Datenschutz Magazin
Google Tag Manager: Herausforderungen beim Einsatz des Multitalents
Vereinbar mit der DSGVO?
Der Google Tag Manager ist ein Mittel zur umfassenden Sammlung, Verarbeitung und Weiterleitung von personenbezogenen Daten. Somit gelten die Regeln der DSGVO. Bei konsequenter Betrachtung gibt es drei Problemfelder:
Die Rechtsgrundlage
Es ist schwierig, die Daten entsprechend den Richtlinien der DSGVO zu verarbeiten. Jede Datenverarbeitung in Europa muss von einer entsprechenden Rechtsgrundlage gedeckt sein. Verwendet man den Google Tag Manager, so verwaltet dieser letztendlich eingebundene Dienste. Der Einsatz bedeutet, dass Daten an den Suchmaschinenanbieter übermittelt werden. Das stellt einen neuen Verarbeitungszweck dar, für den die Rechtmäßigkeit erst hergestellt werden muss. Die oft im Webbereich genutzte Rechtsgrundlage „berechtigtes Interesse“ ist hier nicht nutzbar. Einwilligungen als Rechtsgrundlage sind denkbar, aber kompliziert umzusetzen.
Cookiesetzung
Der Tag Manager funktioniert nur mit Cookie-Setzung. Das entsprechende Script muss initial gesetzt werden. Nach Maßgabe gerichtlicher Entscheidungen müssen Websitenutzer jedoch die Wahl haben, welche Cookies gesetzt werden – mit Ausnahme von technisch absolut notwendigen Cookies. Eine technische Notwendigkeit, was bedeutet, dass es anders nicht geht, besteht hier nicht.
„Der Google Tag Manager ist nicht mit der DSGVO vereinbar. Jedoch kann er unter bestimmten Vorkehrungen trotzdem verdendet werden.“
Sebastian Strimnitzer
Datenweitergabe an Google
Google stellt kaum Informationen über die selbst mit den Daten verfolgten Zwecke zur Verfügung. Der Websitebetreiber kann so nur schwer entsprechend den Vorgaben des Art. 13 DSGVO (Betroffeneninformationen) über die Zwecke der Datenweitergabe an Google informieren.
Firmenkommunikation
Im Falle beruflicher Kollaboration über einen unsicheren Kommunikationskanal können Unbefugte die Kommunikation mitverfolgen. Oftmals werden bei der Auswahl des entsprechenden Dienstleisters Aspekte der Datenweitergabe in Drittstaaten (z. B. Server außerhalb EU/EWR) nicht ausreichend berücksichtigt. Das Unternehmen verstößt somit gegen die allgemeinen Grundsätze der Datenübermittlung. Strafen bis zu Strafrahmen von 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes können die Folge sein.
Unsere Empfehlungen
Aus unserer Sicht ist der Google Tag Manager ein durchaus sinnvolles Verwaltungstool, dessen datenschutzkonformer Einsatz jedoch schwierig ist. Google stellt den Dienst kostenlos zur ¬Verfügung – ¬jedoch bezahlt man letztlich mit den Daten der Websitenutzer/innen. Für die Datenweitergabe bleibt immer der/die Websitebetreiber/in verantwortlich. Google sichert sich hier entsprechend ab. Wenn Sie auf den Einsatz des Google Tag ¬Managers trotzdem nicht verzichten möchten, empfehlen wir, folgende Punkte umzusetzen, um das eigene Risiko bestmöglich einzugrenzen:
- Schließen Sie einen Art.-28-Vertrag mit Google ab (Online-Abschlussmöglichkeit in den Kontoeinstellungen).
- Stellen Sie eine kurze Datenschutz¬information zum Einsatz des Google Tag Managers auf die Website.
- Grenzen Sie die Datenweitergabe an Google durch Einrichtung einer
IP-Adressen-Anonymisierung ein. - Sofern Sie über einen Cookie-Banner die Einwilligungen für Tracking- bzw. Analysedienste einholen, müssen Sie sicherstellen, dass die Nutzerpräferenzen vom Google Tag Manager berücksichtigt werden.
EIN TIPP
IP-Adressen-Anonymisierung im Google Tag Manager
→ Gehen Sie auf „Weitere Einstellungen“ und weiters: „Festzulegende Felder“
→ Geben Sie im Feld „Feldnamen“ „anonymieIp“ ein und wählen Sie den Wert „true“
Die DSGVO ist oft umständlich und kompliziert. Wir sind es nicht.
Wir identifizieren Optimierungsmöglichkeiten Ihres Datenschutz-Managements und erarbeiten maßgeschneiderte Umsetzungsmaßnahmen, die Sie direkt anwenden können.