ich habe eine konkrete, recht profane Frage:
Ich beschäftige mich damit, ob Google Tag Manager alleine bereits einwilligungsbedürftig ist.
Ich habe dazu mehrere Fachmeinungen gelesen. Zusammengefasst: Selbst, wenn GTM keine personenbezogene Daten an Google überträgt (da wäre ich mir auch nicht sicher), dient er ausschließlich dazu User-Consent-pflichtige Tools nachzuladen. Alleine hat GTM damit keine Funktion. Unabhängig davon kann GTM auch noch nach dem User-Consent geladen werden um die anderen consentpflichtigen Tools nachzuladen. Es ist daher technisch nicht notwendig, GTM direkt beim Seitenaufruf zu laden.
Ich stelle mich daher auf den Standpunkt, dass eine Einwilligung erforderlich ist und das berechtigte Interesse als Erlaubnistatbestand ausscheidet.
Jedoch wird GTM - jedenfalls gefühlt - weit verbreitet ohne User-Consent geladen. In den Datenschutzinformationen oder im Consent-Banner wird GTM dann zwar meistens erwähnt, jedoch stets als technisch notwendig bezeichnet.
Mich würden Fachmeinungen dazu interessieren. Gibt es bereits eine - mir noch nicht bekannte - Stellungnahme einer Aufsichtsbehörde dazu?
Mit GTM gibt es ja Datenübermittlungen an Google. Mindestens die IP-Adresse und die aufgerufene Seite, womit Google dann gleich wieder die Profile dieser Nutzer anreichern kann. Diese Zwecke des Dritten gehen mit der Einbindung einher. Ohne GTM kämen sie bei diesem Auftritt nicht ins Spiel (oder dann an anderen Stellen).
Der Verarbeitungszweck des Verantwortlichen (Seitenbetreibers) ist das Einbinden irgendwelchen Codes (Tracking oder andere Zwecke), und die Rechtmäßigkeit seines Zwecks hat er herzustellen. Bei “Vertragserfüllung” oder “berechtigten Interessen” müsste es jeweils erforderlich(!) sein, bei "berechtigten Interessen dürften die anzunehmenden Schutzinteressen der Betroffenen nicht überwiegen (und das tun sie bei richtigem Tracking m. E. immer).
Bleibt die Einwilligung, für die die Zwecke erst mal zu formulieren wären. Der GTM-Zweck ohne aufgerufenen Code ist… zwecklos, also nicht vor der Einwilligung einsetzbar. Allenfalls als Teil der eingewilligten Punkte, und wenn es sonst nichts einzuwilligen gibt, dann eben zum Zweck “aus Spaß” (ohne Zweck).
D., ein Vertreter der Einwilligungsanforderung für Google Tag Manager.
GTM fungiert als Middleware zwischen Website und Tags. Wird es in die Website eingebunden[1], werden mit der IP auch die Ereignisse (events) übermittelt, die auf der Gegenseite etwas auslösen (triggern), zB Klick, Scrolltiefe, Verlaufsänderung… Augenrollen des Nutzers fehlt noch in der Liste[2]. GTM bietet außerdem ein Einwilligungmanagement vor der Auslösung irgendwelcher Ereignisse[3]. Das alles beinhaltet eine Verarbeitung personenbezogener Daten seitens GG (Kennung, Verhalten) beim Laden der Website.
Die “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien”[4] sieht gem. der Rechtsprechung des EuGH diese Stufen für eine Interessenabwägung vor:
Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten
Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen
Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall
Natürlich kann ein berechtigtes Interesse wirtschaftlicher Natur für die Nutzung von GTM vorliegen. Allerdings existiert mit der direkten Einbindung einzelner GG-Dienste ein milderes Mittel, das die zusätzliche Verarbeitung durch GTM vermeidet. Davon ausgehend, dass bei einem berechtigten Interesse eine Person vernünftigerweise mit einer Verarbeitung rechnen muss (Erwägungsgrund 47), würde es im Fall der Einbindung von GG-Diensten bedeuten, dass diese Person das Wissen über sämtliche dieser Dienste besitzen müsste. Denn nur dann könnte sie Schlussfolgerungen zu Funktionen und zum Umfang der Verarbeitung ziehen (welche Dienste funktionieren wie mit welchen Daten). Ein solches Wissen kann von einer Person nicht vernünftigerweise erwartet werden und das macht eine transparente Nutzung unmöglich. Wer kann in den Quelltext schauen, die eingebundenen Scripte finden und nachvollziehen, was diese warum tun? Und wer weiß, wie GG welche Daten verarbeitet? Spätestens hier sind wir an dem Punkt, an dem “die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen”. Also ja, ein berechtigtes Interesse mag vorhanden sein, aber Erforderlichkeit und Interessenabwägung legitimieren mE die Verarbeitung nicht. Art.6 Abs.1 lit.f schiede als Rechtsgrundlage aus.