Ein neues Datenschutz-Urteil des Verwaltungsgerichts Hannover sorgt aktuell für viel Aufsehen im Marketing: Das Gericht entschied, dass bereits das blosse Laden des Google Tag Managers (GTM) auf einer Webseite eine datenschutzrelevante Verarbeitung persönlicher Daten darstellt und somit gemäs DSGVO und TTDSG (E-Privacy) eine vorherige Nutzereinwilligung erfordert. Bisher galt der Google Tag Manager als „neutraler Container“, solange damit keine Tracking-Tags geladen wurden.
Das Gericht in Hannover sieht das anders: Gemäss dem Gerichtsurteil überträgt bereits das Initialisieren des Google Tag Managers technische Daten wie IP-Adressen an die Google Server, die meist ausserhalb der EU stehen. Aus diesem Grund sei dieses Vorgehen ohne Nutzereinwilligung nicht datenschutzkonform und damit nicht zulässig.
Worum ging es konkret im Gerichtsurteil in Hannover?
Das betroffene Unternehmen hat den Google Tag Manager ohne Zustimmung der Nutzer:innen geladen, denn mit dem Google Tag Manager wird auch die Consent Management Plattform geladen, die die Nutzereinwilligung einholt. Dieses Setup entspricht der gängigen Praxis und hat bis anhin auch zu keinen Beanstandungen geführt.
Das Gericht in Hannover hat nun angemerkt, dass der Google Tag Manager technisch nicht notwendig ist, um die Zustimmung der Nutzer:innen einzuholen, denn das Script für die Consent Managemen Plattform kann auch unabhängig vom Google Tag Manager geladen werden. Die Integration der Consent Management Plattform via Google Tag Manager ist gemäss dem Urteil also genauso wenig datenschutzkonform wie das reine Laden des Google Tag Manager Containers ohne Zustimmung.
Im konkreten Fall wurde das Unternehmen jedoch nicht mit einer Strafe belegt, sondern lediglich abgemahnt. Das Unternehmen musste die Verfahrenskosten tragen sowie die nötigen technischen Umsetzungen vornehmen. Es blieb also bei einer Warnung.
Sollen Sie Ihr Google Tag Manager Setup nun anpassen?
Es geht um eine Risiko-Abwägung, die jedes Unternehmen für sich selber treffen muss.
Für das Beibehalten des gängigen Setups spricht:
- Den Google Advanced Consent Mode können Sie nur nutzen, wenn die Consent Management Platform via Google Tag Manager geladen wird. Sie würden auf wertvolle Marketingdaten für die Kampagnen-Optimierung verzichten, wenn Sie den Consent Mode nicht mehr nutzen könnten.
- Sie könnten die meisten Consent Management Platformen zwar über ein separates Script direkt im Webseiten-Code integrieren, ohne die Implementierung via Tag Manager vorzunehmen. Das Laden des Google Tag Managers wird damit aber nicht verhindert.
- Grosse Anbieter von Cookie Consent Lösungen wie OneTrust oder Cookiebot können derzeit den Google Tag Manager gar nicht blockieren. Um dem Gerichtsurteil nachzukommen, braucht es erst neue technische Standards.
- Die Weitergabe von persönlichen Daten via Google Tag Manager, die vom Gericht in Hannover bemängelt wird, bezieht sich auf IP-Adressen. Diese werden bei jedem Webseiten-Aufruf als Rohdaten geschickt und basieren auf dem grundlegenden Funktionieren des Internets. Nicht nur der Google Tag Manager funktioniert so, sondern Millionen von Plugins, die somit verboten werden müssten.
- Im Falle eines Verfahrens besteht ein geringes Risiko auf eine Strafe und Sie werden wahrscheinlich lediglich gezwungen, Ihr Setup anzupassen.
Für das Ändern des Setups spricht:
- Ihre Webseite entspricht den schärfsten datenschutzrelevanten Vorgaben auf EU-Ebene.
Fazit
Sie sehen es an den Argumenten oben: Aufgrund unserer Risiskoabwägung schlagen wir ein pragmatisches Vorgehen vor und denken daher nicht, dass es zum aktuellen Zeitpunkt notwendig ist, Ihr Google Tag Manager Setup anzupassen.
Wichtig ist, dass Sie die Implementierung Ihrer Consent Management Platform regelmässig überprüfen und alle Prozesse sauber dokumentieren. Und natürlich alle Tracking- und Marketing-Tags sowie Cookies erst nach vorhandener Nutzereinwilligung setzen.
