Google Tag Manager: Nur mit Einwilligung? Was das aktuelle Urteil für Unternehmen bedeutet
Google Tag Manager im Fokus des Datenschutzes
Der Google Tag Manager (GTM) ist für viele Unternehmen die zentrale Schaltstelle, um Tracking-Codes und Analyse-Tools effizient auf der eigenen Website zu verwalten. Was im ersten Moment nach einer praktischen Lösung für Marketing und Webanalyse klingt, kann allerdings unerwartete datenschutzrechtliche Herausforderungen mit sich bringen. Denn auch wenn der GTM selbst keine Analysedaten erhebt, ist er doch meist das Einfallstor für Drittanbieterdienste – und dabei werden regelmäßig personenbezogene Daten wie die IP-Adresse verarbeitet.
Hintergrund: Was der Google Tag Manager technisch macht
Im Grunde dient der GTM als Container, in dem verschiedenste Drittanbieter-Tools zentral verwaltet werden. Websitebetreiber können dadurch mit wenig technischem Know-how steuern, wann welche Dienste – beispielsweise Google Analytics oder Marketing-Tags – ausgespielt werden. Doch genau dieser Komfort birgt Risiken: Bereits beim Laden des GTM wird eine Verbindung zu Google-Servern in den USA aufgebaut, wobei personenbezogene Daten wie die IP-Adresse übertragen werden. Zudem wird ein JavaScript auf dem Endgerät gespeichert, wodurch weitere Informationen ausgelesen werden können. Diese Vorgänge machen den Google Tag Manager aus datenschutzrechtlicher Sicht besonders sensibel.
Urteil des VG Hannover: Google Tag Manager benötigt Einwilligung
Warum die Gerichte einschreiten
Ein aktuelles Urteil des Verwaltungsgerichts Hannover bringt Licht ins Dunkel rund um die rechtliche Bewertung des GTM. Aufgrund einer Beschwerde hinsichtlich der Datenerhebung auf einer Verlagswebsite prüfte die Datenschutzbehörde den Einsatz des Tag Managers. Die Behörde stellte fest, dass personenbezogene Daten an Google übermittelt und auf dem Nutzergerät gespeichert werden. In der Folge ordnete die Behörde an, den Dienst zu entfernen oder eine explizite Einwilligung der Nutzer einzuholen.
Was das Urteil konkret fordert
Das Gericht schloss sich der Auffassung der Behörde an und urteilte: Der GTM darf nur genutzt werden, wenn zuvor eine wirksame Einwilligung nach DSGVO und TDDDG (Telekommunikation-DatenschutzGesetz für digitale Dienste) eingeholt wurde. Das betrifft sowohl das Auslesen und Speichern von Informationen auf Endgeräten (§25 Abs. 1 TDDDG) als auch die Übermittlung personenbezogener Daten wie der IP-Adresse (Art. 6 Abs. 1 lit. a DSGVO). Keine Ausnahme gilt nach §25 Abs. 2 TDDDG, da der Tag Manager nicht als technisch notwendig einzustufen ist. Die Nutzung des GTM ist damit ein Fall für die datenschutzrechtliche Einwilligung – und sollte nicht einfach als „funktional“ oder „essentiell“ deklariert werden.
Praktische Auswirkungen für Betreiber von Webseiten
Was Unternehmen jetzt tun müssen
Das Urteil hat klare Konsequenzen: Wer den Google Tag Manager auf seiner Website einsetzt, sollte das Thema Einwilligung nicht auf die leichte Schulter nehmen. Es ist zu empfehlen, den GTM im eingesetzten Cookie-Consent-Banner als einwilligungspflichtige Anwendung zu kennzeichnen. Erst wenn Nutzerinnen und Nutzer ihre Zustimmung erteilt haben, darf der GTM und die damit gesteuerten Drittanbieterdienste aktiv werden. Eine automatische Aktivierung oder das Umgehen der Einwilligungspflicht ist ein Risiko – sowohl in Bezug auf potenzielle Aufsichtsmaßnahmen als auch auf mögliche Abmahnwellen.
Alternative Wege und Lösungen
Für viele Unternehmen lohnt sich zudem ein kritischer Blick auf andere Tag Management Systeme oder sogar die manuelle Einbindung der jeweiligen Tracking-Tools. In manchen Fällen können datenschutzfreundlichere Alternativen helfen, Compliance-Risiken zu reduzieren. Auch die direkte Programmierung von Skripten kann eine Option sein, ist aber mit mehr technischem Aufwand verbunden. Ob GTM oder Alternativlösung: Alle Systeme, die Informationen auf Endgeräten speichern oder personenbezogene Daten übermitteln, sind grundsätzlich einwilligungspflichtig.
Fazit: Handlungsbedarf für den datenschutzkonformen Einsatz von Tag Managern
Warum Sie jetzt aktiv werden sollten
Die Entscheidung des VG Hannover sorgt in der gesamten Digitalbranche für ein Umdenken. Viele Webseiten und Onlineshops sind darauf angewiesen, Marketing- und Analyse-Dienste effizient zu integrieren – doch der rechtssichere Weg führt nun zwingend über eine vorherige Einwilligung der Websitebesucher. Die öffentliche Sichtbarkeit Ihrer Internetpräsenz macht das Thema besonders dringlich, denn Verstöße sind leicht zu erkennen und laden zur Beschwerde oder Abmahnung ein.
Unterstützung rund um Datenschutz und Compliance
Wer sich nun fragt, wie die praktischen Anforderungen am besten umgesetzt werden können oder wie die technische Einbindung von Consent-Tools und Tag Managern aussehen sollte, muss keine Kompromisse eingehen. Es gibt praktikable Ansätze, die einerseits wirksamen Datenschutz gewährleisten und andererseits die wichtigen Marketing- und Analyse-Dienste nicht unnötig blockieren. Datenschutzkonforme Workflows, klare Einwilligungsprozesse und der Einsatz geeigneter technischer Lösungen schützen Unternehmen effektiv vor rechtlichen Konsequenzen und stärken das Vertrauen der Nutzer.
Sie möchten auf der sicheren Seite sein? Kontaktieren Sie uns, wenn Sie Unterstützung beim datenschutzkonformen Einsatz von Google Tag Manager oder anderen Tracking-Lösungen benötigen. Unser Expertenteam hilft Ihnen gerne dabei, Compliance-Anforderungen umzusetzen und Ihre Web-Services rechtssicher zu gestalten!