Datum der letzten Aktualisierung: 7. Mai 2024

In diesem Beitrag erklären wir, was bei der Einbindung des Google Tag Managers in eine Internetseite datenschutzrechtlich zu beachten ist.

Inhaltsverzeichnis

1. Was ist der Google Tag Manager?
2. Wer ist der Betreiber des Google Tag Managers?
3. Welche Daten verarbeitet der Google Tag Manager?
4. Rechtsgrundlage
5. Ist es erlaubt, den Google Tag Manager in die Internetseite einzubinden?
6. Direkt zur Datenschutzerklärung für den Google Tag Manager

Datenschutzerklärung für den Google Tag Manager u.v.m.

  1. Scannen Sie auf www.avalex.de Ihre Internetseite.
  2. Bestellen Sie das gewünschte Rechtstext-Paket und beantworten Sie einige Fragen zu Ihrer Internetseite sowie Ihrem Unternehmen (Dauer: ca. 10 Minuten).
  3. Installieren Sie mit wenigen Klicks das passende avalex Plugin oder lassen Sie avalex Ihre Rechtstexte hosten. Fertig. Ihre Rechtstexte bleiben ab sofort automatisch aktuell.

Was ist der Google Tag Manager?

Der Google Tag Manager (GTM) ist ein Tool, das von Google entwickelt wurde, um es Marketern und Webseitenbetreibern zu erleichtern, Tags auf ihren Websites und mobilen Apps zu verwalten. Ein Tag ist ein Stück Code, meistens verwendet für Tracking- und Analysezwecke, das Informationen von einer Webseite oder App an Drittanbieter wie Google Analytics, Facebook Pixel oder andere Datenanalysetools senden kann.

Hier sind einige Schlüsselmerkmale des Google Tag Managers:

  • Zentrale Verwaltung: GTM ermöglicht es Benutzern, alle ihre Tags über eine zentrale Benutzeroberfläche zu verwalten, ohne dass Änderungen am eigentlichen Code der Website oder App erforderlich sind. Das bedeutet, dass man Tags hinzufügen, aktualisieren oder entfernen kann, ohne den Quellcode direkt zu bearbeiten.
  • Benutzerfreundlichkeit: Durch seine benutzerfreundliche Oberfläche können auch Nicht-Programmierer einfache bis komplexe Tags einrichten. Es bietet Vorlagen für häufig genutzte Tags und die Möglichkeit, benutzerdefinierte Tags zu erstellen.
  • Testen und Debuggen: GTM verfügt über eingebaute Tools zum Testen und Debuggen von Tags, um sicherzustellen, dass sie korrekt funktionieren, bevor Änderungen auf der Live-Website veröffentlicht werden.
  • Leistung: Da Tags über GTM verwaltet und nur unter bestimmten Bedingungen ausgelöst werden, kann dies helfen, die Ladegeschwindigkeit der Website zu verbessern. Unnötige Tags werden nicht geladen, wenn die Bedingungen für ihre Ausführung nicht erfüllt sind.
  • Integrationen: GTM arbeitet nahtlos mit anderen Google-Produkten (wie Google Analytics, Google Ads) und vielen Drittanbieter-Tools zusammen.
  • Versionskontrolle und Rollback-Funktionen: Jede Änderung, die über GTM vorgenommen wird, wird als neue Version gespeichert. Dies ermöglicht es den Benutzern, zu früheren Versionen zurückzukehren, falls eine Änderung unerwünschte Auswirkungen hat.

Wer ist der Betreiber des Google Tag Managers?

Im Fall von Google ist nicht eindeutig, wer im datenschutzrechtlichen Sinne als Betreiber anzusehen ist. Der Dienst wird betrieben von:

Google LLC
1600 Amphitheatre Parkway
Mountain View, California 94043
USA

speziell in Bezug auf Europa aber (auch) von der

Google Ireland Limited
Gordon House, Barrow Street
Dublin 4
Irland

Welche Daten verarbeitet der Google Tag Manager?

Wenn Sie den Google Tag Manager in Ihre Internetseite einbinden, werden personenbezogene Daten Ihrer Websitebesucher automatisiert verarbeitet und an Google weitergegeben. Welche Daten genau verarbeitet werden, ist unbekannt. Als gesichert gilt aber, dass selbst dann, wenn der Google Tag Manager leer ist (also keine keine Tags gefeuert werden), unter anderem verarbeitet wird:

  • IP-Adresse des Websitebesuchers

Rechtsgrundlage

Um personenbezogene Daten verarbeiten zu dürfen, benötigt man als Websitebetreiber eine Erlaubnisgrundlage im Sinne von Artikel 6 DSGVO. Speichert man dabei Cookies im Browser der Besucher ab oder liest diese aus, ist das seit Geltung des TTDSG (neu: TDDDG) ohnehin nur noch mit Einwilligung des Besuchers zulässig (§ 25 Abs. 1 Satz 1 TDDDG).

Die Einbindung von des Google Tag Managers auf der eigenen Internetseite kann nach unserer Einschätzung nicht über ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt werden. Sie benötigen von jedem Besucher der Website eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO). Diese Einwilligung muss eingeholt werden, bevor der Google Tag Manager auf der Internetseite ausgeführt wird. Das geschieht am sinnvollsten mithilfe eine Consent Banners (auch „Cookie Banner“ genannt).

Spar-Tipp: In Kooperation mit consentmanager.de erhalten unsere Kunden zu jeder Bestellung ein Consent Banner mit monatlich bis zu 40.000 Websiteaufrufen dazu, das sie während der Vertragslaufzeit mit avalex kostenlos nutzen dürfen. Hier geht es zur vollständigen Leistungsübersicht unserer Pakete.

Ist es erlaubt, den Google Tag Manager in die Internetseite einzubinden?

Es ist nicht abschließend geklärt, ob man den Dienst DSGVO-konform in eine Internetseite einbinden kann.

  • Problematisch ist, dass nicht öffentlich bekannt ist, welche personenbezogenen Daten der Dienst genau verarbeitet. Voraussetzung für eine DSGVO-konforme Einwilligung ist aber, dass diese in informierter Weise erfolgt, was nur der Fall ist, wenn der Websitebesucher weiß, welche personenbezogenen Daten verarbeitet werden.
  • Nach unserer Einschätzung muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abgeschlossen werden. Google bietet die Möglichkeit, in den Kontoeinstellungen des Google Tag Managers einen „Zusatz zur Datenverarbeitung“ zu akzeptieren. Wir empfehlen dies, obwohl zweifelhaft ist, ob dieser die datenschutzrechtlichen Anforderungen an einen AV-Vertrag erfüllt – Google verlinkt nämlich auf Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte.

google zusatz zur datenverarbeitung

  • Der Sitz des Anbieters befindet sich in den USA. Um personenbezogenen Daten aus der EU in ein Drittland senden zu dürfen, muss dort ein angemessenes Datenschutzniveau gewährleistet sein. Die EU-Kommission hat einen Angemessenheitsbeschluss gefasst, der die USA als ein sicheres Drittland einstuft (EU-U.S. Data Privacy Framework), ohne dass weitere angemessene Garantien wie z.B. Standardvertragsklauseln oder zusätzliche Maßnahmen erforderlich sind. Der Anbieter ist nach dem Data Privacy Framework zertifiziert.
  • Holen Sie von jedem Websitebesucher vor Aktivierung des Dienstes eine Einwilligung ein. Der Besucher muss frei entscheiden können. Erteilt er keine Einwilligung, darf der Dienst auf Ihrer Website nicht aktiviert werden. Erlauben Sie Besuchern, ihre Einwilligung nachträglich zu widerrufen mit der Folge, dass der Dienst nicht weiter ausgeführt wird.
  • Belehren Sie in der Datenschutzerklärung Ihrer Internetseite in einfacher und klar verständlicher Weise über die Nutzung des Dienstes. Dazu gehört:
    • in welchem Umfang personenbezogene Daten automatisiert verarbeitet werden,
    • auf welche Rechtsgrundlage Sie sich für die Verarbeitung personenbezogener Daten stützen (Katalog des Art. 6 Abs. 1 DSGVO),
    • zu welchem Zweck sie den Dienst einsetzen,
    • die Dauer der Speicherung von personenbezogenen Daten,
    • wie Websitebesucher einer Verarbeitung ihrer personenbezogenen Daten widersprechen können,
    • ggf.: Information über den Abschluss eines AV-Vertrags.

Direkt zur Datenschutzerklärung für den Google Tag Manager

Sichern Sie Ihre Internetseite jetzt mit einer automatisch aktuell bleibenden Datenschutzerklärung für diesen und viele weitere Webdienste ab.

So funktioniert es:

  1. Scannen Sie Ihre Internetseite auf www.avalex.de.
  2. Bestellen Sie das gewünschte Rechtstext-Paket und beantworten Sie einige Fragen zu Ihrer Internetseite sowie Ihrem Unternehmen (Dauer: 5-10 Minuten).
  3. Installieren Sie mit wenigen Klicks das passende avalex Plugin. Fertig.