Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Tag Manager: Weder ein Cookie noch eine Domäne noch erforderlich

0

Aus Datenschutzsicht ist der Google Tag Manager eine Katastrophe. Er ist rechtlich kaum beherrschbar. Google erhält personenbezogene Daten, was viele nicht verstehen wollen. Weiterhin wird der GTM wahlweise oft als cookielose Domäne oder als Cookie deklariert. Im Datenschutz Deluxe Podcast klären Stephan Plesnik und ich auf.

Einleitung

Eines der größten Missverständnisse der Neuzeit ist die Wahrnehmung des Google Tag Manager. Es fängt schon damit an, dass der GTM oft als cookielose Domäne bezeichnet wird. Das ist nun wirklich völliger Bullshit. Wer so etwas behauptet, und das trotz eines Hinweises auf den Unsinn dieser Aussage, ist weder lernfähig noch gut informiert. Ich mache niemandem einen Vorwurf, wenn er oder sie etwas Falsches abschreibt oder übernimmt, was ein angeblicher Experte für richtig erklärt hat. Aber spätestens nach einem fundierten Hinweis darauf, dass die Sachlage eine andere ist, sollte man die Argumente berücksichtigen.

So geschah es, dass der Google Tag Manager vermehrt als cookielose Domäne bezeichnet wurde. Machen wir es kurz: Der GTM ist keine Domäne, sondern ein Dienst. Dass er auch nicht cookielos ist, zeigt mein Beitrag zum Google Tag Manager. Auch Google erklärt, dass der GTM Cookies setzen kann. Woher will eigentlich irgend jemand wissen, welche Cookies ein Dienst irgendwann mal gesetzt hatte oder zukünftig setzen wird? Ex post und Ex ante würde das der Jurist wohl nennen.

Dann wird der GTM oft auch als Cookie deklariert. Das kommt wohl daher, weil Anbieter von Consent Tools bei der Einwilligungsabfrage fast ausschließlich auf Cookies abstellen. So kommt es, dass der GTM als Cookie der Kategorie „Essentiell“ bezeichnet wird. Ganz schlimm wird es, wenn dann noch in den Datenschutzhinweisen steht, dass der GTM cookielos sei. Die Inkonsistenz könnte nicht größer sein.

Manche meinen, dass der Google Tag Manager erforderlich sei. Daran ist zum einen Google mit Schuld. Hier ein paar Belege: Google liefert Google Analytics am liebsten zusammen mit dem GTM aus. Das ist nicht nötig, aber besser für das Datensammeln. Google bietet einen sogenannten Consent Mode an. Der funktioniert so: Google erhält immer alle Daten. Der verantwortliche Website-Betreiber erhält die Daten nur nach Einwilligung durch Nutzer. Ohne Einwilligung verwässert Google die guten (durch Einwilligung legitimierten Daten) mit den schlechten (uneingewilligten, angeblich anonymisierten) Daten. Das finden weder Datenschützer noch Marketing-People geil. Nur Google findet das echt super.

Den GTM ohne Einwilligung zu laden, nur, damit er da ist, ist für den Verantwortlichen eigentlich sinnlos. Er geht damit sogar unnötig rechtliche Risiken ein. Ansonsten ist der GTM aber auch entbehrlich. Er lädt „nur“ andere Dienste nach. Welche Dienste das sind, kann über eine Komfortfunktion eingestellt werden. Weil viele Marketing-Mitarbeiter nichts mit Web Entwicklern oder Datenschützern zu tun haben wollen, nehmen sie diese Möglichkeit gerne eigeninitiativ an.

Wer den GTM weglassen oder wenigstens sicherer betreiben will, finden im Podcast einige Hinweise. Zusätzlich sei mein Untagmanager erwähnt, der als einfacher Ersatz für den GTM dienen kann. Ansonsten sollten die umfangreichen rechtlichen Bedingungen zum GTM mal gelesen werden.

Seit dieser Folge moderiert Stephan Plesnik den Datenschutz Deluxe-Podcast. Frank Kremin hatte das bisher immer toll gemacht und kann dies aus beruflichen Gründen leider nicht mehr tun. Mein großer Dank an Frank für die bisherigen Podcast-Folgen, deren Produktion mir immer viel Spaß bereitet hat. Auch war er der Initiator des Podcasts. Wir haben einige seiner Ideen weitergeführt, wie zum Beispiel das Zitat am Anfang der Folge.

Übrigens erklärt Stephan Plesnik in Videoform populäre Themen und nimmt dabei Bezug auf meine Beiträge. Sein Videokanal Datenschutz ist Pflicht greift den Google Tag Manager mit weiteren Fragestellungen auf. Ebenso wird er darüber berichten, warum IP-Adressen für Google potentiell immer personenbezogene Daten sind. Dafür greift er meinen Beitrag auf und gibt die Essenz mit seinen eigenen Worten wieder.

Die bisherigen Folgen des Datenschutz Deluxe Podcasts sind:

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutz in den USA und Schrems II: Die Executive Order von Präsident Biden