Der Google Tag Manager ist ein beliebtes Tool, um Websites flexibel zu gestalten und Marketingkomponenten effizient zu verwalten. Allerdings gibt es datenschutzrechtliche Herausforderungen, wenn personenbezogene Daten an Google-Server übertragen werden. Ein weitverbreiteter Irrtum besteht darin, dass der Google Tag Manager „einwilligungsfrei“ genutzt werden kann, da er selbst keine Cookies setzt. Doch wie der Landesbeauftragte für Datenschutz in Niedersachsen im Tätigkeitsbericht 2023 feststellt, ist die Einwilligungspflicht keineswegs hinfällig. In diesem Beitrag beleuchten wir die rechtlichen Grundlagen zur Nutzung des Google Tag Managers und was Website-Verantwortliche dabei beachten sollten.
Google Tag Manager und Datenschutz: Eine Übersicht
Der Google Tag Manager ist ein Tool, das es Website-Betreibern erlaubt, Code und Dienste flexibel zu steuern und nachzuladen. Dabei ist der Tag Manager selbst oft ein fester Bestandteil von Websites, insbesondere solchen, die Marketing-Dienste einbinden. Häufig wird das Tool jedoch ohne Einwilligung der Nutzer eingebunden, oft unter Verweis darauf, dass der Google Tag Manager keine Cookies setzt.
Doch allein durch den Einsatz des Tools werden Verbindungen zu Google-Servern hergestellt, wodurch unter anderem IP-Adressen und Gerätedaten an Google übertragen werden. Diese Datenübertragung führt dazu, dass der Einsatz des Google Tag Managers aus datenschutzrechtlicher Sicht sensibel ist, da es sich um die Verarbeitung personenbezogener Daten handelt.
DSGVO und TTDSG: Rechtsgrundlagen zur Einwilligungspflicht
Datenschutz-Grundverordnung (DSGVO)
Die Nutzung des Google Tag Managers ohne Einwilligung setzt voraus, dass eine Rechtsgrundlage vorliegt, die die Verarbeitung personenbezogener Daten erlaubt. Ein häufig herangezogener Grund ist das „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO. Doch das berechtigte Interesse ist nicht unproblematisch: Der Landesbeauftragte für Datenschutz weist darauf hin, dass es alternative Lösungen gibt, die keine Datenübertragung an Google erfordern – darunter eigene Tag-Management-Systeme oder einwilligungsfreie Alternativen.
Google gibt zudem an, dass erhobene Daten zur Verbesserung eigener Dienste genutzt werden. Der Tag Manager ist daher, auch wenn er als Auftragsverarbeitung angeboten wird, laut dem LfD Niedersachsen nicht DSGVO-konform einsetzbar, da das Auftragsverhältnis nicht den Anforderungen des Art. 28 DSGVO entspricht. Hinzu kommt, dass Google laut eigenen Angaben Daten auch außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet, darunter in Ländern ohne EU-Angemessenheitsbeschluss.
Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Neben der DSGVO gilt in Deutschland das TTDSG, welches regelt, unter welchen Bedingungen Daten auf Endgeräten gespeichert und ausgelesen werden dürfen. Werden Daten auf einem Endgerät gespeichert oder daraus ausgelesen, wie es beim Google Tag Manager der Fall ist, ist eine Einwilligung gemäß § 25 TTDSG erforderlich. Die im TTDSG definierten Ausnahmebestände greifen hier nicht, weshalb eine Einwilligung zwingend notwendig ist.
Risiken bei der Nutzung ohne Einwilligung
Der LfD Niedersachsen stellt klar, dass die Verwendung des Google Tag Managers ohne Einwilligung eine rechtswidrige Verarbeitung personenbezogener Daten darstellt. Ohne explizite Einwilligung der Nutzer liegt eine Verletzung der datenschutzrechtlichen Vorgaben der DSGVO und des TTDSG vor, die zu empfindlichen Bußgeldern und Abmahnungen führen kann.
Handlungsempfehlungen für Unternehmen
Für Unternehmen, die weiterhin auf den Google Tag Manager setzen möchten, sind folgende Schritte wichtig:
- Einwilligung einholen: Stellen Sie sicher, dass die Einwilligung der Nutzer eingeholt wird, bevor personenbezogene Daten über den Google Tag Manager an Google übertragen werden.
- Einwilligungsfreie Alternativen prüfen: Es gibt verschiedene Alternativen, die keine Weitergabe personenbezogener Daten an Dritte erfordern. Eigenentwicklungen oder Open-Source-Lösungen bieten ebenfalls Möglichkeiten zur Verwaltung von Website-Tags ohne Google-Dienste.
- Tag Management im Eigenbetrieb hosten: Ein selbst gehostetes Tag-Management-System bietet den Vorteil, dass es in der Regel einwilligungsfrei betrieben werden kann, da keine Datenübermittlung an Dritte erfolgt.
- Dokumentation und Sicherheitsmaßnahmen prüfen: Die Nutzung eines Dienstes von Google erfordert immer eine sorgfältige Prüfung und Dokumentation aller Datenschutzmaßnahmen. Achten Sie darauf, ob die rechtlichen Anforderungen an Auftragsverarbeitungsverträge erfüllt werden.
Fazit: Google Tag Manager nur mit Einwilligung DSGVO-konform nutzen
Obwohl der Google Tag Manager ein flexibles und weitverbreitetes Tool für das Website-Management bietet, bringt die Nutzung aus Datenschutzsicht erhebliche Herausforderungen mit sich. Aufgrund der Datenübermittlung an Google-Server und der potenziellen Nutzung der Daten durch Google ist die Einholung einer Einwilligung unumgänglich. Unternehmen, die ihre Website DSGVO-konform betreiben wollen, sollten entweder die nötigen Einwilligungen einholen oder nach alternativen Lösungen Ausschau halten, die keine personenbezogene Datenverarbeitung durch Dritte erfordern.