Drücke „Enter”, um zum Inhalt zu springen.

Google Tag Manager: Betrachtung aus Datenschutzsicht

2

Zur Einrichtung eines Google Tag Manager Kontos muss ein AVV gemäß https://privacy.google.com/businesses/processorterms/ abgeschlossen werden (Stand: 24.11.2020). Außerdem muss ein Zusatz zur Datenverarbeitung abgeschlossen werden: https://support.google.com/tagmanager/answer/7207086: „Wenn Sie bei der Einrichtung Ihres Kontos angegeben haben, dass Sie sich im Europäischen Wirtschaftsraum (EWR) befinden, haben Sie den Zusatz zur Datenverarbeitung bereits als Teil der Nutzungsbedingungen akzeptiert“.

Die Google Tag Manager Nutzungsbedingungen besagen (Verlinkung aus dem Original entfernt):

We may collect information such as how the Service is used, and how and what tags are deployed. We may use this data to improve, maintain, protect and develop the Service as described in our privacy policy, but we will not share this data with any other Google product without Your consent.

Quelle: https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/

Diese schwammige Formulierung liefert keine gemäß DSGVO geforderte transparente Erklärung zur Datenverwendung. Weitere Beispiele finden sich nach Belieben. Google gibt immerhin zu, Daten von Dritten über die Nutzung des Tag Managers zu erheben, und zwar in erheblichem Umfang („how the service is used, and how and what tags are deployed“). Zwar gibt Google laut dieser Formulierung Daten nicht ohne Einwilligung an andere Google Produkte weiter, nutzt sie aber selbst ohne Produktbezug und gibt sie möglicherweise an Dritte weiter. Im Zweifel ist davon auszugehen, dass Google Daten, die über den Google Tag Manager erhoben wurden, selbst nutzt, und zwar für Zwecke, die nicht absolut notwendig sind (ein notwendiger Zweck wäre etwa Gefahrenabwehr). Dies steht dem o.g. AVV entgegen.

Eine Verwendung des Google Tag Managers ohne Einwilligung erscheint aus diesen Gründen rechtlich fragwürdig. Zieht man die Tatsache hinzu, dass der Tag Manager bei mehrmaligem Aufruf einer Webseite sehr wahrscheinlich mindestens einmal Daten aus einem unsicheren Drittland abruft, ist ein Einsatz ohne vorige Einwilligung nicht zu rechtfertigen, sofern keine geeigneten Garantien für dieses Drittland vorliegen. Es sei angemerkt, dass in der Praxis bei tausendfachem Abruf einer Webseite mehrere unsichere Drittländer in den Datentransfer involviert sind. Der tausendfache Abruf einer Webseite ist für die meisten Webseiten bereits innerhalb weniger Tage oder Wochen erreicht.

Zu Werbezwecken darf der Google Tag Manager laut Google Nutzungsbedingungen die folgenden Angaben, denen Google selbst einen Personenbezug zuordnet, nicht verwenden: „Online-Kennzeichnungen (einschließlich Cookie-Kennungen) und Internet-Protokoll-Adressen“.

Lädt der Google Tag Manager Tools nach, etwa Google Analytics, gelten für diese nachgeladenen Tools mindestens die Einwilligungserfordernisse, die für das jeweilige Tool alleinstehend gelten würden. Zu den Tags, die eine Einwilligung benötigen, zählen wegen des Personenbezugs:

  • Klassisches Tracking: Auswerten des Nutzerverhaltens zu beliebigen Marketing-Zwecken
  • A/B-Tests und Personalisierung –Third Party-Angebote und an Zielgruppensegmente gerichtete personalisierte Angebote
  • Conversion Tracking – bestimmen, ob ein Besucher eine gewünschte Aktion durchgeführt hat (Kauf, Download, Formulareingabe…).
  • Marketing Automatisierung – Zielgruppensegmentierung zur Optimierung von Marketing-Kampagnen
  • Remarketing – Zielgruppen erkennen, um Ihnen nach dem Verlassen einer Webseite Werbung anzuzeigen
  • User-Feedback – Rückmeldungen von Nutzern oder Erkennung von Nutzerverhalten.
  • Benutzerdefinierte Tags – frei definierbare Tags, die einen Personenbezug zu Nutzern herstellen könnten

In einer eigenen Untersuchung habe ich folgendes gezeigt und bewiesen:

Der Google Tag Manager ist keine cookielose Domäne wie oft behauptet wird.

Quelle: eigene Untersuchung (Dr-dsgvo.de)

Daraus folgt zusätzlich, dass der Google Tag Manager immer einer Einwilligung bedarf. Dies kann man aus Art. 5 (3) der ePrivacy-Richtlinie evident ableiten. In einigen Artikeln auf dieser Webseite habe ich dies im Detail genauer erklärt.

In einem eigenen Beitrag beschreibe ich Alternativen für verschiedene Google Tools.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-tag-manager
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.