Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Google Tag Manager: Betrachtung aus Datenschutzsicht

2

Zur Einrichtung eines Google Tag Manager Kontos muss ein AVV gemäß https://privacy.google.com/businesses/processorterms/ abgeschlossen werden (Stand: 24.11.2020). Außerdem muss ein Zusatz zur Datenverarbeitung abgeschlossen werden: https://support.google.com/tagmanager/answer/7207086: „Wenn Sie bei der Einrichtung Ihres Kontos angegeben haben, dass Sie sich im Europäischen Wirtschaftsraum (EWR) befinden, haben Sie den Zusatz zur Datenverarbeitung bereits als Teil der Nutzungsbedingungen akzeptiert“.

Die Google Tag Manager Nutzungsbedingungen besagen (Verlinkung aus dem Original entfernt):

We may collect information such as how the Service is used, and how and what tags are deployed. We may use this data to improve, maintain, protect and develop the Service as described in our privacy policy, but we will not share this data with any other Google product without Your consent.

Quelle: https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/

Diese schwammige Formulierung liefert keine gemäß DSGVO geforderte transparente Erklärung zur Datenverwendung. Weitere Beispiele finden sich nach Belieben. Google gibt immerhin zu, Daten von Dritten über die Nutzung des Tag Managers zu erheben, und zwar in erheblichem Umfang („how the service is used, and how and what tags are deployed“). Zwar gibt Google laut dieser Formulierung Daten nicht ohne Einwilligung an andere Google Produkte weiter, nutzt sie aber selbst ohne Produktbezug und gibt sie möglicherweise an Dritte weiter. Im Zweifel ist davon auszugehen, dass Google Daten, die über den Google Tag Manager erhoben wurden, selbst nutzt, und zwar für Zwecke, die nicht absolut notwendig sind (ein notwendiger Zweck wäre etwa Gefahrenabwehr). Dies steht dem o.g. AVV entgegen.

Eine Verwendung des Google Tag Managers ohne Einwilligung erscheint aus diesen Gründen rechtlich fragwürdig. Zieht man die Tatsache hinzu, dass der Tag Manager bei mehrmaligem Aufruf einer Webseite sehr wahrscheinlich mindestens einmal Daten aus einem unsicheren Drittland abruft, ist ein Einsatz ohne vorige Einwilligung nicht zu rechtfertigen, sofern keine geeigneten Garantien für dieses Drittland vorliegen. Es sei angemerkt, dass in der Praxis bei tausendfachem Abruf einer Webseite mehrere unsichere Drittländer in den Datentransfer involviert sind. Der tausendfache Abruf einer Webseite ist für die meisten Webseiten bereits innerhalb weniger Tage oder Wochen erreicht.

Zu Werbezwecken darf der Google Tag Manager laut Google Nutzungsbedingungen die folgenden Angaben, denen Google selbst einen Personenbezug zuordnet, nicht verwenden: „Online-Kennzeichnungen (einschließlich Cookie-Kennungen) und Internet-Protokoll-Adressen“.

Ein AVV zum GTM kann abgeschlossen werden, ist aber wahrscheinlich unwirksam.

Lädt der Google Tag Manager Tools nach, etwa Google Analytics, gelten für diese nachgeladenen Tools mindestens die Einwilligungserfordernisse, die für das jeweilige Tool alleinstehend gelten würden. Zu den Tags, die eine Einwilligung benötigen, zählen wegen des Personenbezugs:

  • Klassisches Tracking: Auswerten des Nutzerverhaltens zu beliebigen Marketing-Zwecken
  • A/B-Tests und Personalisierung –Third Party-Angebote und an Zielgruppensegmente gerichtete personalisierte Angebote
  • Conversion Tracking – bestimmen, ob ein Besucher eine gewünschte Aktion durchgeführt hat (Kauf, Download, Formulareingabe…).
  • Marketing Automatisierung – Zielgruppensegmentierung zur Optimierung von Marketing-Kampagnen
  • Remarketing – Zielgruppen erkennen, um Ihnen nach dem Verlassen einer Webseite Werbung anzuzeigen
  • User-Feedback – Rückmeldungen von Nutzern oder Erkennung von Nutzerverhalten.
  • Benutzerdefinierte Tags – frei definierbare Tags, die einen Personenbezug zu Nutzern herstellen könnten

In einer eigenen Untersuchung habe ich folgendes gezeigt und bewiesen:

Der Google Tag Manager ist keine cookielose Domäne wie oft behauptet wird.

Quelle: eigene Untersuchung (Dr-dsgvo.de)

Daraus folgt zusätzlich, dass der Google Tag Manager immer einer Einwilligung bedarf. Dies kann man aus §15 Abs. 3 TMG in Verbindung mit Art. 5 (3) der ePrivacy-Richtlinie für Deutschland evident ableiten. In einigen Artikeln auf dieser Webseite habe ich dies im Detail genauer erklärt.

Das Gebot der Datenminimierung aus Art. 5 DSGVO macht zusätzlich die Einwilligungspflicht noch deutlicher. Entweder wird durch den Tag Manager ohne Einwilligung nichts nachgeladen – dann muss er offenbar nicht geladen werden. Oder nach Einwilligung lädt der Tag Manager Dienste nach. Dann reicht es offenbar, wenn er selbst erst nach Einwilligung geladen wird. Oder vor Einwilligung werden Dienste, die nicht einwilligungspflichtig sind, geladen. Dann können diese Dienste auch direkt selbst geladen werden, was sogar aus Netzwerksicht noch schneller geht als über den Tag Manager.

Bekanntlich ist Google ein weltweit agierender Konzern mit Hauptsitz in den USA. Demnach alleine liegt eine Einwilligungspflicht aus Art. 44 DSGVO vor, weil ein Datentransfer in unsichere Drittländer stattfindet bzw. nicht ausgeschlossen werden kann. Der AVV zum Tag Manager besagt sogar, dass Google sich zahlreicher Unternehmen weltweit zur Datenverarbeitung bedient.

In einem eigenen Beitrag beschreibe ich Alternativen für verschiedene Google Tools.

Auch interessant

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/google-tag-manager
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

YouTube Videos: Einbindung auf Webseiten datenschutzkonform möglich?