Ein rechtsgültiger AVV mit Google kann meiner Einschätzung nach nicht abgeschlossen werden, auch, weil Google sich hunderter Auftragsverarbeiter aus dutzenden Ländern weltweit mit fragwürdigem Datenschutzniveau bedient (siehe https://privacy.google.com/businesses/subprocessors/. Diese Adresse wird in den vorgenannten AVV-Bedingungen verlinkt). Ebenfalls besagt die für den GTM gültige Datenschutzerklärung, dass Google die erhobenen Daten für eigene (technisch nicht notwendige) Zwecke nutzt, was einem AVV entgegensteht.

Weiterführende Artikel:

Bullshit Basics
Dies war ein Beitrag aus der Kategorie Bullshit Basics.
In dieser Kategorie werden weit verbreitete Unwahrheiten oder Falschwissen thematisiert und durch Fakten aufbereitet.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-tag-manager-ist-keine-cookielose-domain
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

  1. Tom

    Ist denn dr-dsgvo.de eine cookielose Domäne?

    • Dr. DSGVO

      dr-dsgvo.de ist jedenfalls eine Domäne, im Gegensatz zum Google Tag Manager.
      Der Google Tag Manager ist keine Domäne, sondern ein Dienst (viele sagen auch Tool dazu).
      Wie fast jeder Dienst, der durch einen Dritten bereitgestellt wird, wird eine Adresse zum Abruf des Dienstes (bzw. des Scripts, das den Dienst bereitstellt) benötigt. Diese Adresse enthält eine Domäne, sofern es sich um einen symbolischen Namen handelt.

      Gerne können Sie mich direkt per Mail anschreiben, wenn Sie weitere Infos benötigen.

  2. Sebastian

    Moin Herr Meffert,

    sehr spannender Artikel, der für mich als Jurist gut nachvollziebar war.
    Ich habe Ihre Anleitung gerade mal bei der Webseite der FAZ ausprobiert. Dort wurde mir tatsächlich kein Cookie beim GTM angezeigt. Vielleicht können wir uns hier zu einem kurzen Fachgespräch austauschen.

    Beste Grüße

  3. Christoph

    Interessanter Aspekt auf jeden Fall: Wenn der Browser ein Cookie hat, dann sendet er dessen Informationen bei jedem http-request mit.

    Die JS des Google Tag Manager (GTM-JS) wird über googletagmanager.com aufgerufen (das ist auch der einzige request der zu googletagmanager.com stattfindet: Die JS wird dann 900sec/ 15min vom Browser gecached. Also erst bei Seitenaufrufen danach würde das neu geladen werden.)

    Beim Ausliefern der GTM-JS wird aber kein Cookie gesetzt. D.h. mit einem frischen Browser (der https://cookiefirst.com/ aufruft) findet man KEINE Cookies von googletagmanager.com: Weder wurde etwas gesendet noch einer empfangen.

    Die Frage ist also, wo kann ich mir einen Cookie von googletagmanager.com “einsammeln”, der dann fortan immer mitgesendet wird – über die normale Einbindung des GTM-JS passiert das jedenfalls?

    Ein Aufruf von googletagmanager.com liefert jedenfalls keine Cookies aus (jedenfalls keine für googletagmanager.com – das ist auch ein http-400-error). Das user-interface läuft auch unter https://tagmanager.google.com/.

    Wie lässt sich also der Vorschlag:
    “Webseite aufrufen, die auf der Domäne googletagmanager.com oder einer Subdomäne davon läuft und ein Cookie erzeugt”
    konkret umsetzen?

    Und dieser Satz wird im Video und auch im Text NICHT bewiesen:
    “Hier der Beweis, dass beim Integrieren des Google Tag Managers Cookies geladen werden”
    Durch Einbindung des GTM-JS wird kein Cookie (des GTM) geladen – allenfalls werden Informationen eines bereits vorhandene GTM-Cookies mitgesendet.

    Mag jetzt rein rechtlich vielleicht nicht den riesen Unterschied machen. Aber praktisch schon – denn woher soll konkret das GTM-Cookie kommen?

    • Dr. DSGVO

      Danke für Ihre ausführliche Rückmeldung. Hier ein paar Anmerkungen dazu:
      Bei einem Aufruf mit einem “frischen” Browser wird generell nie ein Cookie gesendet, egal bei welchem Tool bzw. Dateiaufruf. Das liegt in der Natur der Sache.
      Auch ist es richtig, dass beim Laden des GTM in meinem Fall Cookies geladen wurden. Mit geladen meinte ich transferiert. Im Gegensatz dazu steht das Erzeugen. Hierfür reicht es, wenn eine einzige Webseite (von Google oder aus dem Hosting-Angebot von Google) weltweit ein Cookie in der passenden Domäne setzt. Wer kann das ausschließen? Siehe etracker, wo früher ein Cookie gesetzt wurde (Name: et_coid), jetzt aber wohl nicht mehr. Auf meinem System ist das Cookie noch vorhanden und kommt somit beim Aufruf einer etracker Webseite mit passender Domäne ins Spiel. Das Cookie kann jetzt gerade nicht mehr neu erzeugt werden, spielt aber keine Rolle bei der Betrachtung zum Vorhandensein des Cookies.

      Mir geht es um folgendes:
      * Die Aussage, ein Tool sei cookielos, ist sehr gewagt, wenn man nicht Anbieter des Tools ist und den Anbieter nicht sehr gut kennt (Google kennt wohl niemand sehr gut).
      * Der GTM verarbeitet ohne Cookies personenbezogene Daten, nämlich die IP-Adresse
      * Ohne AVV ist der GTM ohne Einwilligung sicher nicht rechtskonform
      * Einen gültigen AVV mit Google zu GTM gibt es nach meiner Untersuchung nicht (siehe Artikel auf diesem Blog)
      * Es ist leicht, den GTM zu vermeiden, siehe Untagmanager in diesem Blog, oder JavaScript-Logik, oder direktes Laden von Tools.
      * Die Aussage, der GTM sei eine Domäne, ist offentlich absolut falsch und kann nur von jemandem stammen, der gar keine Ahnung hat von dem, was er schreibt. Sich hier auf Dritte zu verlassen, ist offensichtlich nicht gut

  4. Stefan

    Vielen Dank für den informativen Artikel!

    Eine Frage hierzu:

    Angenommen der Google Tag Manager (GTM) setzt tatsächlich keine Cookies (was, wenn ich Sie richtig verstehe, zumindest angezweifelt werden kann), wird dann nicht zumindest das “Skript” (ich hoffe, das ist der korrekte Begriff?) des GTM im Webbrowser des Besuchers gespeichert, weshalb eine Einwilligung nach der ePrivacy-RL erforderlich ist? Anders gefragt: Wird das GTM “Skript” (oder allgemein “Skripte”) einfach “ausgeführt” oder muss es dazu lokal beim Betroffenen gespeichert werden?

    Und wie kann ich mir die technische Funktionsweise des GTM vorstellen? Um die “Tags” auslösen zu können, muss der GTM doch die Aktivität des Besuchers tracken. Wo / durch wen geschieht das – lokal auf meinem PC, durch Google? Sonst würde doch evtl. auch hier eine (ggf. auf Grund der DSGVO einwilligungsbedürftige) Datenverarbeitung vorliegen?

    Ich bin gespannt auf Ihre Antworten! Herzlichen Dank!

    • Dr. DSGVO

      Der GTM basiert auf JavaScript Befehlen, die in einer Datei (Script genannt) gespeichert sind und so von der besuchten Webseite abgerufen werden.
      Der Abruf findet mindestens beim ersten Aufruf der Webseite statt. Folgeaufrufe sind ggf. durch einen lokalen Zwischenspeicher (Cache) nicht mehr nötig.
      Der Unterschied zu Cookies ist, dass das Script beim Abruf aus dem lokalen Cache des Nutzers nur vom Browser des Nutzers selbst aus dem Endgerät ausgelesen wird und nicht von der Webseite oder einem von der Webseite verwendeten Tool (wie dem GTM).

      Der GTM wird meist verwendet, um einfach „nur“ andere Scripte nachzuladen. Teils konditional, also bedingungsabhängig. Diese Bedingungen werden als JavaScript-Befehle hinterlegt, die der Webseitenbetreiber definieren kann. Die Bedingungen werden auf der besuchten Webseite geprüft, da dort der Code ausgeführt wird. Eine Bedingung kann etwa sein: Warte 10 Sekunden. Das wäre DSGVO-unkritisch. Kritisch wäre es, wenn technisch nicht notwendige Cookies durch diesen Bedingungscode ausgelesen werden.

      Man muss sich das im Einzelfall ansehen. Eine sehr interessante Frage. Wenn Sie ein Fallbeispiel haben, schreiben Sie mir. Ich schaue es mir dann gerne an.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit Basics: Cookies sind keine Textdateien