Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Tag Manager: rechtliche Bedingungen für den Betrieb auf Webseiten

0

Der Google Tag Manager erleichtert aus Sicht vor allem von Internet-Agenturen die Arbeit. Schaut man sich das Tool genauer an, fällt es schwer, eine Arbeitserleichterung zu erkennen. Vielmehr wird herabgestufte Programmierkenntnis durch rechtliche Komplexität ergänzt.

Einleitung

Der Google Tag Manager (GTM) dient in erster Linie dazu, andere Tools auszuspielen. Anstatt ein Tool direkt zu laden, wird es vom GTM geladen. Gelegentlich soll mithilfe des GTM eine Consent-abhängige Ausspielung bewerkstelligt werden. Bestimmte Tools sollen also erst geladen werden, nachdem der Nutzer dies durch Einwilligung erlaubt hat.

Für all das genannte muss der GTM nicht eingesetzt werden. Dienste zu laden oder abhängig von Bedingungen nachzuladen, ist problemlos ohne den GTM möglich. Doch wozu ist der GTM dann gut und warum halten viele Agenturen an ihm fest?

Sonderfall Google Analytics

Bevor ich tiefer einsteige, möchte ich auf ein Detail zu Google Analytics aufmerksam machen. Es veranschaulicht meinem Eindruck nach sehr plastisch die Ziele, die Google verfolgt.

Für das Einbinden von Google Analytics in eine Webseite bietet Google direkt zwei Möglichkeiten an. Die von Google bevorzugte Möglichkeit ist die Einbindung über den sogenannten Global Site Tag (gtag.js). Wie das Bild zeigt, wird dieser Site Tag vom Google Tag Manager geladen:

Das Einbinden von Google Analytics mit dem Google Tag Manager ist die von Google empfohlene Methode.

Google bietet also als vornehmlich einzige Möglichkeit, Google Analytics in eine Webseite einzubinden, den Google Tag Manager an. Nur wer in dem gezeigten Bild noch weiter runterscrollt und alles genau durchliest und dann noch auf den folgenden Link klickt, erfährt weitere Möglichkeiten:

Etwas versteckter Link, der weitere Integrationsmöglichkeiten von Google Analytics darstellt.

Klickt man auf den Link, erscheinen folgende drei Möglichkeiten:

Integrationsmöglichkeiten von Google Analytics.

Die ersten beiden gezeigten Möglichkeiten nutzen den GTM. Nur die dritte Möglichkeit nutzt eine Bibliothek namens analytics.js, die von der Domäne google-analytics.com geladen wird. Zu dieser Domäne werden auch Tracking Events hingeschickt. Aus Gründen der Datenminimierung wäre es nicht verkehrt, nur zu dieser Domäne Verbindung aufzunehmen und nicht auch noch zu googletagmanager.com.

Google Analytics wird völlig unnötig bevorzugt über den Tag Manager ausgespielt.

Vorgabe von Google bei Abruf des Google Analytics Tracking Codes.

Der sich ergebende Netzwerkverkehr beim standardisierten Einbinden von Google Analytics zeigt das Datenschutz-Dilemma auf einen Blick:

Anstatt eines Dienstes werden zwei verschiedene Dienste abgerufen, um Google Analytics einzubinden.

Google möchte Datensparsamkeit anscheinend verhindern und schlägt direkt den GTM als vornehmlich beste Möglichkeit vor. Nicht selten wird der sogenannte Page Speed als Argument für das Einbinden von Google Fonts von schnellen Google Server ins Feld geführt. Dem widerspricht es etwas, wenn dann für das Laden von Google Analytics ein Umweg in Kauf genommen wird, vor allem, wenn der GTM für nichts anderes verwendet wird oder ersetzbar ist.

Laden von Tools mit dem Tag Manager

Zunächst stellt sich die Frage, warum ein Tool nicht auch direkt, also ohne den Tag Manager geladen werden kann. Es gibt aus technischer und rechtlicher Sicht keine gute Begründung, warum der Tag Manager nicht einfach weggelassen werden kann. Stattdessen Tool X direkt oder indirekt laden und fertig.

Wie das indirekte Laden geht, zeigt mein Untagmanager. Alles, was mit GTM Tags gemacht werden kann, kann auch direkt mit JavaScript Logik gemacht werden.

Auch das sogenannte Server Side Tagging funktioniert natürlich ohne den GTM.

Der Google Tag Manager kann ohne Nachteile ersatzlos gestrichen oder leicht ersetzt werden.

Je nach Anwendungsfall ist der GTM entweder nutzlos oder leicht durch JavaScript zu ersetzen.

Wie ich in einem zukünftigen Beitrag zeigen werden, ist auch der Google Consent Mode ein mehr als fragwürdiges Konstrukt, welches nur Google nützt und allen anderen sogar schadet.

Rechtliche Würdigung

Der Google Tag Manager wird oft als cookielose Domäne bezeichnet. Diese Angabe ist in zahlreichen Datenschutzhinweisen zu finden. Gemäß Art. 12 DGSVO sowie Art. 5 DSGVO muss die Zweckangabe eindeutig und korrekt erfolgen. Die Angabe, dass der GTM eine cookielose Domäne sei, ist schlichtweg falsch, wie ich gezeigt habe. Wer diesen Fallstrick überwunden hat, auf den lauern zahlreiche weitere.

Erleichtert der Google Tag Manager die Arbeit?

Der Google Tag Manager ist nicht einfach zu nutzen, wie viele Agenturen behaupten. Folgende Aspekte und Rahmenbedingungen sind aus meiner Sicht zu berücksichtigen. Die genannten URLs zu Google Dokumenten sind absichtlich nicht als Link ausgeprägt, u. a. aufgrund der Verantwortlichkeit und auch, um den Google Tag Manager nicht unnötig zu fördern.

  1. Der GTM ist Teil der Google Marketing Plattform (siehe https://marketingplatform.google.com/about/tag-manager). Es handelt sich also um ein Werbe-Produkt. Bekanntlich sind Werbe-Produkte etwas anderes als rein funktionale Produkte, denen der Google Tag Manager gerne und offensichtlich fälschlicherweise zugeordnet wird. Viele verweisen bekanntlich darauf, dass der GTM zustandslos sei und eigentlich nichts tut, als andere Dienste nachzuladen. Warum gehört er dann zur Google Marketing Plattform?
  2. Rechtliche Bedingungen von Google prüfen, einhalten und bestätigen, insbesondere:
    • Google Tag Manager-Nutzungsbedingungen (Text, der bei Kontoeröffnung angezeigt wird. Als Sprache stehen nur Englisch und vier andere, nicht aber Deutsch zur Verfügung). Der Text ist auch hier einsehbar: https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/
    • Google Nutzungsbedingungen: https://www.google.com/intl/en/policies/terms/
    • Google Datenschutzhinweise: https://policies.google.com/privacy?hl=en bzw. über manuellen Aufruf in Deutsch: https://policies.google.com/privacy?hl=de. Dort steht insbesondere geschrieben:
      • „Unter Umständen werden die durch uns erhobenen Daten zu den oben beschriebenen Zwecken dienst- und geräteübergreifend kombiniert.“
      • „Außerdem nutzen wir Ihre Daten, um unsere Dienste zu verbessern“
      • „Wir nutzen die im Rahmen unserer bestehenden Dienste erhobenen Daten zur Entwicklung neuer Dienste.“
      • „Wir nutzen die von uns erhobenen Daten zur Personalisierung unserer Dienste.“
    • Zur Speicherdauer enthält das Dokument unter https://policies.google.com/technologies/retention?hl=de weitere Hinweise, u. a.:
      • „Zudem unternehmen wir Schritte zur Anonymisierung bestimmter Daten innerhalb festgelegter Zeiträume. Zum Beispiel anonymisieren wir Werbedaten in Serverprotokollen, indem wir einen Teil der IP-Adresse und Cookie-Informationen nach 9 bzw. 18 Monaten löschen.
    • Richtlinie zur Einwilligung der Nutzer in der EU: https://www.google.com/about/company/user-consent-policy/. Die Richtlinie von Google zur EU-Nutzereinwilligung ist für den Google Tag Manager relevant, wie Google schreibt. Sie gilt übrigens ebenso für die Google Maps Platform, den YouTube API-Dienste und reCAPTCHA sowie für die Richtlinien für Blogger.
    • Zusätzliche Nutzungsbedingungen für die Startseite der Marketing Platform: https://support.google.com/marketingplatform/answer/9047313
    • Gemäß vorigem kann es von Zeit zu Zeit zusätzliche Nutzungsbedingungen geben, die etwa unter https://marketingplatform.google.com/terms veröffentlicht werden
    • Auftragsdatenverarbeitungsbedingungen (AVV) für Google Werbeprodukte (siehe https://privacy.google.com/businesses/processorterms/). Dort ist u. a. angegeben, dass Daten „spätestens nach einer Dauer von 180 Tagen“ gelöscht werden.

Wie bereits in dieser kurzen Übersicht zu erkennen ist, erscheint ein gültiger AVV mit Google in weiter Ferne. Jedenfalls sprechen die Datenschutzhinweise und die Angaben im AVV dagegen. Dort ist eine sehr kritische Speicherdauer angegeben. Ebenfalls behält Google sich die Nutzung von Daten zu eigenen Zwecken vor. Die Datenschutzhinweise sind ebenso wie die anderen genannten Bedingungen vom Google-Kunden, der den GTM nutzen möchte, einzuhalten. Das jedenfalls stellt Google vor Eröffnung eines Tag Manager-Kontos klar.

Einige der zahlreichen Nutzungsbedingungen für den Google Tag Manager, die Google verbindlich vorgibt.

Nachdem die rechtlichen Bedingungen bestätigt, also am besten auch gelesen und verstanden wurden, geht die Arbeit weiter.

Die rechtliche Komplexität des Google Tag Managers ist für Verantwortliche nicht beherrschbar.

Mein Fazit.

Datentransfer in die USA

Potentiell werden von GTM entweder Daten in die USA übertragen oder an eine Firma, die in den USA ihren Sitz hat. Dies geht aus den rechtlichen Bedingungen des GTM hervor. Insbesondere in den „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ steht:

Google LLC (USA) erhält immer Zugriff auf Daten, die mit dem Google Tag Manager erhoben wurden. Quelle: https://privacy.google.com/businesses/processorterms/.

Gemäß dem dort gezeigten Punkt 10.3 kommen zahlreiche Rechenzentren weltweit zur Datenverarbeitung zum Einsatz.

Standorte der Google-Rechenzentren (Teile des Überschriftentextes zur leichteren Lesbarkeit entfernt). Quelle: https://www.google.com/intl/de/about/datacenters/locations/.

Die Rechenzentren, die zur Datenverarbeitung für den Google Tag Manager zum Einsatz kommen, befinden sich somit unter anderem auch in den USA.

Weitere Aktivitäten vor Nutzung des Google Tag Managers

Um den Tag Manager nutzen zu können, muss ein Google Konto eröffnet werden. Dies kann unmittelbar nach Bestätigung der rechtlichen Bedingungen erfolgen. Die Aktivitäten beinhalten insbesondere folgende Schritte:

  1. Google Tag Manager-Konto eröffnen.
  2. Google Ads Zusatz zur Datenverarbeitung abschließen.
  3. Zusatz zur Datenverarbeitung verwalten: „Klicken Sie auf Details zum Zusatz zur Datenverarbeitung verwalten, um Ihre Angaben zur Compliance zu aktualisieren bzw. zu vervollständigen. Auf der Seite, die daraufhin geöffnet wird, können Sie Kontakte und Rechtspersönlichkeiten Ihrer Organisation bearbeiten (sofern dieses Konto mit einer Organisation verknüpft ist).“
    • Kontakte und Rechtspersönlichkeiten der Organisation, die zum GTM Konto gehört, pflegen
  4. Überlegungen vor der Installation anstellen (siehe https://support.google.com/tagmanager/answer/6103576), Kurzanleitung ansehen (siehe https://developers.google.com/tag-manager/quickstart).
  5. GTM einrichten und installieren (siehe https://support.google.com/tagmanager/answer/6103696).
  6. Nutzer und Berechtigungen einrichten (siehe https://support.google.com/tagmanager/answer/6107011).
  7. Prüfen, ob die Bestätigung für Admins in zwei Schritten aktiviert werden soll (siehe https://support.google.com/tagmanager/answer/4525539).
  8. Neue Version des GTM Containers testen (Achtung: Hierbei werden Cookies gesetzt, die laut Google mit dem GTM assoziiert werden. Dies bedeutet: Sobald ein GTM Admin als normaler Besucher einer beliebigen Webseite X fungiert, werden beim Abruf des GTM durch die Webseite X Cookies übertragen. Dies muss der GTM Admin selber berücksichtigen, weil seine eigene Webseite jederzeit von einem anderen GTM Admin besucht werden kann).
  9. Neue Version des GTM Containers publizieren.
  10. Datenschutzhinweise auf der eigenen Webseite vorhalten und aktuell halten.
  11. Einwilligungspflicht gemäß Vorgaben von Google und DSGVO sowie TMG/TTDSG umsetzen. Dabei berücksichtigen, dass sogenannte Consent Tools meist erhebliche rechtliche Risiken sowie Kosten (Installation, Betrieb, Wartung) mit sich bringen.
  12. Diskussion mit dem DSB, falls vorhanden, führen.

Weitere Überlegungen

Wer rechtlich halbwegs abgesichert sein möchte, wird wahrscheinlich bereits nach Lesen der obigen rechtlichen Rahmenbedingungen entschieden haben, den GTM nicht zu nutzen. Wer immer noch dabei ist, sollte folgendes bedenken.

Der Google Tag Manager hat mehr negative als positive Konsequenzen für Verantwortliche. Nur für Google selbst gilt das Gegenteil.

Mein Fazit.

Angenommen, jemand besucht Webseite X, wo ein Google Dienst eingebunden ist, beispielsweise der Tag Manager. Dann werden Daten auf Webseite X für und von Google erhoben, weil dort ein Google Dienst eingebunden ist. Die Daten werden bei Google verarbeitet und nicht gelöscht. Stimmt man später bei Google zu (etwa im Google Konto), nutzt Google diese Daten, die Google gar nicht mehr hätte haben dürfen, für eigene Zwecke. Dies kann man in den Google Datenschutzhinweisen lesen (https://policies.google.com/privacy?hl=de): „Abhängig von Ihren Einstellungen zeigen wir Ihnen möglicherweise auch auf Ihre Interessen abgestimmte personalisierte Werbung.“ sowie „In den Einstellungen für Werbung können Sie selbst festlegen, welche Daten wir zum Schalten von Anzeigen verwenden können.“

Fazit

Der Google Tag Manager ist für manche Anwendungsfälle scheinbar eine Arbeitserleichterung. Das gilt allerdings höchstens dann, wenn einem die rechtlichen Rahmenbedingungen nahezu egal sind und man diese weitgehend ignoriert. Wer alle relevanten Nutzungsbedingungen, Datenschutzhinweise und Richtlinien von Google liest, um alles richtig machen zu können, muss sich einige Stunden Zeit nehmen.

Der Aufwand, den Datenschutzbeauftragte, Agenturen und Kunden bei der Abstimmung zu Google Tools verbraten, muss auch vom irgend jemandem bezahlt werden. Agenturen wälzen die Verantwortung gerne auf deren Kunden oder die Datenschutzbeauftragten der Kunden ab. Ich rege regelmäßig bei Kunden an, dass diese ihre Web-Agenturen doch um Haftungsübernahme bitten. Wenn eine Agentur dem Kunden ein Tool vorschlägt oder empfiehlt, dann ist dies nur legitim, wenn die Agentur auch weiß, wie das Tool rechtlich zu handhaben ist. Kunden kommen dann schnell dazu, Google Tools einfach wegzulassen. Wie durch ein Wunder existiert die Welt danach weiter und die Umsätze brechen auch nicht ein.

Der Google Tag Manager kann leicht ersetzt werden.

Zumindest bei Vorhandensein von minimalen Programmierkenntnissen oder bei Verwendung von alternativen Diensten wie einem anderen Tag Manager.

Wer gar nicht programmieren kann und meint, den Google Tag Manager nutzen zu müssen, sollte auch selber dafür verantwortlich zeichnen. Agenturen sollten sich abgewöhnen, ihren Kunden etwas zu empfehlen, ohne selber zu wissen, welche Konsequenzen daraus entstehen.

Im Fall des Google Tag Managers ist die Lösung einfach. Sie besteht darin, den GTM gar nicht zu verwenden. Meist reicht ein ersatzloses Streichen. Populäre Consent-Tools, die ebenso fragwürdig wie der GTM sind, unterstützen beispielsweise die data-src Direktive für erst nach Einwilligung zu ladenden Ressourcen.

Wer unbedingt einen einwilligungspflichtigen Dienst einsetzen will, kann mein kostenfreies Consent Tool nutzen und hat somit die Chance, entweder zu erkennen, dass der rechtskonforme Einsatz nicht möglich ist oder durch eigene Bemühungen rechtliche Sicherheit zu schaffen.

Auch bietet Matomo ein Tag Management System an, welches ich mir allerdings noch nicht näher angeschaut habe. Damit oder alternativ mit JavaScript-Kenntnissen kann beispielsweise ein tiefer gehendes Nachverfolgen von Nutzeraktionen (dann am besten nur mit Einwilligung) realisiert werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Analytics als effektives Hilfsmittel für Cybercrime Datenklau