Nutzung des Google Tag Manager nur mit Einwilligung!

Der Google Tag Manager ist eines der beliebtesten Tools von Webseiten. Mit ihm werden Tags von Drittanbietern wie Google Analytics verwaltet. So werden Drittanbieter-Tags vom Google Tag Manager meistens erst dann geladen, wenn eine Einwilligung für die Nutzung des Drittanbieters vorliegt. Bei der Nutzung werden allerdings Daten an Google weitergeleitet. Daher ist eine Einwilligung des Webseitenbesuchers einzuholen. Um eine Abmahnung zu vermeiden, sind zudem weitere datenschutzrechtliche Hürden zu beachten. 

Warum die Einwilligung nötig ist

Durch die Nutzung der Webseite wird der Google Tag Manager heruntergeladen, was automatisch dazu führt, dass die IP-Adresse des Nutzers an Google weitergeleitet wird. IP-Adressen -und zwar auch die dynamischen IP-Adressen- sind Daten, die sich auf eine bestimmbare natürliche Person beziehen. Sie sind somit personenbezogene Daten nach Art. 4 Nr.1 DSGVO.  

Die Daten werden von Google gespeichert und verarbeitet. Ort der Verarbeitung kann nach dem Auftragsverarbeitungsvertrag von Google (Stand) jedes Land sein, in dem Google oder Googles Unterauftragsverarbeiter Einrichtungen unterhalten und Daten speichern und verarbeiten. Es kann somit auch zu einem Datentransfer in die USA, also einem unsicheren Drittland, kommen.  

Die Weitergabe von IP-Adressen ist ein Eingriff in das allgemeine Persönlichkeitsrecht, welches grundrechtlich geschützt ist, Art. 2 Abs.2 GG i.V.m. Art.1 Abs.1 GG. Genauer gesagt wird das Recht auf informationelle Selbstbestimmung beeinträchtigt. Solche Eingriffe sind grundsätzlich verboten, stehen unter Erlaubnisvorbehalt. Die Datenverarbeitung ist daher nur rechtmäßig, wenn Sie durch ein Gesetz gerechtfertigt werden kann.  

Da zwischen Webseitenbetreiber und Besucher keine vertraglichen Beziehungen gem. Art. 6 Abs.1 S.1 lit.b) DSGVO bestehen und die Verarbeitung auch nicht der Erfüllung einer rechtlichen Verpflichtung des Webseitenbetreibers gem. Art. 6 Abs.1 S.1 lit.c) DSGVO dient, kommen nur wenige Gesetzesgrundlagen in Betracht.  

So stützen sich viele Webseitenbetreiber auf Art. 6 Abs.1 S.1 lit. f) DSGVO. Danach ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und die Interessen und Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, dieses berechtigte Interesse nicht überwiegen. Das berechtigte Interesse an der Nutzung vom Google Tag Manager liegt in der geordneten Verwaltung von Drittanbieter-Tags. 

Fraglich ist allerdings bereits hier, ob die Nutzung zur Wahrung dieses Interesses tatsächlich erforderlich ist. Dies erfordert, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken. Es darf kein milderes, gleich effektives Mittel zur Verfügung stehen, um die Interessen zu erreichen. Angesichts der Tatsache, dass die Drittanbieterdienste auch über ein Java-Script und ohne Datenübermittlung in die USA, geladen werden könnten, ist die Erforderlichkeit zu verneinen. Auch bei der Abwägung, ob nicht das berechtigte Interesse des Webseitenbetreibers vom Recht der betroffenen Person auf informationelle Selbstbestimmung überwogen wird, spricht der Umstand der Datenweiterleitung in die USA und die fehlenden Interventionsmöglichkeiten der betroffenen Person gegen eine Nutzung der Daten durch etwaige Behörden, für die Einschätzung, dass die Betroffenenrechte in diesem Fall das berechtigte Interesse des Webseitenbetreibers überwiegen. Die Datenverarbeitung kann daher nicht über das berechtigte Interesse gem. Art. 6 Abs.1 S.1 lit. f) DSGVO gerechtfertigt werden.  

Einzig mögliche Rechtsgrundlage für die Datenverarbeitung und den möglichen Transfer in die USA ist daher die Einwilligung des Nutzers gem. Art. 6 Abs.1 S.1 lit.a) DSGVO.  

Die datenschutzkonforme Nutzung

Wer den Google Tag Manager weiterhin nutzen möchte, muss dafür die Einwilligung seiner Nutzer gem. Art. 6 Abs.1 S.1 lit.a) DSGVO einholen. Zudem muss gem. Art. 13 Abs. 1 DSGVO auf die Nutzung hingewiesen und der Webseitenbesucher über die legitimierende Rechtsgrundlage informiert werden. Auf vielen Webseiten wird dabei noch auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit.f) DSGVO, also des berechtigten Interesses, verwiesen. Dies ist falsch und muss umgehend korrigiert werden.  

Letztlich muss der Verantwortliche, die datenschutzkonforme Nutzung von Google Tag Manager nachweisen. Das bedeutet, dass der Verantwortliche in der Lage sein muss nachzuweisen, dass Google selbst hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Hierzu kann der Webseitenbetreiber etwa Standardvertragsklauseln gem. Art. 46 Abs. 2 DSGVO mit Google LLC schließen. 

Das solche Standardvertragsklauseln oder andere Zertifizierungsmechanismen (wie etwa Safe Harbor) den Zugriff auf personenbezogene Daten von EU-Bürgern durch staatliche Behörden der USA nicht verhindern können, hat unlängst auch der Europäische Gerichtshof (EuGH) festgestellt. Vor der Verwendung von Google Tag Manager ist eine Risikoanalyse nach Maßgabe des European Data Protection Board (EDPB) daher unverzichtbar. 

Eine Alternative zum Google Tag Manager:  

Alternativ zum Google Tag Manager können Dienste auch ohne ihn über ein Java-Skript geladen werden. Wem dies zu viel Aufwand ist, der kann den Untagmanager wählen.  Dieser lässt sich, ohne Drittstaatenübermittlung und ohne Auftragsverarbeitungsvertrag, datenschutzkonform einbinden.  

Fazit

Wer seine Datenschutzerklärung bis jetzt noch nicht korrigiert hat, der sollte dies dringend unter Hinweis auf die Rechtsgrundlage des Art. 6 Abs.1 S.1 lit.a) DSGVO tun. Auch Standardvertragsklauseln müssen mit Google geschlossen worden und eine Risikoanalyse nach den Vorgaben des EDPB erfolgt sein. Bei Fragen bezüglich Googles Auftragsverarbeitungsvertrags oder einer Risikoanalyse stehen wir Ihnen gerne zur Verfügung.