Google Tag Manager und die DSGVO
Was ist der Google Tag Manager? Ist seine Nutzung seit dem Inkrafttreten des „Data Privacy Framework (DPF)“ grundsätzlich erlaubt? Und bedarf es für den Google Tag Manager auch dann einer explizite Einwilligung durch die Website-Besucher wenn über ihn das (Cookie) Consent Management erfolgt?
Vorweg: Wir sind eine Online-Marketing-Agentur und dürfen keine rechtliche Beratung bieten. Die nachfolgenden Infos ersetzen keine juristische Beratung, sondern geben das von uns in der Agenturpraxis gesammelte Wissen weiter.
Was ist der Google Tag Manager?
Technisch sehr anspruchsvolle Trackings lassen oft kaum ohne einen Tag Manager realisieren. Am beliebtesten ist der kostenlose Google Tag Manager (GTM). Er ist ein ebenso mächtiges wie hilfreiches Werkzeug für Website-Betreiber. Mit ihm können Tracking-Tags und Conversion-Pixel (z.B. zum Messen der mit Google Ads erzielten Umsätze) für Ihre Website an einem zentralen Ort über eine grafische Oberfläche verwaltet werden. Das Testen und die Suche nach Fehlern werden mit dem integrierten Vorschau-Modus deutlich erleichtert.
Oft werden über den GTM die einwilligungspflichtigen Tracking-Tags gesteuert. Ein Beispiel für eine vergleichsweise profane Regel: WENN Zustimmung zu Statistik-Cookies, DANN Auslieferung des Google Analytics-Tags. ANSONSTEN keine Auslieferung. Der GTM ermöglichst also in diesem Fall erst die vom Gesetzgeber geforderte Abfrage einer Einwilligung zu Cookies. Liegt diese nicht (oder noch nicht) vor, dann werden nur die technisch notwendigen Cookies gesetzt. Alle anderen Tags bleiben geblockt.
Bildlich gesprochen: Wenn Ihre Website bzw. Ihr Online-Shop ein Konzertsaal ist, dann ist der Google Tag Manager (GTM) die Bühne mit den Musikern (= Tracking-Tags). Am leicht erhöhten Pult steht der Dirigent (=Consent Manager). Er bestimmt anhand der Noten des Musikstücks (= DSGVO), wann welcher Musiker (= Tracking-Tag) seinen Einsatz hat.
Darf der Google Tag Manager genutzt werden?
Grundsätzlich wird dies von den meisten Rechtsanwälten bejaht. (siehe z.B. www.e-recht24.de/dsg/12668-google-tag-manager.html) Denn mit dem „Data Privacy Framework (DPF)“ gibt es inzwischen eine neue Regelung für die Übermittlung von Daten in die USA. Und Google ist nach dem DPF zertifiziert, siehe www.dataprivacyframework.gov/list
Die DPF-Zertifizierung bedeutet jedoch nicht (!), dass eine Einwilligung durch die Website-Besucher nicht mehr nötig ist. Dies gilt es weiterhin im Einzelfall abzuprüfen.
Tipp: Bitte prüfen Sie zudem ob Sie den Zusatz zur Datenverarbeitung mit Google bereits gelesen und ggf. akzeptiert haben. Sie finden ihn im Google Tag Manager unter Verwaltung / Kontoeinstellungen. Bitte ergänzen Sie – falls nicht bereits geschehen - die Daten zur Firma und zur Kontaktperson in den Einstellungen des Google Tag-Managers.
Ist für den Google Tag Manager eine explizite Einwilligung durch die Website-Besucher erforderlich?
Diese Fragen wird insbesondere dann spannend, wenn über den GTM das Consent Management, also die vom Gesetzgeber geforderte Abfrage einer Einwilligung zu zustimmungspflichtigen Cookies bzw. Trackings erfolgt.
Lässt sich in einem solchen Fall für den Einsatz des Google Tag Managers auf ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO verweisen und der GTM als „unbedingt erforderlich“ (wie dies z.B. für Warenkorb-Cookies gilt) einstufen?
Oder erfordert der Einsatz des GTM zwingend einer Zustimmung durch die Website-Besucher, da ein Consent Management grundsätzlich auch ohne GTM eingesetzt werden kann (auch wenn dies einige Einschränkungen zur Folge hätte)?
Der GTM als solcher setzt keine Cookies. Er speichert laut Google auch keine personenbezogenen Daten, siehe support.google.com/tagmanager/answer/9323295
Dennoch wird bei jedem Besuch mit dem Laden der Website die IP-Adresse des Besuchers an Google übertragen. Dies birgt ein gewisses rechtliches Risiko in sich.
Der Rechtsanwalt Dr. Schwenke konstatiert, dass „der Google Tag Manager ebenfalls grundsätzlich einwilligungspflichtig [ist]. Außer man würde ihn als unbedingt erforderlich einstufen.“ Wenn der GTM Tags enthält, die selbst keiner Einwilligung bedürfen, dann bedürfe auch der Tag Manager keiner Einwilligung. Siehe datenschutz-generator.de/ttdsg-cookies/ Demnach wäre für einen GTM, über dem das Consent Management erfolgt, keine Einwilligung nötig.
Auch der Rechtsanwalt Dr. Schirmbacher von HÄRTING kommt im Juli 2020 in seinem Fazit zu dem Schluss: „Die Kategorisierung des Tag-Managers hängt von seiner Nutzung ab. Er kann als unbedingt erforderlich gelten, soweit er nur technisch notwendige Cookies triggert – wie etwa ein Cookie-Management Tool.“ siehe haerting.de/wissen/die-cookie-einwilligung-und-der-google-tag-manager/
Fazit
Diesen beiden Quellen folgend wäre es im eingangs geschilderten Fall zumindest „vertretbar” den GTM gemeinsam mit einem darin enthaltenen Consent Management auch ohne vorherige Zustimmung der Besucher einzusetzen. Dennoch lässt sich die Frage nicht abschließend beantworten, denn „vertretbar“ bedeutet keineswegs „eindeutig erlaubt“. Ein gewisses Restrisiko bleibt somit.
Deklaration des Google Tag Managers in der Datenschutzerklärung
Wichtig: Wenn Sie sich für den Einsatz des Google Tag Managers entscheiden, dann führen Sie diesen in Ihrer Datenschutzerklärung auf.