Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

Bullshit Basics: Der Google Tag Manager ist keine cookielose Domäne: ein Beweis

9

In vielen Datenschutzerklärung wird behauptet, der Google Tag Manager sei eine cookielose Domäne. Andere suggerieren, dass für den Einsatz des Tag Managers keine Einwilligung erforderlich sei. Beides ist unhaltbar.

Der Google Tag Manager ist ein Tool, mit dem das Ausspielen anderer Tools gesteuert werden kann. Statt von Ausspielen könnte man auch von Nachladen anderer Tools sprechen. Oft wird die Abkürzung GTM für den Google Tag Manager verwendet.

Ist der Google Tag Manager eine cookielose Domäne?

Der Google Tag Manager ist keine Domäne. Wenn er eine Domäne wäre, wäre er nicht cookielos. Richtig ist, dass Cookies über die Domäne googletagmanager.com geladen werden können .

Der Tag Manager von Google wird über ein Script und eine Variante für Systeme mit deaktiviertem JavaScript eingebunden. Häufig ist ein Code wie dieser zu finden:

<script>
 (function(w, d, s, l, i) {
    w[l] = w[l] || [];
    w[l].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });                      
    var f = d.getElementsByTagName(s)[0],j = d.createElement(s),                         
            dl = l != 'dataLayer' ? '&amp;l=' + l : '';                      
    j.async = true;
    j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;                     
    f.parentNode.insertBefore(j, f);                 
  })(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');             

 <iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Der Script-Teil ist die Logik zum Laden des Tag Manager Haupt-Scripts namens gtm.js. Dabei werden einige Parameter gesetzt. Darunter folgt in einem iframe-Tag eine Logik zum Feuern des Tag Managers, wenn JavaScript im Browser des Nutzers deaktiviert ist.

Häufige Missverständnisse zum Tag Manager

Wie zu sehen, wird der Tag Manager von der Domäne googletagmanager.com geladen. Eine Domäne kann theoretisch cookielos sein. Ein Tool als Domäne zu bezeichnen, ist an sich falsch.

Eine Domäne als cookielos zu bezeichnen, ist eine sehr gewagte Aussage. Diese Aussage kann nur richtig sein, wenn man sie wohlwollend versteht. Eine Domäne an sich ist nicht Verwalter von Cookies. Vielmehr sind alle auf dieser Domäne befindlichen Webseiten und von Dritt-Webseiten geladenen externen Dateien auf dieser Domäne mögliche Verwalter von Cookies. Wer sich anmaßt, alle diese Webseiten und Dateien einer Domäne zu kennen, muss sehr gut bescheid wissen.

Eine Domäne kann an sich keine Cookies verwalten. Das können nur die auf dieser Domäne befindlichen Dateien. Wenn man mögliche Konfigurationen auf Ebene des Web-Servers außen vor lässt, können nur Dateien, die Programmlogik ausführen, Cookies verwalten. Unter Verwalten versteht man hier das Erzeugen, Auslesen, Ändern und Löschen von Cookies.

Der Google Tag Manager ist keine cookielose Domäne. Um es richtiger zu sagen:

Von der Domäne googletagmanager.com werden Cookies geladen!

Untersuchung des Google Tag Managers auf Webseiten, die diesen einsetzen (Quelle: dr-dsgvo.de)

Der Google Tag Manager lädt direkt Cookies

Ja, Sie haben richtig gelesen. Glauben Sie nicht das, was andere behaupten! Dieser Abschnitt zeigt, warum Cookies geladen werden, wennd er Google Tag Manager auf einer Webseite eingebunden wird.

Cookies existieren jeweils innerhalb einer Domäne (je nach Konfiguration auch in Subdomänen). Damit beim Abruf des Google Tag Manager Cookies übertragen werden, muss also zuvor ein Cookie in der Domäne googletagmanager.com existieren oder vom Google Tag Manager neu erzeugt werden.

Es reicht also, wenn eine einzige Webseite weltweit in der Domäne oder einer Subdomäne existiert, um die es geht, und ein Cookie setzt. Wir sprechen hier nur von persistenten Cookies, also von dauerhaften Cookies. Sitzungs-Cookies sind eher unkritisch (können aber dennoch unter bestimmten Bedingungen Probleme bereiten).

Hier der Beweis, dass beim Integrieren des Google Tag Managers Cookies geladen werden:

Beweis, dass beim Laden des Google Tag Managers ein Cookie transferiert wird.

Das Video zeigt, wie der “nackteTag Manager geladen wird, also ohne dass weitere Tools vom Tag Manager nachgeladen werden! Dennoch wird beim Abruf des Tag Managers ein Cookie transferiert. Weil das Cookie zum Laden des GTM schon mitgeschickt wird, ist es übrigens unerheblich, ob der GTM weitere Tools nachlädt oder nicht, denn das Cookie war ja schon beim Abruf des GTM da!

Wohlgemerkt, fand all das im Video gezeigte ohne Einwilligung statt. Es gibt nicht einmal eine Einwilligungsabfrage auf der gezeigten Webseite. Die gezeigte Webseite wurde rein zufällig ausgewählt. Es gibt zahlreiche andere Webseiten, die den Tag Manager einsetzen, auf denen das gleiche Verhalten nachweisbar ist.

Zur Reproduktion des im Video gezeigten Verhaltens ist im Mozilla Firefox folgendes zu tun:

  1. Webseite aufrufen, die auf der Domäne googletagmanager.com oder einer Subdomäne davon läuft und ein Cookie erzeugt
  2. Zum Nachverfolgen des Netzwerkverkehrs im Browser die Taste F12 drücken, um die Entwicklerkonsole zu öffnen. Dort den Karteireiter Netzwerkanalyse anklicken.
  3. Webseite aufrufen, die den Google Tag Manager einsetzt.
  4. Auf eine Netzwerkanfrage klicken, die den Google Tag Manager lädt, also Einträge mit googletagmanager.com suchen.
  5. Rechts in der Konsole auf den Karteireiter Cookies klicken. Die dort gezeigten Cookies wurden beim Laden des Tag Managers übertragen.

Weitere Fehler zum Tag Manager

Auf zahlreichen Webseiten wird der Google Tag Manager eingesetzt, aber in der Datenschutzerklärung keines Wortes gewürdigt. Oft wird er in einem Einwilligungsfenster genannt, obwohl er angeblick keine Cookies einsetzt. Diese Erwähung wäre an sich nicht schlimm, sondern begrüßenswert. Allerdings fokussieren sich sogenannte Consent Management Plattformen auf Cookies, was an sich falsch ist.

Wenn ein Tool eingesetzt wird, muss es gemäß Artikel 13 DSGVO erklärt werden. Dies hat zumindest in der Datenschutzerklärung zu geschehen. Sofern eine Cookie-Abfrage stattfindet, die eigentlich Einwilligungsabfrage heißen müsste, müsste die Erklärung zum Tool auch dort erfolgen, jedenfalls zumindest in ausreichender Form. Die Gesamterklärung kann dann in den Datenschutzthinweisen erfolgen.

Ein Tool gar nicht zu erklären ist an sich falsch, außer es handelt sich um einen technisch notwendigen Dienst, für den keine weiteren Vorschriften zu beachten sind (was im Einzelfall zu prüfen ist). Es ist auch falsch, als Anbieter eines Tools den Begriff “Google” zu verwenden. Was bedeutet “Google” denn? Wie lautet die vollständige Adresse von “Google” und was ist die Rechtsform von” Google”?

Nicht selten fragen Webseiten nach einer Einwilligung für bestimmte Tools. Dennoch findet bereits vor Erteilen einer Einwilligung ein Ladevorgang statt, bei dem mitunter der Google Tag Manager involviert ist.

Weil der Tag Manager andere Tools nachlädt, kommen viele Consent Tools durcheinander. Noch ein Grund mehr, sie nicht einzusetzen! Lädt beispielsweise der Tag Manager den Dienst Google Analytics nach, werden über den vom Tag Manager eröffneten Datenkanal Cookies von Google Analytics gesetzt.

Hier ein Beispiel einer Einwilligungsabfrage aus der Praxis von einer Webseite eines bekannten deutschen Unternehmens:

Falsche Angaben zu erhobenen Daten im Zusammenhang mit dem Google Tag Manager

In diesem kleinen Bildchen existieren gleich mehrere offensichtliche Mängel:

  1. Die Cookies _ga und _gat werden dem Tag Manager zugeordnet, obwohl sie zu Google Analytics gehören. Die Datenschutzerklärung widerspricht dieser Angabe: “Der Dienst Google Tag Manager selbst (der die Tags implementiert) ist eine Cookie-lose Domain und erfasst keine personenbezogenen Daten.”. Wie man sieht,liegt hier mindestens einmal eine grobe Falschaussage vor.
  2. Als Anbieter wird “Google Tag Manager” genannt. Jeder, der die Vorschriften des Telemediengesetzes zu Anbieterangaben kennt, wird zugeben, dass hier keine rechtskonforme Anbieterangabe vorliegt (auch außerhalb des TMG nicht).
  3. Der Begriff “Ablauf” klingt irgendwie nach Waschbecken. Er ist nicht allgemeinverständlich.
  4. Die Angabe “Typ: HTTP Cookie” ist nicht allgemein verständlich.
  5. Die Zweckangabe zum Cookie _gat ist grober Unfug und allgemein unverständlich.

Würde man das Consent Popup, die Webseite und die Datenschutzerklärung weiter untersuchen, würde man wahrscheinlich mindestens doppelt so viele Mängel finden. Warum ich das behaupte, kann in meiner Untersuchung Cookiegeddon – das Versagen aller (?) Consent Tools nachgelesen werden.

Fehlendes berechtigtes Interesse

Selbstverständlich, sage ich, gibt es kein berechtigtes Interesse zum Laden des Google Tag Managers ohne Einwilligung. Gründe:

  1. Wird der GTM geladen, um weitere, einwilligungspflichtige Tools nachzuladen, bedarf es sowieso einer Einwilligung. Damit kann der GTM geladen werden, nachdem eine Einwilligung durch den Nutzer gegeben wurde.
  2. Den GTM alleine zu laden, ohne dass dieser andere Dienste nachlädt, hat keinen funktionellen Nutzen.
  3. Selbstverständlich kann jedes x-beliebige Tool auch ohne den GTM geladen werden

Wer meint, er müsste anführen, es wäre weniger Arbeit, mit dem GTM einen Ladevorgang für andere Dienste zu gestalten als ohne, hat damit möglicherweise recht. Wenn man sich als Autofahrer einen ordentlichen Parkplatz sucht, ist es allerdings mehr Aufwand als falsch zu parken. Dennoch darf niemand ad hoc falsch parken, obwohl es weniger Aufwand ist.

Wo wir gerade von weniger Arbeit sprechen: Wer rechnet eigentlich die Zusatzarbeit mit ein, die es kostet, eine ordentliche Datenschutzerklärung zum Tag Manager zu erstellen und herauszufinden, wer der Anbieter des Dienstes ist und was der Anbieter mit den erhaltenen Daten macht? Zusätzlich kommt der Aufwand für die Beantwortung von Betroffenenanfragen hinzu, die Menschen wie ich stellen, weil sie glauben, dass viele Datenschutz nicht ernst nehmen. Eine halbwegs unangreifbare Datenschutzerklärung zum Tag Manager findet man jedenfalls selten.

Fazit

Wie bewiesen, werden Cookies beim Laden des Tag Managers übertragen. Damit ist der Tag Manager einer Einwilligungspflicht unterworfen, bevor er geladen werden darf.

Dies folgt aus Art. 5(3) der ePrivacy Richtlinie. Eine genauere Herleitung findet sich auf meiner Webseite in mehreren anderen Artikeln.

Weiterhin kann eine Einwilligungspflicht auch daraus abgeleitet werden, dass IP-Adressen als personenbezogene Daten an “Google” übertragen werden. “Google” ist ein Begriff, der einen weltweit operierenden Konzern beschreibt, der offenbar in den USA seinen Hauptsitz hat. Die USA sind ein unsicheres Drittland (siehe Privacy Shield Urteil).

Weiterführende Artikel:

Bullshit Basics
Dies war ein Beitrag aus der Kategorie Bullshit Basics.
In dieser Kategorie werden weit verbreitete Unwahrheiten oder Falschwissen thematisiert und durch Fakten aufbereitet.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-tag-manager-ist-keine-cookielose-domain
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.