Der Google Tag Manager ist ein beliebtes Tool, das von Website-Betreibern eingesetzt wird, um Skripte und Dienste effizient zu verwalten. Doch die Nutzung dieses Tools ohne Einwilligung kann rechtliche Risiken bergen. In diesem Artikel beleuchten wir die Datenschutzanforderungen gemäß DSGVO und TTDSG und zeigen Alternativen auf.
Was ist der Google Tag Manager?
Der Google Tag Manager ermöglicht es Website-Betreibern, Programmcode und Dienste wie Tracking-Tools oder Skripte dynamisch zu verwalten und nachzuladen. Das Tool selbst setzt keine Cookies, überträgt jedoch bei seiner Nutzung Daten wie die IP-Adresse und Geräteinformationen an Google-Server.
Datenschutzrechtliche Herausforderungen
Die Nutzung des Google Tag Managers führt zur Verarbeitung personenbezogener Daten und unterliegt damit den Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG).
1. DSGVO: Verarbeitung personenbezogener Daten
- Der Dienst überträgt Daten an Google, was eine Übermittlung in Drittstaaten (z. B. USA) bedeutet.
- Trotz des neuen EU-US Data Privacy Frameworks (2023) bleibt die Datenübertragung kritisch, insbesondere wegen möglicher Zugriffe durch US-Behörden.
- Eine Nutzung ohne Einwilligung ist unzulässig, da keine berechtigte Interessenabwägung gemäß Art. 6 Abs. 1 Buchst. f DSGVO vorliegt.
2. TTDSG: Zugriff auf Endgerätespeicher
- Werden durch den Tag Manager Daten auf dem Endgerät gespeichert oder ausgelesen, ist gemäß § 25 TTDSG eine Einwilligung erforderlich.
- Die Ausnahme des § 25 Abs. 2 TTDSG (technisch notwendige Dienste) ist nicht einschlägig, da der Tag Manager nicht alternativlos ist.
Warum die Einwilligungspflicht notwendig ist
- Risikoreiche Datenverarbeitung: Google verarbeitet Daten weltweit, auch in Ländern ohne Angemessenheitsbeschluss der EU, wie Indien oder Taiwan.
- Kein ausreichendes Auftragsverhältnis: Google kann Daten für eigene Zwecke nutzen, was die Anforderungen aus Art. 28 DSGVO nicht erfüllt.
Empfehlungen für Website-Betreiber
1. Einwilligung einholen
- Setzen Sie ein Cookie-Banner ein, das den Einsatz des Google Tag Managers explizit nennt und die Einwilligung der Nutzer einholt.
2. Alternative Tools prüfen
- Nutzen Sie Tools zur Tag-Verwaltung, die lokal oder auf europäischen Servern gehostet werden. Beispiele sind Open-Source-Tools oder Eigenentwicklungen.
3. Hosting im Eigenbetrieb
- Selbst gehostete Lösungen ermöglichen eine einwilligungsfreie Nutzung, da keine Daten an Drittanbieter übermittelt werden.
Fazit
Der Google Tag Manager ist ein leistungsstarkes, aber datenschutzrechtlich anspruchsvolles Tool. Website-Betreiber sollten sicherstellen, dass dessen Nutzung entweder durch eine klare Einwilligung gedeckt ist oder auf alternative Lösungen umsteigen, um Datenschutzverstöße zu vermeiden. Transparenz und der Schutz personenbezogener Daten müssen immer im Vordergrund stehen.