Symbolbild Google Tag Manager, Mann mit Lupe untersucht Bildschirm

VG Hannover: Einsatz des Google Tag Managers nur mit vorheriger Einwilligung

/0 Comments/in , , , /by

Zahlreiche Websites nutzen den Google Tag Manager (GTM), um Dienste wie Google Analytics, Facebook Pixel oder andere Marketing-Tools einzubinden. Während der Tag Manager in aller Regel so konfiguriert wird, dass die Tags solcher Analyse- und Marketing-Tools erst nach Einwilligung des Users im Cookie Consent Banner ausgelöst werden, wird der GTM selbst häufig direkt beim Aufruf der Website geladen; also unabhängig vom Consent des Users.

Das ermöglichte die einfache Einbindung auch nicht-einwilligungspflichtiger Dienste wie Cookie-Banner. Für diesen Komfort nahmen viele Website-Betreibende ein rechtliches Risiko in Kauf. Sie argumentierten, der GTM sei für den Betrieb der Seite „erforderlich“. Diese Auffassung wurde nun vom Verwaltungsgericht Hannover mit Urteil vom 19.03.2025 (Az. 10 A 5385/22) klar abgelehnt: Der GTM darf erst nach Einwilligung des Users geladen werden.

Exkurs: Was ist der Google Tag Manager und wie funktioniert er?

Der GTM ist ein Tool von Google, mit dem Website-Betreibende sogenannte „Tags“ (kleine Code-Schnipsel) zentral verwalten und auf ihrer Website einbinden können, zum Beispiel zur Analyse des Nutzerverhaltens, zur Conversion-Messung oder für Werbezwecke. Im Grunde ist der GTM ein Container: Er entscheidet wann und unter welchen Bedingungen ein bestimmter Tracking- oder Marketing-Code bzw. Skript geladen wird. Dies geschieht häufig dynamisch, z. B. nachdem der User in einem Cookie-Banner zugestimmt hat.

Auch der GTM speichert Daten auf dem Endgerät des Users und liest solche Daten aus. Zudem stellt der GTM beim Aufruf eine Verbindung zu einem Google-Server her, wobei technisch bedingt jedenfalls die IP-Adresse des Users übermittelt wird. Es stellte sich deshalb die Frage, ob bereits die Einbindung des GTM selbst nur mit Einwilligung des Users zulässig ist.

Rechtlicher Hintergrund: Cookies und Datenübermittlungen häufig nur mit Einwilligung

Nach § 25 Abs. 1 TDDDG (früher: TTDSG) ist die Speicherung von Informationen (z.B. Cookies) auf dem Endgerät des Users sowie der Zugriff auf solche Informationen nur mit vorheriger Einwilligung zulässig. Eine Ausnahme gilt gemäß Abs. 2 nur dann, wenn die Speicherung oder der Zugriff “unbedingt erforderlich” sind, um die Website oder App zur Verfügung zu stellen.

Werden zudem personenbezogene Daten verarbeitet, zum Beispiel an Dritte wie Google übermittelt, ist gemäß Art. 6 Abs. 1 lit. a DSGVO oft ebenfalls eine Einwilligung des Users erforderlich. Da schon die IP-Adresse als personenbezogen anzusehen ist, gilt bereits für deren technisch bedingte Übermittlung beim Aufruf eines Servers häufig als einwilligungspflichtig. Ausnahmen können greifen, wenn die Datenübermittlung zur Wahrung “berechtigter Interessen” des Websites-Betreibenden (Art. 6 Abs. 1 lit. f DSGVO) oder zur Erfüllung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. b DSGVO) erforderlich ist.

Das Verwaltungsgericht Hannover setzte sich in seinem Urteil mit der Frage auseinander, ob die Speicherung von Informationen durch den GTM und die Übermittlung der IP-Adresse des Users an einen Google-Server unter diese Ausnahmen fallen oder nicht.

VG Hannover: Einsatz des Google Tag Managers ohne Einwilligung ist rechtswidrig

Das Gericht kam zu dem erwartbaren Ergebnis, dass sowohl nach § 25 TDDDG, als auch nach den Vorgaben der DSGVO eine Einwilligung des Users erforderlich ist.

1. Verstoß gegen § 25 Abs. 1 TDDDG: Speichern und Auslesen von Informationen

Nach den Ausführungen des Gerichts steht es fest, dass der GTM Cookies und andere Informationen auf dem Endgerät des Users setzt und ausliest. Der an dem Verfahren beteiligte Landesbeauftragte für den Datenschutz in Niedersachsen (LfD) hatte in einem IT-Laber extra eine Analyse durchführen lassen.

“Überprüfungen im Testlabor [des LfD]  haben (…) erwiesen, dass bei Aufruf der Website vor der Interaktion mit dem Einwilligungsbanner Daten des Endgerätenutzers – namentlich die IP-Adresse und Gerätedaten – an den US-Server www.googletagmanager.com übermittelt und ein Java-Skript namens gtm.js auf dem Endgerät des Nutzers gespeichert wird, welches die Google Tag Manager-ID [des Website-Betreibenden] enthält und Informationen der Nutzer ausliest. Damit werden durch den Dienst Google Tag Manager sowohl Informationen auf den Endgeräten der Nutzer gespeichert als auch ausgelesen.”

Der GTM und damit das Speichern und Auslesen von Daten durch diesen sei, so die Richter, nicht “unbedingt erforderlich” für den Betrieb der Website:

“Die durch den Google Tag Manager erbrachte Funktion, Tracking-Codes und Skripte insbesondere von Werbedienstleistern zu laden, ist weder ein Dienst, welcher von Nutzern der Website der Klägerin ausdrücklich gewünscht ist, noch bietet er einen Mehrwert oder eine Funktion für die Nutzung der Website. Das Laden von Skripten von Werbedienstleistern dient vielmehr den Interessen der Klägerin an der Finanzierung des Internetangebots durch den Verkauf von Werbeflächen, nicht denen der Nutzer.”

Der GTM sei zwar praktisch, aber eben nicht technisch notwendig, da Alternativen existieren, z.B. eigene Skripte:

“Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. Vielmehr kann der Ladevorgang dieser Marketing-Tools und -Cookies auch ohne den Google Tag Manager bewerkstelligt werden, indem beispielsweise ein eigenes Skript programmiert wird. (…) Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.”

2. Verstoß gegen Art. 6 Abs. 1 DSGVO: Keine rechtmäßige Verarbeitung personenbezogener Daten

Neben dem TTDSG liege auch ein Verstoß gegen die DSGVO vor. Unabhängig davon, ob in den Cookies personenbezogene Daten gespeichert werden oder nicht, stelle jedenfalls die unverschlüsselte IP-Adresse ein personenbezogenes Datum dar, welches beim Aufruf an einen Google Server (www.googletagmanager.com) übertragen wird.

Die Übertragung sei insbesondere nicht zur Wahrung berechtigter Interessen des Website-Betreibenden erforderlich im Sinne des Art. 6 Abs. 1 lit. f DSGVO:

“Selbst wenn diese Datenverarbeitung daher aus wirtschaftlichen Gründen zur Ermöglichung der Einbindung von Drittdienstleistern im Rahmen des Real Time Biddings unter gleichzeitiger Aufrechterhaltung der Funktionsfähigkeit der Website der Klägerin erforderlich ist, so überwiegt dies nicht die Grundrechte der durch die Datenverarbeitung betroffenen Nutzer auf den Schutz ihrer personenbezogenen Daten nach Art. 8 GrCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GrCh und Art. 8 EMRK. Im Rahmen der Abwägung ist einerseits zu berücksichtigen, dass der Dienst Google Tag Manager nicht alternativlos ist, sondern die Steuerung und Verwaltung der Abfolge und Verwendung von Programmcode auch mit anderen Werkzeugen, zum Beispiel mittels einer Eigenentwicklung, offener Software oder eines anderen Einwilligungsmanagement-Tools erfolgen kann. Die Nutzung des Dienstes Google Tag Manager ist dabei lediglich am einfachsten, da das Tool kostenlos ist und gut funktioniert. Die Übermittlung personenbezogener Daten insbesondere an Google als einen der weitverbreitetsten Akteure im Internet, dessen Geschäftsmodell es u.a. ist, Daten zur wirtschaftlichen Eigennutzung zu sammeln, kann im Hinblick auf die betroffenen Grundrechte nicht lediglich aus Gründen der Einfachheit gerechtfertigt werden.”

 

 

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.