Das Wichtigste zur DSGVO beim Google Tag Manager in Kürze
Der Google Tag Manager wird eingesetzt, um andere Dienste nachzuladen zu können, ohne den Quellcode zu bearbeiten. Mehr zur Definition erfahren Sie hier.
Der Google Tag Manager speichert keine personenbezogenen Daten. Dennoch übermittelt er beim Laden einer Seite Ihre IP-Adresse an Google. Teilweise liegt der Google Tag Manager bezgl. der DSGVO in einer Grauzone.
Weil der Google Tag Manager Daten nicht selbst speichert, ist nicht klar, ob eine Einwilligungspflicht besteht. Sie wird aber ebenso empfohlen wie weitere Maßnahmen zur DSGVO-konformen Einbindung. Diese finden Sie hier.
Der Google Tag Manager – Definition & Datenschutzprobleme
Inhaltsverzeichnis
Der Google Task Manager wurde 2012 von Google erstmals ausgespielt. Hierbei handelt es sich um ein Tag-Management-System (TMS). Ein sogenannter „Tag“ wird als Code-Fragment verstanden, also als Teil des Quellcodes einer Webseite. Diese Tags sollen mithilfe des Google Tag Managers quasi selbstständig aktualisiert werden können. Der Google Tag Manager ist aus DSGVO-Gründen nicht unumstritten.
Das System soll dafür sorgen, auch ohne eine IT-Fachkraft auf eigenen Webseiten ein Webtracking zu ermöglichen. Das bedeutet, dass er das Verhalten von Nutzern der Webseite verfolgt und passende Tools von selbst nachlädt und ausspielt, ohne dass Seitenbetreiber den Quellcode bearbeiten müssen.
Erfasst der Tag Manager bestimmte Verhaltensweisen, integriert er diese in den Quellcode. Dadurch können bestimmte Inhalte nachträglich auf eine Seite geladen werden. Doch inwieweit ist der Google Tag Manager damit DSGVO-konform?
Schlussendlich werden durch das TMS Nutzerdaten erhoben, die dieses an entsprechende Analyse-Tools weitergibt. Rechtlich birgt der Google Tag Manager bezüglich der DSGVO daher durchaus einige Risiken. Diese Daten können z. T. personenbezogen sein, weshalb entsprechende datenschutzrechtliche Vorgaben eingehalten werden müssen. Oftmals wird das Tool jedoch ohne Einverständniserklärung verwendet.
Muss man beim Google Tag Manager Anforderungen der DSGVO beachten?
Die Rechtslage beim Google Tag Manager bezgl. der DSGVO ist teilweise undurchsichtig. Google selbst gibt an, dass das TMS keine Cookies setze und auch keine personenbezogenen Daten verarbeite oder weitergebe.
Der GTM selbst speichert keine Daten und hat auf diese auch keinen Zugriff, sondern er gibt sie nur weiter. Genau hier wird daher häufig ein Schlupfloch erkannt, beim Google Tag Manager nicht die DSGVO beachten zu müssen. Demnach müsse man weder auf die Nutzung des Systems aufmerksam machen noch die Einwilligung der Nutzer einholen.
Allerdings verwaltet der Manager Cookies von z. B. Google Analytics in einem separaten Container. Zudem wird mit jedem Besuch einer Webseite die IP-Adresse des Nutzers an Google weitergegeben.
Die DSGVO verlangt bei den Informationen zur Datenverarbeitung eine entsprechende Transparenz. Diese wird von Google bezüglich des GTM aber nicht gegeben. Stattdessen heißt es bezüglich der Datenverarbeitung (aus dem Englischen übersetzt):
Wir sammeln Informationen darüber, wie der Service genutzt wird und wie und welche Tags bereitgestellt werden. Wir verwenden diese Daten, um den Service zu verbessern, zu warten, zu schützen und weiterzuentwickeln, wie in unserer Datenschutzrichtlinie beschrieben. Wir werden diese Daten jedoch ohne Ihre Zustimmung nicht an andere Google-Produkte weitergeben.
Das Problem hierbei: Google gibt an, die Daten nicht ohne Einwilligung mit anderen Google-Produkten zu teilen. Allerdings ist nirgendwo die Rede davon, dass die gespeicherten Daten nicht an Dritte weitergegeben werden.
Daher wird in der Regel dazu geraten, den Gebrauch vom Google Tag Manager DSGVO-konform auf der Webseite in der Datenschutzerklärung zu kennzeichnen und ihn nicht ohne Einwilligung der Nutzer einzusetzen.
Google Tag Manager DSGVO-konform einbinden – So geht’s!
Im Endeffekt gehört auch der Google Tag Manager zu den Tools, die personenbezogene Daten verarbeiten, auch wenn er sie nicht selbst speichert. Es liegt aber eine Weitergabe dieser Daten an Drittanbieter vor.
Die Übertragung von personenbezogenen Daten aus der EU in ein Drittland kann rechtlich besonders problematisch werden. Dies ist nämlich gemäß der DSGVO nur dann zulässig, wenn das Drittland ein vergleichbares Schutzniveau der übermittelten Daten mit dem der EU nachweisen kann.
Der Google Tag Manager sollte entsprechend DSGVO-konform auf Webseiten eingebunden werden. Damit das richtig funktioniert, sollten mehrere Schritte beachtet werden:
- Nutzer-Einwilligung einholen
- Weil der GTM die Daten nicht speichert, sondern nur als Schaltstelle fungiert und die Daten nur an Analyse-Tools vermittelt, ist unklar, ob eine Nutzer-Einwilligung zwingend erforderlich ist. Sie gehen mit einer entsprechenden Einwilligung jedoch auf Nummer sicher, was die Nutzung des Google Tag Managers gemäß der DSGVO angeht.
- Abschließen eines Vertrages zur Auftragsverarbeitung
- Sobald ein Tool oder Programm personenbezogene Daten an Dritte weitergibt, ist ein solcher AV-Vertrag Pflicht. Enthalten sollten hier Informationen sein, welche Daten gespeichert werden, wie lange sie gespeichert werden, warum sie gespeichert werden und welche Rechte und Pflichten die Verantwortlichen haben.
- Anpassen der Datenschutzerklärung
- Die Schließung der AV-Verträge müssen in der Datenschutzerklärung erwähnt werden. Hierbei sollte insbesondere begründet werden, warum diese Schritte unternommen wurden und welche Rechtsgrundlage dies ermöglicht (Art. 6 Abs. 1 DSGVO). Nutzer müssen zudem die Möglichkeit haben, die Einwilligung jederzeit widerrufen zu können.
- Anonymisierung der IP-Adressen
- IP-Adressen sollten wenigstens teilweise unkenntlich gemacht haben, um Webseitenbesucher nicht mehr eindeutig identifizierbar für Dritte zu machen.
- Prüfen der Standardvertragsklauseln
Quellen und weiterführende Links
(40 Bewertungen, Durchschnitt: 4,30 von 5)
Loading...Über den Autor
Schreibe einen Kommentar