Am 10. März 2025 hat Google eine wichtige Änderung angekündigt: Ab dem 10. April 2025 wird das Google Tag in Tag Manager-Containern automatisch geladen – unabhängig von einer Nutzerinteraktion. Ein Tag Manager-Container ist ein zentrales System, das alle einzelnen Tags bündelt und automatisch steuert. Tags sind kleine Code-Snippets, die auf Websites eingebunden werden, um bestimmte Nutzerinteraktionen zu erfassen, den Erfolg von Werbekampagnen zu messen und zielgerichtete Werbung über die Werbeplattformen von Google zu ermöglichen. Diese Änderung betrifft ausschließlich Container, die Google Ads- und Floodlight-Tags enthalten, nicht jedoch Container, die Google Analytics 4 enthalten.
Dies wirft insbesondere aus datenschutzrechtlicher Sicht wichtige Fragen auf: Was ändert sich konkret? Und besteht Handlungsbedarf für Websitebetreiber*innen?
Bevor diese Fragen beantwortet werden können, muss zunächst geklärt werden, was sich genau ändert.
Bisher wurde das Google Tag im Tag Manager-Container nur nach einer konkreten Nutzerinteraktion („Ereignis“) geladen – also beispielsweise, wenn ein*e Nutzer*in auf einen bestimmten Link klickte. Auf diese Weise kompensierte das Google Tag mögliche Versäumnisse beim Setzen von Tags für bestimmte Nutzeraktionen. Bislang waren zudem viele Einstellungen des automatisch geladenen Google Tags deaktiviert, sodass die Datenerhebung gut gesteuert und an datenschutzkonforme Einstellungen gekoppelt werden konnte.
Was genau passiert technisch – und warum ist das problematisch?
Seit dem 10. April 2025 wird das Google Tag jedoch automatisch in den Tag Manager-Container geladen, auch wenn noch keine Ereignisse gesendet werden. Zudem gelten die Google Tag Einstellungen unabhängig davon, ob der Code über den Google Tag Manager oder direkt im HTML eingebunden wird. Neu ist auch, dass das Google Tag in Zukunft bereits vor dem Auslösen eines Events geladen wird. Das Ziel dieser Neuerung ist es, die Menge der Messdaten zu erhöhen und eine bessere Integration erweiterter Funktionen zu ermöglichen.
Zudem werden automatisch Nutzerdaten erhoben, sofern der Websitebetreiber den Nutzungsbedingungen für die Erfassung von Kundendaten zugestimmt hat. Das bedeutet, dass sofern die Erfassung von User-Provided Data (UPD) und die erweiterten Conversions aktiviert sind, diese durch das automatisch geladene Google-Tag angewendet werden. Ohne bewusstes Zutun kann also mehr Tracking stattfinden, was problematisch ist, wenn keine einschlägige Rechtsgrundlage vorliegt.
Datenschutzrechtliche Bewertung und Handlungsempfehlung
Es ist daher zu klären, welche Rechtsgrundlage anwendbar ist. Die Einwilligung nach Art. 6 Abs. 1 S.1 lit. a DSGVO ist weiterhin der rechtsicherste Weg, insbesondere bei der Erhebung von Kundendaten durch Google-Dienste. Die Verarbeitung kann jedoch auch (unter Berücksichtigung eines Restrisikos) auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden. Sofern die Einwilligung als Rechtsgrundlage gewählt wurde, ist darauf zu achten, dass das Google Tag im Consent-Banner nur nach erteilter Einwilligung geladen wird. Zusätzlich ist die Transparenzpflicht zu beachten. Das bedeutet, dass der Inhalt des Consent-Banners überprüft werden muss, um sicherzustellen, dass der Zweck und die Beschreibung weiterhin zutreffen. Auch die Datenschutzerklärung sollte überprüft und gegebenenfalls um die neuen Verarbeitungsprozesse ergänzt werden.
Um eine unrechtmäßige Datenerhebung zu vermeiden, sollten die Google Tags im Google Tag Manager für die Ads-/Floodlight-ID rechtzeitig eingefügt werden, damit das Tag nicht automatisch und vollständig geladen wird. Bei der technischen Einrichtung des Consent-Banners besteht grundsätzlich kein Handlungsbedarf, wenn dieses korrekt eingerichtet ist. Dennoch könnte es ein guter Zeitpunkt sein, die Einrichtung des Consent-Banners zu überprüfen, um sicherzustellen, dass das Google Tag nur geladen wird, wenn die Einwilligung erteilt wurde.
Websitebetreiber, die das Google-Tag direkt in den HTML-Code eingebunden haben, sollten sich überlegen, ob sie dies weiterhin so handhaben wollen, da das Google-Tag künftig auch ohne Einwilligung geladen wird. Dies schränkt die Möglichkeiten zur Kontrolle der Datenerhebung ein.
Fazit
Auch wenn die technische Änderung auf den ersten Blick geringfügig erscheint, kann sie datenschutzrechtliche Auswirkungen haben. Es ist wichtig, jetzt zu prüfen, ob die Einbindung des Google Tags noch den Anforderungen der DSGVO entspricht. Wer auf Nummer sicher gehen will, sollte die bestehenden Einstellungen überprüfen, um eine unzulässige Datenverarbeitung zu vermeiden.
Gerne unterstützen wir Sie bei der datenschutzkonformen Verwendung des Google Tag Managers.
23. April 2025 @ 15:28
Hallo,
wie bitte soll das funktionieren:
„Die Verarbeitung kann jedoch auch (unter Berücksichtigung eines Restrisikos) auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden.“
Wie sähe Ihrer Meinung nach die Interessenabwägung aus und wie würde der Nutzer wirksam darüber informiert, wenn das Setzen und Lensen bereits mit dem Aufruf der Webseite erfolgt?
28. April 2025 @ 9:31
Hallo!
Vielen Dank für Ihren Kommentar.
Das berechtigte Interesse kann darin gesehen werden, über den Google Tag Manager die eingesetzten Trackingtools zentral und effizient zu steuern. Ein milderes Mittel ist nicht ersichtlich, da die Steuerung der Tools über den GTM deutlich vereinfacht wird im Vergleich zur individuellen Einbindung einzelner Tags. Zum Schutz der betroffenen Personen bestehen ein Auftragsverarbeitungsvertrag mit Google sowie die vertragliche Zusicherung, personenbezogene Daten nur im Rahmen der Auftragsverarbeitung zu nutzen; zudem verfügt Google derzeit über eine Zertifizierung nach dem Angemessenheitsbeschluss für die USA. Dieser Ansatz folgt einer risikobasierten Abwägung. Die Information der Nutzer sollte transparent über die Datenschutzerklärung erfolgen.