In diesem Blog-Beitrag wollen wir Ihnen erklären, wie Sie den Google Tag Manager datenschutzkonform, also mit der Datenschutz-Grundverordnung (DSGVO) vereinbar, nutzen können. Außerdem beantworten wir grundlegende Fragen, etwa was das ist, warum sich sein Einsatz und Selfhosting lohnen, und wie das funktioniert.
Mit dem Google Tag Manager (GTM) können Code-Schnipsel, einfacher in Websites oder Apps implementiert werden. Durch den GTM lassen sich dann Tracking- und Marketingtools, die sogenannten Tags, einfach über eine webbasierte Nutzeroberfläche verwalten und es muss nicht mehr in den Quellcode eingegriffen werden. Neben standardmäßig unterstützen Webanalyse-Tools können aber auch benutzerdefinierte HTML-Codes oder JavaScripts eingesetzt werden. Die Funktionen der Tags sind vielfältig, oft werden sie genutzt, um unter anderem das Onlineverhalten der Nutzer/innen (allgemein oder auf der Seite) zu analysieren, Marketingkampagnen zu optimieren oder passende Werbung auszuspielen.
Neben der einfachen Zeit- und Aufwandsersparnis, die die Verwendung eines Tag-Management-Systems mit sich bringt, kann ein Tag-Management-System auch für die consentgesteuerte Ausspielung von Tags verwendet werden. Über die im GTM verfügbaren Laderegeln (auch „Trigger“ genannt) können Tags gezielt nur dann ausgespielt werden, wenn eine Consent Management Plattform (wie z.B. Usercentrics) eine entsprechende Einwilligung bereitstellt. Im Vergleich zu anderen Tag Management-Systemen besticht der GTM mit einer einfachen Benutzeroberfläche, einer sehr umfassenden Gratis-Variante ohne Limitierungen und besserer Performance als die Konkurrenz.
Der GTM selbst setzt keine Cookies, kann allerdings Cookies übertragen, da die verwendeten Tags Cookies setzen können. Hinzu kommt, dass beim Aufruf des GTMs die IP-Adresse und der Browser-Fingerprint an Google übertragen werden. Das stellt eine Datenerhebung dar, und diese wird nach Art. 4 Nr. 2 DSGVO als Datenverarbeitung gewertet. Momentan ist rechtlich noch unklar, ob diese Datenerhebung einer Einwilligung bedarf oder ob sie sich im Rahmen des sogenannten „berechtigten Interesses“ (Art. 6 Nr. 1 f DSGVO) befindet. Insbesondere aber aufgrund des in jüngster Vergangenheit publik gewordenen Urteils des Verwaltungsgerichts Wiesbaden empfehlen wir für die Verwendung des GTMs eine Einwilligung einzuholen oder ihn selbst zu hosten, so lässt sich der Google Tag Manager datenschutzkonform nutzen.
Wenn Sie den GTM selbst hosten, werden die personenbezogenen Daten nicht mehr, wie zuvor beschrieben, an Google in die USA übertragen. Dementsprechend können Sie auf eine Einwilligung verzichten und damit sichergehen, dass Tags an alle Ihre Besucher/innen ausgespielt werden dürfen. Ferner können Werbe-Blocker und Intelligent Tracking Preventions, die beispielsweise in Browsern wie Safari oder Firefox verwendet werden, den GTM nicht mehr blockieren. Des Weiteren wird die Anzahl an Drittanbieteranfragen reduziert, was wiederum zu einer schnelleren Ladezeit und einem verbesserten Google Pagespeed/Core-Web-Vital-Score führt. Durch das Selfhosting können Sie also nicht nur den Google Tag Manager datenschutzkonform nutzen, sondern so auch mehr Funktionen nutzen und ein besseres Nutzer/innenerlebnis herbeiführen.
Wenn Sie den GTM selbst hosten, werden die personenbezogenen Daten nicht mehr, wie zuvor beschrieben, an Google in die USA übertragen. Dementsprechend können Sie auf eine Einwilligung verzichten.
Um den „normalen“ Client-Google Tag Manager datenschutzkonform selbst zu hosten, benötigen Sie zusätzlich einen sogenannten Server-Tag-Manager. Dieser Server-Tag-Manager wird als Schnittstelle zu den Nutzer/innen eingesetzt und liefert das Client-Tag-Manager-Script von Ihrem anstelle des Google-Servers aus. Die Nutzer/innen kommunizieren also nur noch mit Ihrem eigenen System und nicht mehr direkt mit Google. Für das Setup sind die folgenden Schritte erforderlich:
1. Einrichtung eines Server-GTM-Containers unter tagmanager.google.com
2. Einrichtung eines Tagging-Servers und Installation des Server-GTM-Containers
3. Anlage eine „Clients“ (Schnittstelle im Server-GTM, die das Client-GTM-Script ausliefert)
4. Integration des neuen, angepassten GTM-Snippets in den Quellcode der Website oder App
