Heute kommen wir zu einem Thema, dem wir in letzter Zeit immer häufiger begegnen: Es geht um die DSGVO-konforme Nutzung des Tools „Google Tag Manager“. Einige Autoren in den Weiten des World Wide Web behaupten, dass der Google Tag Manager Cookies setze und persönliche Daten auch dann speichere, wenn der leere GTM Container geladen werde. Diese Behauptung ist unseres Erachtens nur schwer aufrechtzuhalten, zumal jede:r ja selbst den Test machen kann, ob beim Laden eines leeren GTM-Containers Cookies gesetzt werden oder eben nicht. Konkreteres hierzu im weiteren Verlauf des Artikels.
Auf cookiebot.com heißt es, dass die „Verwendung von Google Tag Manager zur Steuerung von Diensten wie Google Analytics oder Social-Media-Plugins (..) das Setzen von Cookies (benötige). Das bedeutet, dass die Verwendung von Google Tag Manager eine Cookie-Einwilligung erfordert, um auf Ihrer Website ordnungsgemäß zu funktionieren.“
Richtig ist, dass Google Analytics Cookies setzt. Doch dass deswegen die Verwendung des Google Tag Managers grundsätzlich eine Cookie-Einwilligung erfordert, ist hier ein Schluss, der unlogisch erscheint. Die Verwendung von Google Tag Manager erfordert eine Cookie-Einwilligung, wenn der Google Tag Manager Cookies setzt. Nur weil Google Analytics Cookies setzt, heißt das noch lange nicht, dass auch der Google Tag Manager Cookies setzt.
Echte Instanzen und weltweit anerkannte Analytics-Größen wie beispielsweise Julius Fedorovicius von Analytics mania beschäftigen sich selbstverständlich auch mit dieser heiklen und heiß diskutierten Thematik. So schreibt Julius klar und deutlich, dass der Google Tag Manager – by default – keine Cookies setzt! Natürlich kann der Google Tag Manager so konfiguriert werden, dass er Cookies setzt. Allein: Solange Webseitenbetreibende diese Option nicht nutzen, setzt der Google Tag Manager standardmäßig eben keine Cookies. Hier geht’s zu seinem aufschlussreichen (englischen) Artikel.
Was sagt denn Google selbst zur Thematik?
Überaus interessant ist in diesem Kontext auch, was Google selbst zum Thema „Mit Google Tag Manager erfasste Daten“ schreibt. So heißt es offiziell und ohne Umschweife nachlesbar:
Damit wir die Stabilität, Leistung und Installationsqualität des Systems beobachten können und Daten zur Diagnose erhalten, werden mit Google Tag Manager bestimmte aggregierte Daten zur Tag-Auslösung erhoben. Diese Daten enthalten keine IP-Adressen oder Mess-IDs, die mit einer bestimmten Person verknüpft sind. Anders als bei Daten in Standard-HTTP-Anfrageprotokollen, die alle innerhalb von 14 Tagen nach Erhalt gelöscht werden, und bei den oben beschriebenen Diagnosedaten werden mit Google Tag Manager keine Informationen über Besucher der Properties unserer Kunden erfasst, gespeichert oder geteilt. Das gilt auch für die URLs besuchter Seiten.
Quelle: https://support.google.com/tagmanager/answer/9323295?hl=de
Dass Google – trotz dieses offiziellen Textes – Daten, die mit einer bestimmten Person verknüpft sind, über den Google Tag Manager erfasst, speichert oder teilt, wäre in unseren Augen eine überaus gewagte Behauptung.
Kommen wir nun zu unserem Test, der die Frage beantworten soll, ob beim Laden eines leeren GTM-Containers Cookies gesetzt werden oder nicht. Da wir auf sea-coaching.de bei Ablehnen aller Marketing-Cookies / Statistik-Cookies (wie Google Analytics Cookie) den leeren GTM Container laden lassen, nutzen wir gern unsere eigene Seite für diesen Test.
- Im Browser Google Chrome klicken wir oben rechts auf die drei vertikal angeordneten Punkte.
- Im nun erscheinenden Menü klicken wir auf Einstellungen.
- Unter „Einstellungen“ links wählen wir in der Sidebar Datenschutz und Sicherheit aus.
- Im mittleren Bereich klicken wir auf Cookies und andere Websitedaten.
- Nun klicken wir auf das Feld Alle Cookies und Websitedaten anzeigen.
- Im Suchfeld geben wir die entsprechende Seite ein. In unserem Fall: sea-coaching.de.
- Anschließend löschen wir die Cookies, die über sea-coaching.de gesetzt wurden.
Anmerkung: Den gerade genannten Pfad kannst du beispielsweise auch nutzen, um Cookies zu löschen, damit du nicht mehr von einer bestimmten Anzeige, die dich nervt, verfolgt wirst. 😉
Neues Laden der Website sea-coaching.de
Nachdem alle Cookies gelöscht sind, laden wir die Seite sea-coaching.de neu. Der Cookie-Hinweis (über E-Recht24 / Usercentrics eingebaut) erscheint. Laut Google Tag Assistant lädt der leere GTM-Container, obwohl die Cookie-Einstellungen noch nicht konfiguriert / ausgewählt wurden:
Jetzt überprüfen wir, ob das Laden des leeren GTM-Containers für das Setzen eines Cookies gesorgt hat:
- Im Browser Google Chrome klicken wir wieder oben rechts auf die drei vertikal angeordneten Punkte.
- Im nun erscheinenden Menü klicken wir auf Einstellungen.
- Unter „Einstellungen“ links wählen wir in der Sidebar Datenschutz und Sicherheit aus.
- Im mittleren Bereich klicken wir auf Cookies und andere Websitedaten.
- Wir klicken erneut auf das Feld Alle Cookies und Websitedaten anzeigen.
- Im Suchfeld tragen wir sea-coaching.de ein und überprüfen das Ergebnis.
Ergebnis: Nein, der leere GTM-Container hat keine Cookies gesetzt!
Nun prüfen wir zusätzlich, was passiert, wenn wir alle Cookies akzeptieren:
Der Google Tag Assistant zeigt an, dass nun der Global site tag (gtag.js) und der Google Analytics (Universal Analytics) Tag gefeuert wurden. In den Chrome-Einstellungen zu „Datenschutz und Sicherheit“ werden darüber hinaus 3 Cookies angezeigt:
Diese Cookies wurden nach Akzeptieren der Marketing-Cookies (Google Analytics und Google Analytics 4) gesetzt:
Die Cookies _ga, _ga_ZJ1KK46H5B und _gid sind allesamt Cookies, die Google Analytics setzt. (Hier eine hilfreiche Auflistung von Google-Cookies auf traffic3.net).
In dieser Quelle – und dies nur am Rande – heißt es übrigens auch:
Google Tag Manager
Quelle: https://traffic3.net/wissen/datenschutz/google-cookies
Der Google Tag Manager setzt keine Cookies (im leeren Zustand).
Der Tag Manager ist nur ein „Container“, über den Sie u.a. verschiedene Tracking- und Remarketing-Codes gebündelt einbauen können. Wenn Sie beispielsweise Google Analytics über den Tag Manager einbinden, werden Cookies gesetzt. Diese Cookies stammen aber von Google Analytics und nicht vom Tag Manager selbst.
FAQs zum Thema „Google Tag Manager und Einwilligungspflicht“
Muss bei Nutzung von Google Tag Manager die Datenschutzerklärung angepasst werden?
Wir gehen davon aus, dass der Google Tag Manager, sofern er personenbezogene Daten weder sendet noch speichert, nicht in der Datenschutzerklärung genannt werden muss. Dennoch besteht natürlich die Möglichkeit, die Funktion des Google Tag Managers in der Datenschutzerklärung kurz zu erläutern. Dies empfehlen wir, genau wie der TÜV Nord zertifizierte Datenschutzbeauftragte René van Loock.
Wer Google Analytics – egal, ob Universal Analytics oder GA4 – DSGVO-konform nutzen möchte, benötigt mindestens die Einwilligung, dass das entsprechende Cookie gesetzt werden darf, zudem die Erweiterung der Datenschutzerklärung und darüber hinaus den Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) mit Google Analytics. Weiterhin ist sicherzustellen, dass die Datenaufbewahrung nicht länger als 14 Monate beträgt.
Besitzt dieser Beitrag zum Thema „Google Tag Manager und Einwilligungspflicht“ Allgemeingültigkeit?
Wir weisen ausdrücklich darauf hin, dass dieser Artikel als Meinung respektive Kommentar zum (durchaus) heiklen Thema „Google Tag Manager und Einwilligungspflicht“ zu verstehen ist. Der Autor dieses Artikels ist weder Datenschutzbeauftragter noch Fachanwalt für IT-Recht. Aus dem Grund kann auch keine Haftung für die Richtigkeit aller Inhalte übernommen werden. Wir raten grundsätzlich dazu, DSGVO-Themen jeglicher Art eingehend mit Datenschutzbeauftragten oder Fachanwälten abzuklären.
Macht es Sinn, sich mit alternativen Systemen und Analyse-Tools zu befassen?
Der Google Tag Manager wird oft dazu genutzt, Google Analytics (Universal Analytics und/oder GA4) mit professionellem Ereignis-Tracking zu implementieren. Da es allerdings fraglich ist, wie die Nutzung von Google Analytics zukünftig genau aussehen kann, macht es aus unserer Sicht Sinn, sich alternative Systeme und Analyse-Tools wie E-Tracker oder Matomo genauer anzusehen.
Rein technisch gesehen, und das wollten wir in diesem Beitrag auf verständliche Weise zeigen, setzt der Google Tag Manager – by default – keine Cookies. Jede:r User:in kann den obigen Test selbst durchführen und prüfen, ob ein leerer GTM-Container Cookies setzt oder eben nicht.
Von der rechtlichen Perspektive aus betrachtet, können, wollen, dürfen und werden wir uns nicht zu weit aus dem Fenster lehnen, auch wenn wir klar die Meinung vertreten, dass ein leerer Google Tag Manager Container auch ohne Einwilligung genutzt werden kann / darf. Aus dem Grund weisen wir auch abschließend noch einmal mit allem Nachdruck darauf hin, dass wir unsere Beiträge nach bestem Wissen und Gewissen und mit viel Herz und Liebe verfassen, allerdings für die vollumfängliche Richtigkeit aller Inhalte und Aussagen keine Haftung übernehmen können!
Datenschutzthemen jeglicher Art sind grundsätzlich mit einem:r kompetenten Fachanwalt:Fachanwältin oder einer:m fähigen Datenschutzbeauftragten zu besprechen und anzugehen. Vielen Dank für euer Verständnis!
Hinterlasst gerne einen konstruktiven Kommentar zum Thema „Google Tag Manager und Einwilligungspflicht“! Wir freuen uns auf den Diskurs.
Trackbacks/Pingbacks