Google Tag Manager DSGVO konform einbinden

Ich habe im Rahmen der DSGVO bereits viele Anleitungen zum „Opt-Out mit dem Google Tag Manager“ gelesen und gesehen. Dabei machen alle aber einen und den selben Fehler. Sobald der Google Tag Manager ausgeführt wird, werden Daten bereits an Google gesendet. Dabei ist es dann auch egal, ob man die Ausführung von Analytics, Adwords Conversion etc. verbietet. Die IP und sämtliche andere Daten wandern ja bereits beim Aufruf des Tagmanagers zu Google.

Mit Hilfe meines Skripts können Deine Website Besucher der Ausführung des Google Tag Manager widersprechen und Du damit den Google Tag Manager DSGVO konform einbinden

 
<! – Google Tag Manager running only if Opt-out is not set – >
<script type="text/javascript">
if (document.cookie.indexOf('optOutPlease=true') > -1) {
  /** Opt-Out Cookie set, no tracking, no Tagmanager **/
}else{
  /** Hier kommt Dein Google Tag Manger Code rein **/
}

function doOptout() {
  document.cookie = 'optOutPlease=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
}
</script>
<! – End Google Tag Manager running only if Opt-out is not set – >

<! – So wird der Link für den Opt-Out Click aufgebaut – >
<a onclick="alert('Google Tag Manger has been deactivated.');" href="javascript:doOptout()">Google Tag Manger deaktivieren</a>

Ja, die <noscript>....</noscript> Variante bleibt dabei auf der Strecke, ist von der Auswirkung her aber eher vernachlässigbar.

Kann das Skript den Google Tag Manager DSGVO konform einbinden?

Die derzeitige Lage, Stand 05.2019, erfordert noch nicht ein Opt-In für den Google Tag Manager (User muss vor der Einbindung erst zustimmen). Dies kommt erst mit der ePrivacy Verordnung. Bis dahin reicht also eine Opt-Out Möglichkeit für den Google Tag Manager (User kann der Verwendung widersprechen).

Demo des Opt-Out für den Google Tag Manager

Muss ich da im Tag Manager auch noch was einrichten?

Marcus S. fragt mich gerade: „Muss ich da im Tag-Manager auch noch was einrichten?“. Nein, das beschrieben Opt-Out Verfahren verhindert die komplette Ausführung des Google Tagmanager Codes, so dass an dieser Stelle völlig egal ist was im Google Tagmanager eingestellt ist.

Transscript:
[00:00:00] Heutzutage brauchst du wegen der DSGV eine Menge Technik auf der Server Seite um die diversen Opt outs zu gewährleisten die gefordert werden.

[00:00:13] Facebook Pixel, Analytics Pixel, Adwords Conversion Pixel. Keine Ahnung du nutzt noch Adroll oder oder oder. Oder du nutzt auch Partner Conversion Pixel die den Partnern mitteilen dass jemand bei dir gekauft hat.

[00:00:35] Die übermitteln natürlich personenbezogene Daten und für jedes dieser Systeme müsstest du eigentlich ein Opt out anbieten – oder musst du nicht müsstest, Du musst – für jedes dieser Systeme einen Opt-Out anbieten das quasi verbietet oder wo der User sagen kann, „Ich verbiete die Kommunikation mit dem und dem Unternehmen, mit dem Plug in“. Das ist verdammt viel Arbeit alles im einzelnen zu realisieren.

[00:01:10] Der Trick oder die Vereinfachung dabei ist das Ganze in dem Google Tagmanager zu realisieren – das haben sicherlich auch viele gemacht weil es einfach von der Handhabung alles zentral und alles vereinfacht ist.

[00:01:23] Das Problem ist nur dass sehr viele Howtos da draußen gibt die quasi beschreiben wie man im Google Taskmanager diese Opt outs baut, also wie du im Google Tagmanager Opt out für das, Opt out für das, Opt out für Analytics, Opt out für Facebook Pixel baust und so weiter. Erstens ist es wieder für jedes einzelne System für sich allein und zweitens ist die Ausführung des Google Tagmanagers alleine schon nicht mehr DSGVO konform. Warum? Weil Google Tagmanager die Daten, die ja dein Besuch auf deiner Webseite generiert, zu sich nach Hause schickt. Auch wenn es dafür ein ADV Vertrag gibt muss der User trotzdem per Opt out bestimmen dürfen oder müssen oder können müssen, dass er diese Daten nicht an Google gesendet haben möchte.

[00:02:23] Und das geht ganz einfach mit diesem einen kleinen Script indem quasi per lokale Cookie Richtlinie festlegst, ob das geht also Google Tagmanager Script ausgeführt wird oder nicht ganz mit einem einzigen Klick in deiner Datenschutzerklärung die komplette Ausführung des Google Tagmanagers verbieten, so dass jegliche Skripte die im Google Tag Manager nachgeladen werden, dass jegliche Konversionen Skripte oder Drittanbieter Skripte die da drin nachgeladen werden, komplett unterbunden werden – mit einem einzigen Klick, eine einzige technische Einrichtungen und du hast alle vom Tisch. Du musst dich nicht mehr um die einzelnen kümmern. Und du weißt dann 100prozentig dass du auch nichts vergessen hast weil wenn die Ausführung des Google Tag Managers unterbunden wird wird halt nichts mehr ausgeführt.

[00:03:21] Auf jeden Fall ist es so dass diese Opt out dann auf deiner eigenen Seite geschieht so dass tatsächlich keine Daten mehr an Google gesendet werden müssen denn die anderen Howtos machen das oft so dass – es gibt auch Google Opt out für für Tagmanager – allerdings sind die ganzen Howtos so dass das erst Daten dann an Google geschickt werden müssen. Dort merkt Google „Oh der hat Opt out“ ich schicke ihm nichts mehr an Skripten raus. Das ist aber falsch weil alleine dieses Nachfragen bei Google Tagmanager geinhaltet, dass Google hier eine IP-Adresse bekommt. Und das ist ja schon falsch.

Weiterlesen zum Thema

Google Analytics ohne Cookie Consent einbinden »

Autor: Viktor Dite

Veröffentlicht am: 08.05.2018

Letztes Update: 25.08.2020

4 Kommentare

  1. Hallo Viktor,
    ich habe 2 Fragen:
    1. Wie wurde dieser Text erzeugt? Ich konnte mir den PodCast auf der arbeit natürlich gerade nicht anhören, aber der Text sieht sehr stark danach aus als wenn du SpeechToText genutzt hättest. Mich würde interessieren wie/womit. du das realisiert hast.
    2. Auch ich habe den Google Tag Manager für ein OptOut nutzen wollen. Genau dieser Punkt ist mir ebenfalls aufgestoßen, weswegen ich es mittlerweile ähnlich wie du gelöst habe. Ich hatte aber noch ein ganz anderes Problem. Undzwar wollte der GTM einfach nicht korrekt mein „custom HTML“ einbinden. Wenn ich eines der Scripe die man an jeder ecke findet um das OptOut zu realiseren über den GTM eingebunden habe, war das ganze irgendwie für die HTML Ausgabe optimiert, sprich encoded!? aus „“ wurde „\u003Cscript\u003E“. Auch nach mehrmaligen löschen und neuanlegen des Tags konnte ich das nicht ändern. Ich habe das gesamte Scipt am ende in Notepad++ von Hand getippt und in einem neuen Tag eingetragen. Auch hier kam die encodete Variante auf meiner Seite an.

    Hast du eventuell noch eine Idee? Ich konnte im Netz nichts dazu finden.

    Gruß
    Mike

  2. Hi,

    zu Punkt 1: Ich habe es hier mit trint.com transkribiert. Ist ein halbautomatischer Prozess, in dem man gut eingreifen kann, wenn man will. Auf goTranscribe.com kannst Du das ganze auch per Mensch Transkribieren lassen. Etwas teurer, aber super gut! Natürlich auch in Deutsch.

    Zu Punkt 2: Sobald Du anfängst Opt-Out Skripte in GTM zu laden macht die Prozedur keinen Sinn mehr, da ja alleine das Laden des GTM bereits ja ein Verstoß wäre.
    Warum Deine Custom-HTML encodiert werden weiß ich nicht. Ist mir noch nie passiert. Ich habe in meinen Projekten schon häufiger unterschiedliche Custom-HTML Skripte eingebunden, aber das ist mir noch nie untergekommen.

    VG, Viktor

  3. Hallo Viktor,

    vielen Dank für deine hilfreichen Tipp!

    Ich habe dazu aber noch eine Frage:

    Der Tag-Manager besteht ja aus zwei Bestandteilen, zum einen der Teil der im Header eingefügt werden soll und dann der, der im Body-Bereich eingefügt werden muss.
    Dein Beispiel-Skript wird ja offensichtlich im Header-Bereich eingebunden, allein schon, weil es ganz am Anfang des Seitenaufbaus abgerufen werden soll.

    Muss dasselbe auch noch im Body-Bereich eingefügt werden, oder kann man da den Tag-Manager-Code so lassen wie er ist? Oder wie ist das mit der Variante … zu verstehen?

    Liebe Grüße,
    Kai

  4. Für einen sicheren Opt-Out des Tag-Managers ist es in der Tat notwendig auf den NON-Javascript Teil < noscript > des Tag-Manager Codes zu verzichten. Ja, man verliert dadurch ein paar (wenige) Clients, aber Du ließt diesen Beitrag ja, weil Du wissen willst, wie man den Tag-Manager rechtssicher betreiben kann. Da muss man halt ein paar (wenige) Abstriche machen.