21.09.2022

Google Tag Manager und Datenschutz

Das Einbinden des Google Tag Managers als technisch notwendiges Cookie? Leider nicht auf legalem Weg.

Google Tag Manager: Consent-Banner Necessary Cookies © echonet communication

Traum zahlreicher Webagenturen: GTM

Der Google Tag Manager hat sich zum Wunderwerk zahlreicher Webagenturen enwickelt, denn der Tag Manager von Google (Alphabet Inc.) macht das Einbinden diverse Mess-Skripte für Statistik, Re-Marketing, Re-Targeting etc. für Webagenturen sehr viel einfacher, als das bisher der Fall war. Was gibt es damit für ein Problem?

"Notwendiges Cookie: GTM" - Leider nein

Die Datenschutz-Verordnung ist, wie wir auch aus dem aktuellen Fall "Google Fonts" in Österreich lernen, viel strenger auszulegen, als das gedacht war. Mehr über den Datenschutz-Fall "Google Fonts" in Österreich erfahren Sie hier - und auch, warum es letztlich hier wohl keine Probleme geben wird, was aber nichts mit dem Datenschutz an und für sich zu tun hat. Grundsätzlich gilt: Alles, was Daten auf Server von nicht europäischen Firmen überträgt, muss auf eine aktive und optionale Einwilligung der nutzenden Person gehen.

Das betrifft auch den gesamten Tag-Manager von Google, egal welche Dienste im Tag Manager im Hintergrund dann tatsächlich agieren, alleine die Tatsache, dass ein Script mit der URL www.googletagmanager.com ungefragt aufgerufen wird, stellt in Europa schon eine Datenschutzverletzung dar.

Besonders ungeschickt wäre es daher Dienste, die für den korrekten Betrieb der Webseite zwingend erforderlich sind, in den Tag Manager von Google einzubauen, weil man diesen nur mit optionaler Einwilligung auf einer Webseite einbauen darf.

Alternative: Matomo Tag Manager

Lokal installierbar ist dagegen der Matomo Tag Manager und - das ist auch eine weitere gute Nachricht - die Cloudlösung liegt entweder in der EU oder in Neuseeland. Der Matomo Tag Manager hat schlicht und einfach aus Datenschutz-Sicht den Vorteil: Es gibt dahinter kein Geschäftsmodell im klassischen Sinne. Während der Tag Manager des Google-Konzernes die Daten letztlich ja für eigene Auswertungen weiterverwendet, ist eine Installation eines Matomo Tag Managers einfach nur für jenes Unternehmen, das die Webseite betreibt, zugänglich und somit auch die dahinter liegenden gesammelten Daten von Personen, die auf der Webseite waren.

Rein rechtlich, trotzdem machen wir es in vielen Fällen, wäre für einen Matomo-Einsatz nicht einmal eine Zustimmung erforderlich. Weil die Daten nicht in die USA gehen und auch nicht weiterverarbeitet werden.

Warum nicht Google?

Google ist kein "reiner Auftragsdatenverarbeiter". Das Problem dabei ist, dass Google - ganz offen - auch sagt, dass die eingehenden Daten nicht nur für die Person verarbeitet werden, die die Webseite betreibt, sondern diese Daten von Personen, die auf der Webseite surfen, auch für andere Datenabgleiche verwendet wird. Und darum dürfen die Google-Dienste (dazu gehört dann natürlich auch Google Analytics™) nicht ohne Einwilligung der nutzenden Person verwendet werden.

Gehe zur Übersicht