Google Tag Manager: Weder ein Cookie noch eine Domäne noch erforderlich (Folge #9)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Herzlich willkommen zum Datenschutz-Podcast Datenschutz Deluxe.

Mein Name ist Klaus Meffert, ich heiße nicht Frank Kremin, der ja sonst immer die Einleitung und Moderation vorgenommen hat Der Frank kann leider aus beruflichen Gründen den Podcast nicht mehr durchführen.

Ich möchte mich beim Frank ganz herzlich bedanken, dass er das mit mir einige Zeit lang gemacht hat Aber glücklicherweise gibt es jemanden, der sich bei mir auch gemeldet hat, gar nicht speziell nur wegen dem Podcast, Und derjenige, der auch das macht, das ist der Stephan Plesnik und ich würde ihn jetzt einfach herzlich willkommen heißen.

Und Stephan, vielen Dank, dass du da bist, dass du das mit mir machst und vielleicht kannst du auch dich kurz vorstellen.

Ja, sehr gerne. Vielen Dank, Klaus, für die kleine Einleitung.

Mein Name ist Stephan Plesnik, ich bin zertifizierter Datenschutzbeauftragter Schon, ja, keine Ahnung, seit über 10, 20 Jahren finde ich das unglaublich spannend, Im elektronischen beziehungsweise digitalen Raum.

Hauptberuflich bin ich Business Coach und Leadership sowie Teamwork Trainer, Deswegen würde ich gerne über den Google Tag Manager und die ganzen Sphären und Mythen, Ich habe mir ein Vorbild an Frank genommen, der bis vor kurzem den Podcast noch mit dir gemacht hat Nämlich, dass…

Das ist ein Stamm von Thorsten Havener aus einem seiner Bücher über Körpersprache Und ich finde, das ist eine sehr schöne quasi Überleitung in das Thema Cookieboxen und Dinge.

Wir machen, was wir sehen und nicht, was wir hören.

Das heißt also auch, liebe Zuhörer, wenn ihr das jetzt gerade hört, wenn Sie das gerade hören, Also tun Sie sich wahrscheinlich am besten danach nochmal das Video oder den Blogbeitrag an, Und damit würde ich jetzt das Wort gerne an dich übergeben, Klaus, Also welche Funktion hat das denn überhaupt?

Ja, also um dein Zitat nochmal aufzugreifen vielleicht.

Beim Tag Manager kann man zwar nichts hören, man sieht irgendwie auch nichts.

Er tut nur irgendwas und die meisten wissen gar nicht, was er genau tut.

Manche denken, sie brauchen ihn, andere haben ihn einfach nur.

Also das, was man nicht sieht beim Tag Manager, ist dann schon der größere Anteil, Und ja, also was ist der Tag Manager?

Der Tag Manager, sagen viele, sei eine cookie-lose Domäne.

Das ist natürlich vollkommener Blödsinn und wer das behauptet, Ihn als cookie-los zu bezeichnen, ist ebenfalls sehr gewagt.

Aber der erste Teil reicht schon aus.

Also der Tag Manager ist dafür da, um andere Dienste dynamisch sozusagen nachzuladen.

Das heißt, zuerst wird der Tag Manager auf der Webseite eingebunden.

Dann fängt er selbst seine Arbeit an zu verrichten.

Man kann den Tag Manager auch einmitten, ohne dass er was tut.

Dann tut er aber immer noch was und zwar sammelt er Daten für Google Davon hat niemand was außer Google.

Es gibt übrigens auch noch andere Tag Manager, die machen das nicht.

Also es ist nicht so, dass jeder Tag Manager Daten sammelt, Und der Tag Manager wird insbesondere nach meinem Eindruck von manchen Unternehmen Und da wollen die dann den Tag Manager nutzen und können dann sozusagen konfigurieren, welche Dienste da ganz grob geladen werden sollen, kurz gesagt.

Das heißt, wenn ich das mal kurz zusammenfasse zum Verständnis, der Google Tag Manager ist also eine Art Werkzeug, das die Verbindung zu anderen Angeboten von Google ermöglicht, sodass man diese in die Verbindung mit der eigenen Webseite bringen kann, um dann irgendwelche Features anzubieten.

Das heißt also, die Aussage, die ich zum Beispiel persönlich bekommen habe, als wir Webseiten umgestellt haben von Google Analytics weg zum Tag Manager vor etlichen Jahren, Weil Google Analytics sowieso illegal und so und gedöhnt ist.

Aber da haben wir damals Informationen von Google bekommen, wo drauf stand, pass auf, wir formen unsere Infrastruktur um und deswegen brauchst du in Zukunft nicht mehr das Skript GA sowieso für Google Analytics, Da stand also wohl, also ganz wissentlich hat Google dort so argumentiert, dass es notwendig sei, auf den Tag Manager…

Sozusagen umzusteigen, um Google Analytics zu nutzen.

Das ist aber offensichtlich dann nicht wirklich notwendig.

Wenn ich dich richtig verstehe, möchte Google den Tag Manager einsetzen, weil er eben bevor der Nutzer irgendeine Form von Einwilligung auf der Webseite des Betreibers dann gibt, Ja, also es sind drei Dinge vielleicht vorab.

Also Google Analytics ist jetzt nicht per se illegal oder rechtswidrig, wie du gesagt hast.

Ich hätte am liebsten, dass es gerichtlich so festgelegt wird.

Aber es haben in Anführungszeichen nur Aufsichtsbehörden gesagt, europäische Aufsichtsbehörden immerhin, die französische zum Beispiel, die CNIL.

Also es ist jetzt nicht so, dass man, wenn man das benutzt, ins Gefängnis muss, aber die Chancen stehen gut, dass man Probleme kriegt, wenn man Google Analytics nutzt, vor allem ohne Einwilligung.

Also das vielleicht nur vorab.

Dann ist es so, dass der Google Tag Manager auch verwendet werden kann für andere Dienste, die von beliebigen Anbietern kommen.

Also es muss jetzt kein Google-Dienst sein, der damit nachgeladen wird, sondern es können auch andere Skripte oder Plakate…

Dann ist es so, dass der, wie du auch sagst, der Google Tag Manager wird von Google forciert, um eben Google Analytics nutzen zu können.

Und es ist tatsächlich ja auch so, wie du sagst, dass Google so tut, als müsste man den Google Tag Manager einbinden, damit man Google Analytics nutzen kann.

Das wird ja auch beim Herunterladen des Installationsskriptes für Google Analytics oder Copy & Paste, das wird ja vorgegeben im Google Analytics Dashboard, Das wird dann eingeflochten.

Man kann aber Google Analytics auch ohne den Tag Manager nutzen.

Das macht es nicht viel besser, aber zumindest könnte man dann vor der Einwilligung, die man einholen müsste, gar nichts tun, was Daten Richtung Google schickt.

Also ist es so, kurz gesagt, da der Tag Manager erstmal gar nichts tut und wenn, dann nur andere Dienste nachlädt, kann man ihn natürlich auch komplett ersetzen.

Also man braucht ihn nicht.

Er ist komplett unnotwendig.

Das muss man einfach mal feststellen.

Das heißt also, im Endeffekt reden wir hier wirklich um eine Vereinfachungsbrücke.

Die geschaffen wurde, damit man andere Services einfacher mit der Webseite verbinden kann und dadurch irgendwelche, ich sag mal angeblichen Mehrwertfeatures, nenne ich sie jetzt mal, Der Tag Manager an sich ist erstmal ein Skript, was in der Webseite hinterlegt ist.

Was, und du verstehe ich dich richtig, dass du sagst, der macht erstmal nichts.

Was bedeutet das also, wenn ich jetzt auf die Webseite komme als Besucher?

Und gehen wir mal davon aus, Weil darum geht es ja immer, dass man eine Einwilligung, so ein Consent Management hat auf der Webseite, Wenn der Tag Manager jetzt nichts tut, er aber zum Beispiel einen Dienst nachlädt, Das wird jetzt durch den Tag Manager geladen und dementsprechend ist dann der Tag Manager ein sogenanntes essentielles, Wie siehst du das? Wie würdest du da argumentieren?

Und vor allen Dingen, was würdest du empfehlen im Umgang damit auch in der Transparenz zum Nutzer?

Ja, also erstmal ein Cookie ist es nicht.

Du hast jetzt Cookie gesagt, ich weiß auch, wie du es meinst, aber nur damit kein anderer das jetzt übernimmt Also wenn du sagst, es ist ein Cookie, dann meinst du das so, wie die meistens verstehen, Man kennt ja das Google-Fonds-Urteil und es gibt also ganz viele Datenverarbeitungen, Nutzerprofilbildung zum Beispiel, Datentransfer in unsichere Drittländer und so weiter, Und dann ist es eben so, wenn es ein Terminbuchungstool gibt, Es sollte natürlich nichts tun, was eine Einwilligung braucht, ansonsten müsste man sie abfragen.

Es gibt ja auch Terminbuchungstools, die haben gleich noch Marketingfunktionen Also jedenfalls keine invasive Marketingfunktion, muss man vielleicht sagen.

Man kann das Terminbuchungstool natürlich auch einfach direkt laden, Man muss den Tag Manager nicht nutzen dafür, also das ist, um es ganz kurz zu sagen, Und ja, wenn ich den Tag Manager denn jetzt mich entschlossen habe zu nutzen, wie kann ich erst mal dafür sorgen, dass der zum Beispiel durch so ein Consent-Tool geblockt wird, Also dürfte ich doch jetzt, sage ich mal, als rudimentärer Webentwickler, Und jetzt blocke ich diese Skripte und sage, okay, Ist das dann ein gangbarer Weg?

Muss ich dann den Tag-Manager, wie muss ich dem Nutzer dann transparent machen, Ist das ein essentieller Cookie?

Ist das ein Marketing?

Ist das Statistik?

Muss der überall erwähnt werden?

Muss ich den nur in der Datenschutzerklärung erwähnen?

Wie genau würdest du da vorgehen?

Ja, also nochmal vielleicht.

Das ist kein Cookie.

Also, diese Kategorien, die du erwähnst, Das sind willkürliche Kategorien.

Man muss diese Kategorien nicht verwenden.

Und die meisten Webseiten verwenden ja auch gar nicht so viele Dienste, Und das sind vielleicht zwei, drei, vier.

Da brauche ich überhaupt gar keine Kategorie.

Das macht gar keinen Sinn, zwei Einträge in zwei Kategorien zu stecken.

Da kann ich es auch gleich auflisten.

Also, aus dem realen…

Die Lebenserfahrung sagt, Ja, da hat man eine Gesamtgruppe.

Das Zweite ist, Weil die Anbieter meistens entweder nicht verstehen Sie sagen, es geht nur um Cookies.

Das stimmt aber nicht.

Vorlaps Cookie ist ein schönes Beispiel für, meiner Meinung nach, Das ist halt ein Entwickler aus meiner Sicht.

Der hat ein Problem gesehen.

Das hat er versucht zu lösen.

Und hat dann ein Plug-in geschrieben, Und mittlerweile hat er wahrscheinlich ein bisschen mehr Ahnung von Datenschutz, Immerhin schreibt er auf seiner Webseite, Aber zurück zur Frage.

Also ich kann Vorlaps Cookie nicht empfehlen, muss ich sagen.

Ich habe auch auf der eigenen Webseite, Die hat er teilweise behoben.

Vielleicht hat er mal einen Artikel gelesen.

Aber diese Cookie-Tool-Anbieter, die suggerieren sozusagen, Und dann würde das Cookie-Tool wie durch Magie dafür sorgen, Und das kann aber in der Realität nicht zuverlässig funktionieren.

Das hatte ich schon mehrfach gesagt, Moderne Browser laden mehrere Dienste gleichzeitig.

Oder Dateien, muss man auf technischer Ebene sagen.

Und eine Datei davon ist eben dieses Consent-Tool-Skript.

Das wird üblicherweise als erstes eingebunden auf der Webseite.

Und erst wenn dieses Skript fertig geladen wurde, Oder Dateiladevorgänge zu blockieren.

Und der moderne Browser laden aber mehrere Dateien gleichzeitig.

Nahezu gleichzeitig, muss man sagen, wenn man es genau sagen will.

Diese absolute Gleichzeitigkeit gibt es ja nicht.

Und wenn aber andere Dateien schon angefangen wurden zu laden, Und selbst wenn es fertig geladen ist, Meistens werden die dann fertig geladen.

Und ich glaube, man kann sie auch gar nicht abbrechen, Das heißt, diese Consent-Tools können in der Praxis Und um deine Frage mal konkret zu beantworten, Und der hat eine Direktive, nenne ich es jetzt mal, Ist gleich und dann kommt die Adresse von dem Tag Manager Skript bei Google.

Da schreibt man dann nicht SRC, Und die meisten Consent-Tools verstehen diese Direktive so, Er lädt also den Tag Manager nicht.

Und das Consent-Tool fragt nach einer Einwilligung.

Und wenn du deine Einwilligung gegeben hast über das Consent-Tool, Und der Browser lädt dann erst dieses Skript.

Das ist ein sicherer Weg, was den Ladevorgang angeht.

Es wird also erst geladen, nachdem eine Einwilligung da ist.

Aber man muss natürlich wissen, was man erklärt.

Stephan, ich glaube, du hattest auch danach gefragt, Also natürlich immer, sage ich, in den Datenschutzhinweisen Das soll eigentlich das Gesamtwerk sein.

Manche segmentieren das.

Die verwenden dann sogenannte Cookie-Hinweise.

Das halte ich persönlich für falsch, Das eine ist das TTDSG, Paragraph 25.

Da wird eben eine Einwilligung dann notwendig, Das heißt, es geht nur um das Speichern des Cookies im Endgerät Und dann erst, wenn das zulässig ist, Und dann kann man gucken, ob die Verarbeitung der Cookie-Werte, Man bräuchte also zwei Einwilligungen.

Und deswegen wäre es besser, Aber man sollte natürlich auch in der Einwilligungsabfrage Und dazu gehört natürlich auch, dass man erwähnt, Also das muss man vielleicht nicht auf der ersten Ebene machen.

Also ich stimme zu oder nicht, sondern wenn man sagt, Das bieten ja die meisten Tools auch an.

Und da sollte dann schon ein bisschen mehr stehen.

Zum Beispiel, dass der amerikanische Geheimdienst Das fände ich jedenfalls richtig, dass man das angibt.

Okay, ich fasse mal zusammen.

Also der Google-Tag-Manager ist ein Werkzeug, Das sorgt dafür, dass ich datenschutzrechtlich Außerdem ist es sehr schwierig, den Google-Tag-Manager, Also der Nutzer kann es nicht beeinflussen Mit der Data-Source-Direktive, die du beschrieben hast, Dann ist es trotzdem aber noch sehr, sehr wichtig, Dadurch, wenn du hier einwilligst, kann das auch bedeuten, Wenn wir den Tag-Manager nutzen, um essentielle Tools zu laden, Aber es ist immer noch die Schwierigkeit da, Und auch hier wieder, wenn wir ein anderes Tool haben, Genau. Vielleicht noch eine Sache zum Schluss.

Ganz kurz, also der Tag-Manager, Diese müsste man sich alle mal durchlesen, finde ich.

Ist ja wie bei einer Versicherung.

Ich schließe doch keine Versicherung ab, ohne mir durchzulesen, Das meiste liest man sich vielleicht nicht durch.

Aber wenn da ein Schadensfall kommt, dann sagt die Versicherung, Ja, ach, das wusste ich gar nicht. Dann hätten Sie es mal besser gelesen.

Und Unwissen schützt vor Strafe nicht.

Und wer sich die Mühe machen würde, Das heißt also, im Endeffekt ballern die uns mit so viel Rechtsbrimbramborium zu, Grundsätzlich können wir aber festhalten, Und wer ihn einsetzt, nutzt eine Vereinfachungsbrücke Also hier sind die Webseitenbetreiber dann dazu angehalten, Und nach deinen Ausführungen bin ich mir ganz sicher, Dieses Thema war, Ich hab also auch hier jetzt noch wieder was dazugelernt Da wird das ein bisschen erklärt.

Ja, eine gute Idee, finde ich super.

Okay, wunderbar.

Können wir gerne machen.

Dann würde ich sagen, machen wir das so.

Mein Kaffee ist auch alle, da brauche ich einen neuen.

Von daher kommen wir hier gerade mal ganz galant zum Ende.

Und ja, da würde ich sagen, vielen Dank, Es hat mir sehr, sehr viel Spaß gemacht Danke für deine Ausführungen.

Ich hoffe, den Zuschauern hat das auch Vielen Dank, dass du da warst.

Es hat mir sehr viel gebracht.

Jetzt würde ich gerne noch darauf hinweisen, Und wer Lust hat auf Datenschutz im Videoformat, Da werdet ihr auch viele der Themen, Und sonst habt ihr noch die Möglichkeit, Und auch nochmal schriftlich nachzulesen und aufzuarbeiten.

Ja, vielen Dank, Klaus.

Dann würde ich sagen, verabschiede ich mich an der Stelle Ja, vielen Dank, Stephan, auch, dass du das so toll gemacht hast.

Hat mich sehr gefreut.

Und ich hoffe, die Zuhörer hatten auch ihren Spaß Und ich würde sagen, bis zum nächsten Mal.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Meffert und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal.