Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Google Tag Manager (GTM) ist ein kostenloses Tag-Management-System von Google, das es Marketern und Entwicklern ermöglicht, JavaScript-Tags (Tracking-Code-Snippets) auf Websites zu verwalten und einzubinden, ohne den Quellcode direkt zu bearbeiten. GTM selbst erfasst keine personenbezogenen Daten, sondern ist ein Container, der andere Tags lädt. Er ist jedoch der Bereitstellungsmechanismus für Analyse-, Werbe- und Remarketing-Tags, die personenbezogene Daten erfassen. Eine ordnungsgemäße DSGVO-Konformität erfordert die Konfiguration von GTM mit Consent Mode v2 und einer Einwilligungsmanagement-Plattform, um Tags nur bei entsprechender Einwilligung auszulösen.
Google Tag Manager (GTM) ist ein kostenloses Tag-Management-System von Google, das es ermöglicht, JavaScript-Tags und andere Tracking-Snippets auf einer Website zentral zu verwalten, ohne den Quellcode direkt zu bearbeiten. GTM selbst erfasst keine personenbezogenen Daten. Es ist ein Containerscript, das andere Tags lädt und verwaltet, darunter Google Analytics 4, Google Ads, Meta Pixel, LinkedIn Insight Tag und Hunderte weiterer Drittanbieter-Tools. Die eigentliche Datenschutzrelevanz liegt in den Tags, die GTM lädt, nicht in GTM selbst.
Nein. GTM selbst setzt keine Cookies und erfasst keine Nutzerdaten direkt. Das GTM-Containerscript lädt lediglich die konfigurierten Tags in den Browser. Die Cookies und Tracking-Mechanismen werden von den einzelnen Tags gesetzt, nicht von GTM. Das bedeutet: Die Cookie-Compliance-Pflichten betreffen jeden einzelnen Tag, der über GTM geladen wird, nicht GTM als solches. GTM ist das Verwaltungssystem, nicht der Datenverarbeiter.
Google Consent Mode v2 ist die Kernfunktion für DSGVO-konforme GTM-Konfiguration. Er ermöglicht Google-Tags, ihr Verhalten basierend auf Einwilligungssignalen anzupassen: Bei fehlender Einwilligung werden keine Cookies gesetzt und keine personenbezogenen Daten weitergegeben. Consent Mode v2 wurde im März 2024 für EU/EWR-Werbetreibende verpflichtend für die Nutzung von Google Ads Conversion-Tracking und Remarketing. Die Integration erfolgt über Ihre CMP (z.B. OneTrust, Didomi, Usercentrics), die Einwilligungssignale an GTM übergibt, bevor Google-Tags ausgelöst werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Für Nicht-Google-Tags (Meta Pixel, LinkedIn, HotJar usw.) reicht Consent Mode v2 nicht aus. Diese Tags müssen durch Einwilligungsvariablen in GTM-Auslösern blockiert werden: Erstellen Sie benutzerdefinierte Variablen, die den Einwilligungsstatus je Kategorie abrufen, und konfigurieren Sie Auslöser so, dass Tags nur ausgelöst werden, wenn die entsprechende Einwilligungskategorie aktiv ist. Viele CMPs bieten native GTM-Vorlagen, die diesen Prozess vereinfachen. Das Laden von Tracking-Tags vor der Einwilligung stellt einen Verstoß gegen die ePrivacy-Richtlinie und die DSGVO dar.
Serverseitiges GTM (sGTM) verlagert die Datenverarbeitung vom Browser auf einen eigenen Server. Auf EU-Infrastruktur betrieben, kann sGTM Daten filtern und anonymisieren, bevor sie an Drittanbieter weitergegeben werden. Dies reduziert den Cookie-Einsatz im Browser und gibt dem Websitebetreiber mehr Kontrolle über die Datenweitergabe. sGTM ist keine DSGVO-Pflicht, bietet aber erhebliche Datenschutzvorteile für Organisationen mit strengen Compliance-Anforderungen.
Für eine DSGVO-konforme GTM-Implementierung: Integrieren Sie eine CMP (Einwilligungsmanagement-Plattform), die Einwilligungssignale an GTM übergibt; implementieren Sie Consent Mode v2 für alle Google-Tags; erstellen Sie einwilligungsbasierte Auslöser für alle Nicht-Google-Tags; überprüfen Sie den GTM-Container regelmäßig auf unbekannte Tags; dokumentieren Sie jeden Tag und seine Einwilligungskategorie in Ihrer Datenschutzdokumentation; aktualisieren Sie Ihre Datenschutzerklärung, um GTM und jede Tag-Kategorie zu beschreiben. Testen Sie im GTM-Vorschaumodus, dass keine nicht eingewilligten Tags ausgelöst werden.
Websites using Google Tag Manager must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für GTM selbst nicht erforderlich. DFSAs können für spezifische Hochrisiko-Tags erforderlich sein, die über GTM geladen werden (Session-Recording-Tools, Werbeplattformen, Cross-Site-Tracker). Bewerten Sie jede Tag-Kategorie individuell.
Sample consent text
Diese Website verwendet Google Tag Manager zur Verwaltung von Tracking-Skripten. Einige über GTM geladene Skripte (Analyse, Werbung, Personalisierung) erfordern Ihre Einwilligung. Sie können Ihre Präferenzen in den Cookie-Einstellungen unten verwalten.
Third-party domains contacted
googletagmanager.comwww.googletagmanager.comtagmanager.google.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| gtm_none | session | Session | Google Tag Manager does not set cookies itself — cookies are set by individual tags loaded within the GTM container |
Google Tag Manager erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
GTM selbst benötigt keine Einwilligung, da es keine personenbezogenen Daten erfasst. Es muss jedoch so konfiguriert werden, dass nicht wesentliche Tags (Analyse, Werbung, Remarketing) erst nach entsprechender Einwilligung ausgelöst werden. Ohne CMP-Integration und korrekte Auslöserkonfiguration lädt GTM alle Tags unabhängig vom Einwilligungsstatus, was einen DSGVO-Verstoß darstellt.
Consent Mode v2 ermöglicht Google-Tags, ihr Verhalten basierend auf Einwilligungssignalen Ihrer CMP anzupassen. Er wurde im März 2024 für EU/EWR-Werbetreibende verpflichtend für den Zugang zu Googles Mess-, Remarketing- und Conversion-Modelling-Funktionen. Ohne Consent Mode v2 verlieren EU-Werbetreibende Zugang zu Conversion-Daten. Die Implementierung erfolgt über das GTM-Template Ihrer CMP oder direkt per gtag-API.
Nein. GTM selbst setzt keine Cookies. Cookies werden von den einzelnen Tags gesetzt, die im GTM-Container geladen werden. Das GTM-Containerscript selbst erstellt keinen persistenten Browser-Speicher. Die Cookie-Compliance-Pflichten betreffen daher jeden Tag, der über GTM geladen wird, nicht GTM als solches.
Serverseitiges GTM (sGTM) verlagert die Datenverarbeitung vom Browser auf Ihren Server und reduziert so die clientseitige Exposition. Auf EU-Infrastruktur betrieben, kann sGTM Daten verarbeiten und filtern, bevor sie an Dritte weitergegeben werden. Dies reduziert den Browser-Cookie-Einsatz erheblich. sGTM ist keine DSGVO-Pflicht, bietet aber deutliche Datenschutzvorteile, insbesondere für Organisationen, die Datenminimierung anstreben.
Integrieren Sie Ihre CMP mit GTM, um Einwilligungssignale als GTM-Variablen bereitzustellen. Verwenden Sie GTM-Auslöser, die Einwilligungskategorie-Variablen prüfen, bevor Tags ausgelöst werden. Für Google-Tags implementieren Sie Consent Mode v2. Für Nicht-Google-Tags erstellen Sie benutzerdefinierte Einwilligungsauslöser. Testen Sie im GTM-Vorschaumodus, dass keine nicht eingewilligten Tags aktiviert werden.
Erwähnen Sie GTM als Mechanismus zur Verwaltung von Tracking-Skripten. Wichtiger ist es, jede Tracking-Kategorie und die spezifischen geladenen Tools zu beschreiben. Die Datenschutzerklärung sollte erläutern, welche Tags je nach Einwilligungsstatus geladen werden, welche Daten erfasst werden und wie Nutzer widersprechen können.
Nicht konform auf EU-ausgerichteten Websites, auf denen nicht wesentliche Tags eingesetzt werden. Ohne CMP gibt es keinen Mechanismus zum Einholen oder Übermitteln von Einwilligungssignalen an GTM, was dazu führt, dass alle Tags ohne Einwilligung ausgelöst werden. Dies stellt einen klaren DSGVO- und ePrivacy-Verstoß dar. Eine CMP ist für jede Website mit Tracking-Tags und EU-Besuchern verpflichtend.
Die meisten führenden CMPs integrieren sich mit GTM: Cookiebot (Usercentrics), OneTrust, Axeptio, Didomi, CookieYes und Tarteaucitron bieten native GTM-Integrationen oder GTM-Vorlagen-Tags. Im IAB TCF 2.2 zertifizierte CMPs können Einwilligungssignale direkt an Google Consent Mode v2 über GTM weitergeben. Wählen Sie eine CMP, die von der CNIL oder Ihrer lokalen DPA anerkannt ist.