Google Tag Manager und DSGVO:: Was eine aktuelle deutsche Gerichtsentscheidung bedeutet

Am 19. März 2025 hat das Verwaltungsgericht Hannover (VG Hannover) eine Entscheidung getroffen, die für alle, die den Google Tag Manager (GTM) verwenden, große Auswirkungen hat. Das Gericht entschied, dass GTM die ausdrückliche Zustimmung des Nutzers benötigt, bevor es geladen werden kann – auch wenn GTM selbst keine Cookies verwendet.

Dieses Urteil hat verständlicherweise Besorgnis bei Website-Besitzern und Vermarktern in der EU ausgelöst. Lassen Sie uns aufschlüsseln, was das Gericht entschieden hat, was das in der Praxis bedeutet und wie iubenda mit dieser Entwicklung umgeht.

Was das Gericht entschieden hat

Das Gericht hat sich angesehen, wie GTM in der Praxis funktioniert, und ist zu dem Schluss gekommen, dass es sich nicht nur um ein neutrales Instrument handelt. Dafür gibt es gute Gründe:

• Verbindung zu Google-Servern: GTM kontaktiert die Google-Server, sobald eine Seite geladen wird.
• Übermittlung personenbezogener Daten: IP-Adressen, Gerätedetails und Referrer-URLs werden automatisch an Google gesendet.
• Lokale Speicherung: Das GTM-Skript (gtm.js) wird auf dem Gerät des Benutzers gespeichert.
• Versteckte Ausführung: GTM ermöglicht die Ausführung anderer Skripte von Drittanbietern, oft ohne deren Zustimmung.

Da dies geschieht, bevor der Nutzer seine Einwilligung geben kann, verstößt es nach Ansicht des Gerichts sowohl gegen die DSGVO als auch gegen das deutsche Telemediengesetz (TTDSG).

Das Urteil kritisiert auch ungültige Einwilligungsbanner – zum Beispiel Banner, die “Alle ablehnen” schwerer zu finden machen oder irreführende Symbole wie “X” verwenden, um eine Einwilligung zu implizieren. Nach Ansicht des Gerichts gelten diese Entwürfe nicht als echte Zustimmung.

Was dies für Website-Besitzer bedeutet

Die wichtigste Erkenntnis ist einfach:

• GTM erfordert vor dem Laden eine ausdrückliche Zustimmung.
• Die Zustimmung muss in Kenntnis der Sachlage erfolgen und leicht zu verweigern sein – keine dunklen Muster.
• Eine Consent Management Platform (CMP) reicht nicht aus, wenn GTM läuft, bevor der Nutzer eine Entscheidung trifft.
• Googles Consent Mode 2.0 kann das Problem der Einhaltung der Vorschriften nicht vollständig lösen.

Kurz gesagt, GTM ist nicht “nur technisch”. Es handelt sich um ein Datenverarbeitungstool, und das bedeutet, dass es unter die EU-Zustimmungsregeln fällt.

Der Ansatz von iubenda

Bei iubenda bieten wir Ihnen mit unseren Privacy Controls und unserer Cookie Solution bereits zwei klare Optionen für die Verwaltung von GTM im Einklang mit den Zustimmungsanforderungen:

1. Block-Tags innerhalb von GTM (granularer Ansatz)
   • In GTM können Sie die Auslöser so konfigurieren, dass sie nur dann ausgelöst werden, wenn die Zustimmungssignale von iubenda eingegangen sind.
   • Das bedeutet, dass Sie entscheiden können, welche Tags für welchen Zweck (z.B. Analyse, Marketing) erlaubt sind.
2. Das GTM-Skript selbst blockieren (nicht-granularer Ansatz)
   • Sie können GTM in iubenda einem bestimmten Zweck zuordnen.
   • Bei dieser Einstellung wird der gesamte GTM-Container nur geladen, wenn ein Benutzer seine Zustimmung dazu gibt.

Standardmäßig stuft unser Generator GTM derzeit als unbedingt notwendigen Dienst ein, was bedeutet, dass er nicht automatisch blockiert wird. Diese Entscheidung wurde getroffen, weil die Blockierung von GTM auf Skriptebene bei vielen Websites technische Probleme verursachen kann.

Wenn Sie jedoch die strengste Auslegung des deutschen Gerichtsurteils bevorzugen, können Sie zu einer der beiden oben genannten Sperrmethoden wechseln, um sicherzustellen, dass GTM nur nach Einholung der Zustimmung des Benutzers läuft.

Wird iubenda GTM automatisch blockieren?

Zur Zeit nicht. Dafür gibt es gute Gründe:

• Die Entscheidung des VG Hannover ist regional und noch nicht für die gesamte EU verbindlich.
• Die automatische Sperrung von GTM würde viele Websites stören, und es ist noch nicht klar, ob dies zum EU-weiten Standard wird.
• Unsere Benutzer haben bereits die Werkzeuge, um sich für eine strengere Einhaltung der Vorschriften zu entscheiden und GTM entsprechend zu verwalten.

Wir beobachten die Situation genau und werden unsere Empfehlungen aktualisieren, wenn sich die rechtliche Situation ändert.

Was Sie heute tun können

Wenn Sie sofort den strengsten Standard anwenden möchten, haben Sie mit der Privacy Controls and Cookie Solution von iubenda zwei Möglichkeiten:

1. Blockieren Sie das GTM-Skript, bis die Zustimmung erteilt wurde
   • Weisen Sie GTM in iubenda einem bestimmten Zweck zu (z.B. “Marketing”).
   • Der GTM-Container wird nur geladen, wenn der Benutzer diesem Zweck zustimmt.
   • Diese Option ist einfacher, aber weniger flexibel, da alle Tags gemeinsam auf die Zustimmung warten.

   

2. Kontrolle von Tags innerhalb von GTM (granulare Zustimmung)
   • Richten Sie GTM-Trigger ein, um auf die Zustimmungssignale von iubenda zu warten.
   • Erlauben oder blockieren Sie jedes Tag, je nachdem, welchem Zweck der Benutzer zugestimmt hat (z.B. Analytics, Remarketing).
   • Diese Option erfordert etwas mehr Konfigurationsaufwand, gibt Ihnen aber die volle Kontrolle und entspricht genau den Anforderungen der DSGVO.

Beide Methoden werden von iubenda unterstützt. Für welche Sie sich entscheiden, hängt von Ihrer Compliance-Strategie und dem Grad der Risikotoleranz ab, den Sie anstreben.

💡 Die Entscheidung des deutschen Gerichts erinnert daran, dass selbst als “technisch” geltende Tools – wie der Google Tag Manager – erhebliche Auswirkungen auf den Datenschutz haben können. Im Moment erzwingen wir keine automatische GTM-Blockierung in unseren Produkten, aber wir geben Ihnen die Flexibilität zu entscheiden, wie Sie GTM für Ihr Unternehmen konfigurieren.

Wie immer empfehlen wir, die rechtlichen Entwicklungen im Auge zu behalten und sicherzustellen, dass Ihr Einwilligungsbanner den Nutzern eine echte, transparente Wahlmöglichkeit bietet.