gekennzeichnet.
Aus Datenschutzsicht ist der Google Tag Manager eine Katastrophe. Er ist rechtlich kaum beherrschbar. Google erhält personenbezogene Daten, was viele nicht verstehen wollen. Weiterhin wird der GTM wahlweise oft als cookielose Domäne oder als Cookie deklariert. Im Datenschutz Deluxe Podcast klären Stephan Plesnik und ich auf.
Einleitung
Eines der größten Missverständnisse der Neuzeit ist die Wahrnehmung des Google Tag Manager. Es fängt schon damit an, dass der GTM oft als cookielose Domäne bezeichnet wird. Das ist nun wirklich völliger Bullshit. Wer so etwas behauptet, und das trotz eines Hinweises auf den Unsinn dieser Aussage, ist weder lernfähig noch gut informiert. Ich mache niemandem einen Vorwurf, wenn er oder sie etwas Falsches abschreibt oder übernimmt, was ein angeblicher Experte für richtig erklärt hat. Aber spätestens nach einem fundierten Hinweis darauf, dass die Sachlage eine andere ist, sollte man die Argumente berücksichtigen.
So geschah es, dass der Google Tag Manager vermehrt als cookielose Domäne bezeichnet wurde. Machen wir es kurz: Der GTM ist keine Domäne, sondern ein Dienst. Dass er auch nicht cookielos ist, zeigt mein Beitrag zum Google Tag Manager. Auch Google erklärt, dass der GTM Cookies setzen kann. Woher will eigentlich irgend jemand wissen, welche Cookies ein Dienst irgendwann mal gesetzt hatte oder zukünftig setzen wird? Ex post und Ex ante würde das der Jurist wohl nennen.
Dann wird der GTM oft auch als Cookie deklariert. Das kommt wohl daher, weil Anbieter von Consent Tools bei der Einwilligungsabfrage fast ausschließlich auf Cookies abstellen. So kommt es, dass der GTM als Cookie der Kategorie „Essentiell“ bezeichnet wird. Ganz schlimm wird es, wenn dann noch in den Datenschutzhinweisen steht, dass der GTM cookielos sei. Die Inkonsistenz könnte nicht größer sein.
Manche meinen, dass der Google Tag Manager erforderlich sei. Daran ist zum einen Google mit Schuld. Hier ein paar Belege: Google liefert Google Analytics am liebsten zusammen mit dem GTM aus. Das ist nicht nötig, aber besser für das Datensammeln. Google bietet einen sogenannten Consent Mode an. Der funktioniert so: Google erhält immer alle Daten. Der verantwortliche Website-Betreiber erhält die Daten nur nach Einwilligung durch Nutzer. Ohne Einwilligung verwässert Google die guten (durch Einwilligung legitimierten Daten) mit den schlechten (uneingewilligten, angeblich anonymisierten) Daten. Das finden weder Datenschützer noch Marketing-People geil. Nur Google findet das echt super.
Den GTM ohne Einwilligung zu laden, nur, damit er da ist, ist für den Verantwortlichen eigentlich sinnlos. Er geht damit sogar unnötig rechtliche Risiken ein. Ansonsten ist der GTM aber auch entbehrlich. Er lädt „nur“ andere Dienste nach. Welche Dienste das sind, kann über eine Komfortfunktion eingestellt werden. Weil viele Marketing-Mitarbeiter nichts mit Web Entwicklern oder Datenschützern zu tun haben wollen, nehmen sie diese Möglichkeit gerne eigeninitiativ an.
Wer den GTM weglassen oder wenigstens sicherer betreiben will, finden im Podcast einige Hinweise. Zusätzlich sei mein Untagmanager erwähnt, der als einfacher Ersatz für den GTM dienen kann. Ansonsten sollten die umfangreichen rechtlichen Bedingungen zum GTM mal gelesen werden.
Seit dieser Folge moderiert Stephan Plesnik den Datenschutz Deluxe-Podcast. Frank Kremin hatte das bisher immer toll gemacht und kann dies aus beruflichen Gründen leider nicht mehr tun. Mein großer Dank an Frank für die bisherigen Podcast-Folgen, deren Produktion mir immer viel Spaß bereitet hat. Auch war er der Initiator des Podcasts. Wir haben einige seiner Ideen weitergeführt, wie zum Beispiel das Zitat am Anfang der Folge.
Übrigens erklärt Stephan Plesnik in Videoform populäre Themen und nimmt dabei Bezug auf meine Beiträge. Sein Videokanal Datenschutz ist Pflicht greift den Google Tag Manager mit weiteren Fragestellungen auf. Ebenso wird er darüber berichten, warum IP-Adressen für Google potentiell immer personenbezogene Daten sind. Dafür greift er meinen Beitrag auf und gibt die Essenz mit seinen eigenen Worten wieder.
Die bisherigen Folgen des Datenschutz Deluxe Podcasts sind:
- Folge 1: Spannende Datenschutzfragen
- Folge 2: Cookies und Cookie Tools
- Folge 3: Google Topics und Google FloC (das Ende aller Cookies? Nein!)
- Folge 4: Reichweitenmessung für Webseiten und Apps
- Folge 5: Server Side Tracking und Cookies
- Folge 6: Datenschutzverstöße: Diskussion zwischen Informatiker und Rechtsanwalt
- Folge 7: Smart Home Geräte: Datenschutz und gesetzliche Vorgaben
- Folge 8: Conversion Tracking
Weitere Folgen finden Sie hier in der Übersicht zum Datenschutz Deluxe Podcast:
Kernaussagen dieses Beitrags
Der Google Tag Manager ist kein cookieloser Dienst.
Der GTM kann Cookies setzen und wird oft fälschlicherweise als solcher deklariert.
Der GTM ist entbehrlich, da er nur andere Dienste lädt und ohne Einwilligung unnötige rechtliche Risiken birgt.
Der Podcast bietet Tipps zum sicheren Betrieb des Google Tag Manager (GTM).
Es gibt einen einfachen Ersatz für den GTM, den Untagmanager.
Stephan Plesnik moderiert nun zusammen mit Klaus Meffert den Datenschutz Deluxe-Podcast.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 