26. September 2025

Google Tag Manager nach DSGVO

Einleitung

Google Tag Manager ist ein kostenloses und beliebtes Tool von Google, das Webseitenbetreibenden ermöglicht, verschiedene Skripte und Tracking-Codes zentral zu verwalten und auf ihrer Webseite auszuführen. Es wird auf zahlreichen Internetseiten eingebunden, um Nutzer*innenverhalten auf Websites zu tracken und zu analysieren.

Dabei sollte nicht übersehen werden, dass der Einsatz von Google Tag Manager datenschutzrechtlich sehr relevant ist und einige Fragen aufwirft. Umso wichtiger ist es, sich Gedanken zu den datenschutzrechtlichen Vorgaben zu machen, damit keine Bußgelder riskiert werden.

Dieser Blogbeitrag widmet sich einem Urteil des VG Hannover und der Frage, ob Webseitenbetreibende verpflichtet sind, eine Einwilligung für Google Tag Manager einzuholen.

Was ist der Google Tag Manager?

Google Tag Manager ist ein Tag-Management-System, mit dem Marketing- und Tracking-Skripte zentral verwaltet werden. Google Tag Manager ermöglicht ein Webtracking auch, ohne dass profunde IT-Kenntnisse erforderlich sind. Dazu müssen Webseitenbetreibenden die sogenannten „Tags“ in den Code der Website einsetzten. „Tags“ sind Fragmente des Quellcodes. Diese können in den Code der Website eingesetzt werden, ohne den Quellcode an sich zu verändern. So können die Tags problemlos entfernt, deaktiviert, zeitlich gesteuert oder an bestimmte Bedingungen geknüpft (z.B. nur bei Absenden eines Formulars oder Klick auf ein bestimmtes Element) werden. Das präzisiert die Datenerfassung und mach das Tracking zielgerichteter.

Technisch gesehen wird ein Container-Skript von Google Tag Manager auf der Website geladen das die Tags enthält. Diese Tags können dann beispielsweise für Google Analytics, Facebook Pixel, Conversion-Tracking oder andere Marketing- und Analysezwecke verwendet werden. Von dort aus lädt das Tool alle weitern eingebundenen Skripte nach bzw. aktualisiert sie. Der Google Tag Manager selbst analysiert erstmal keine Daten, sondern leitet sie an die genannten Dienste weiter.

Ziel ist es durch die Tags das Nutzerverhalten der Webseitenbesuchenden nachverfolgen, Erfolgsmessungen von Werbekampagnen durchzuführen, Conversion-Optimierung zu betreiben oder auch Drittanbieterdienste wie Google Analytics, Facebook Pixel oder Hotjar einzubinden.

Google Tag Manager ist daher ein leistungsstarkes Werkzeug für Webseitenbetreibende, um Tracking, Analyse und Marketingmaßnahmen durchzuführen, ohne die Internetseite ständig technisch anpassen zu müssen.

Google Tag Manager und Datenschutz

Google Tag Manager hat eine hohe datenschutzrechtliche Relevanz, da das Tool personenbezogene Daten erfasst und an Drittanbieter weiterleitet.

Google selbst gibt an, dass Google Tag Manager keine eigenen Cookies setze und auch sonst keine personenbezogenen Daten verarbeitet.

Jedoch besteht auch in der Weitergabe von personenbezogenen Daten an Drittanbieter – wie in diesem Fall Google – eine Datenverarbeitung im Sinne des Art. 4 Nr. 2 DSGVO. Zudem verarbeitet Google Tag Manager technische Informationen, wie IP-Adressen oder Browser-Informationen, wenn die Tags geladen werden. Neben den technischen Metadaten können über Google Tag Manager auch die nachgelagerten Tools personenbezogene Daten verarbeiten, z.B. Nutzer-IDs, Klickverhalten oder Standortdaten.

Eine Einwilligung für Cookies ist notwendig, wenn diese nicht technisch notwendig sind. Nicht technisch notwendige Cookies, z.B. Marketing- oder Analyse-Cookies, sind nur mit ausdrücklicher Einwilligung des oder der Nutzenden über ein Cookie-Consent-Banner datenschutzkonform (§ 25 TDDDG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO). Zu dem Fall von Google Tag Manager hat sich das VG Hannover sehr deutlich geäußert.

Unsicher im Datenschutz?

Risiko vermeiden, Zeit sparen
& Kunden überzeugen durch
einen ext. Datenschutzbeauftragten.

Urteil zu Google Tag Manager

Das VG Hannover befasst sich in seinem Urteil vom 19.03.2025 (Az.: 10 A 5385/22) mit der Frage, ob die bloße Einbindung von Google Tag Manager bereits eine einwilligungsbedürftige oder datenschutzrechtlich unzulässige Verarbeitung auslöst. Dabei wurden die Funktionen von Google Tag Manager und die verarbeiteten Daten genau untersucht.

Sachverhalt des Urteils

Dem Urteil geht eine Beschwerde bei der niedersächsischen Datenschutzbehörde voraus. Eine Nutzerin beanstandete, dass sie auf der Webseite der Neuen Osnabrücker Zeitung Google Tag Manager ohne Einwilligung eingesetzt würde. Zudem hatte sie auf der ersten Seite des Consent-Banners nur die Wahlmöglichkeit „Alles Akzeptieren“.

Daraufhin erließ die Datenschutzbehörde einen Bescheid und untersagte den Einsatz von Google Tag Manager ohne die Einholung einer gültigen Einwilligung und erteilte eine Anordnung zur Umgestaltung des Cookie-Banners.

Dagegen klagte die betroffene Gesellschaft vor dem VG Hannover. Sie argumentierte, Google Tag Manager sei lediglich ein Container ohne eigene Relevanz für die Cookie-Einwilligung.

Urteil im Detail

Das Gericht stellte zwar auch fest, dass Google Tag Manager in erster Linie ein „Container“ sei, der selbst keine Nutzerprofile bildet, entscheidend ist aber vielmehr, was über Google Tag Manager geladen wird. Problematisch ist, wenn über Google Tag Manager Drittinhalte (z.B. Analyse- oder Marketing-Tags) ohne gültige Einwilligung gesetzt werden oder Daten wie die IP-Adresse oder Browserinformationen frühzeitig an Google oder andere Dritte offengelegt werden.

Das VG Hannover stellt damit klar, dass Google Tag Manager durch das Laden der Skripte durchaus personenbezogene Daten verarbeitet und deshalb eine Einwilligung einzuholen ist, auch wenn durch Google Tag Manager selbst keine Cookies gesetzt werden.

Das Gericht stützte sich dabei auf den bereits erwähnten § 25 TDDDG und die weite Definition der Datenverarbeitung der DSGVO (Art. 4 Nr. 2 DSGVO). Entscheidet war, dass über Google Tag Manager eine Datenweitergabe stattfindet.

Der zweite Kritikpunkt des Gerichts war das Consent-Banner der Internetseite. Dies wies eine Vielzahl von Mängeln auf. Zunächst bemängelte das Gericht, dass keine ausreichende Ablehnungsoption besteht. Auf erster Ebene bot das Banner nur die Optionen „Alle Akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“. Das Gericht sah im Fehlen einer Ablehnungsoption eine gezielte und unzulässige Lenkung zur Zustimmung. Damit liegt keine freiwillige Einwilligung vor.

Das Gericht stellte klar, dass diese Auswahloptionen nicht ausreichen. Wie genau die datenschutzkonforme Alternative aussehen muss – beispielsweise ob eine „Alles Ablehnen“-Schaltfläche eingebunden sein muss – sagte das Gericht nicht.

Zudem beanstandete das Gericht die irreführende Gestaltung und Sprache. Das Cookie-Banner nutzte Begriffe wie „optimales Nutzungserlebnis“ oder „akzeptieren & schließen“. Diese wurden vom Gericht als manipulativ und intransparent gewertet.

Der Begriff „Einwilligung“ fehlte, was gegen die Informationspflichten nach der DSGVO verstößt. Außerdem war die Darstellung der Drittanbieter unübersichtlich und der Hinweis auf das Widerrufsrecht und die Datenverarbeitung in Drittstaaten war nicht ausreichend ersichtlich.

Aufgrund der beschriebenen Mängel liegt laut dem VG Hannover keine freiwillige und informierte Einwilligung vor. Diese ist jedoch gem. Art. 4 Nr. 11 und Art. 7 DSGVO erforderlich.

Google Tag Manager Einwilligung?

Google selbst hat Google Tag Manager lange als rein technischen Container dargestellt, der keine personenbezogenen Daten verarbeitet und daher auch keine datenschutzrechtliche Relevanz hat. Zahlreiche Unternehmen nutzten es daher ohne ein Einwilligungsbanner. Das VG Hannover stellte mit seinem Urteil klar, dass § 25 TDDDG eine Einwilligung für jedes Setzen und Auslesen von Informationen auf Endgeräten verlangt, soweit dies nicht unbedingt erforderlich ist.

Die Entscheidung steht im Einklang mit der Orientierungshilfe der DSK für Anbieter von digitalen Diensten, in der ebenfalls eine gleichwertige Ablehnungsoption gefordert wird.

Das Urteil reiht sich zudem in andere Entscheidungen wie das Planet49-Urteil des EuGH über das Erfordernis einer aktiven Einwilligung sowie Urteile des OLG Köln und LG Rostock ein.

Checkliste für Google Tag Manager

Das Urteil enthält zahlreiche Hinweise für Webseitenbetreibende und sollte daher Beachtung finden. Wir haben für Sie einen Leitfaden für das praktische Vorgehen entwickelt.

Consent-by-Design: Alle nicht notwendigen Tags dürfen ausschließlich nach Einholung der Einwilligung (via Consent-Trigger) ausgespielt werden. Für den Fall, dass die Nutzende keine Einwilligung gibt, müssen blockierende Trigger konfiguriert werden.

Keine Cookies setzen, bevor die Einwilligung eingeholt wurde: Webseitenbetreibende müssen ihre Internetseite technisch so gestalten, dass die Cookies erst gesetzt werden, nachdem eine Einwilligung erfolgt ist. Wird die Einwilligung nicht gegeben, dürfen auch keine technisch nicht notwendigen Cookies gesetzt werden. Zudem darf Google Tag Manager keine Requests an Google oder andere Drittanbieter absetzen, wenn keine Einwilligung vorliegt.

Vorsicht bei Drittlandsübermittlungen: Wenn Daten in Drittstaaten übermittelt werden, muss eine Transfergrundlage (Standarddatenschutzklauseln, EU-US-Data Privacy Framework etc.) bestehen. Unter Umständen müssen auch ein Transfer Impact Assessment und andere Zusatzmaßnahmen eingehalten werden.

Auftragsverarbeitungsvertrag: Wenn personenbezogene Daten an Dritte übermittelt werden, muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden.

Anpassung der Datenschutzerklärung: Google Tag Manager muss in der Datenschutzerklärung aufgeführt werden. Hier müssen über Empfänger der Daten, Zweck der Datenverarbeitung, Drittlandsübermittlungen, Rechtsgrundlage und Widerrufsmöglichkeiten informiert werden.

Dokumentation: Wichtig ist eine ausreichende Dokumentation durch den oder die Verantwortliche. Dazu gehören ein vollständiges Verzeichnis von Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge mit den eingesetzten Diensten und die Dokumentation der Einwilligung.

DSGVO-konformes Design des Cookie-Banners

Wie sieht ein datenschutzkonformer Cookie-Banner aus?

Im Zuge dieses Blogbeitrags könnte die Frage aufkommen, wie ein datenschutzkonformer Cookie-Banner aussieht. Folgende Vorgaben müssen erfüllt sein:

Es muss eine echte Wahlmöglichkeit auf erster Ebene bestehen. Das heißt, dass die Nutzende die Möglichkeit hat, abzulehnen oder zuzustimmen. Zudem muss der oder die Seitenbesucher*in die Cookies einzeln ab- und auswählen können.
Das Banner muss klar und verständlich formuliert sein, damit eine informierte Einwilligung vorliegt.
Es müssen alle notwendigen Informationen genannt werden: Empfänger der Daten, Art des Cookies (Analyse, Marketing, technisch notwendig etc.), Art der Datenverarbeitung und Zweck, Ort der Datenspeicherung, Widerrufsmöglichkeit, Drittlandsübermittlung und Dauer der Datenspeicherung bzw. Länge der Laufzeit der Cookies
Das Cookie-Banner darf keine „Dark Patterns“ beinhalten. Das bedeutet, dass kein Nudging (Anreiz zu einem bestimmten Verhalten) beispielsweise durch Farben oder Voreinstellungen erfolgen darf. Verboten sind also solche Cookie-Banner, die dadurch zur Zustimmung verleiten, dass die Schaltfläche „Alles Akzeptieren“ farblich hervorgehoben wird und die Ablehnungsmöglichkeiten durch blasse Farben schlechter sichtbar gemacht werden.
Die Dienste dürfen erst nach der Einwilligung geladen werden. Vorher dürfen einwilligungspflichtige Dienste wie der Google Tag Manager nicht aktiv werden.
Die Einwilligung muss dokumentiert werden.

Fazit

Das Urteil stellt klar, dass der Einsatz von Google Tag Manager datenschutzrechtlich heikler ist als zuvor angenommen. Webseitenbetreibende müssen ihn wie jedes andere Tracking-Tool behandeln und über ein Consent-Banner absichern. Für Verbraucher*innen bedeutet die Entscheidung mehr Sicherheit für ihre Daten und mehr Transparenz bei der Einwilligung.

Das VG Hannover formuliert durch das Urteil klare Pflichten für Webseitenbetreibenden. Dies schafft neben Verpflichtungen auch Rechtssicherheit. Jetzt sollten die Vorgaben schnell umgesetzt werden, damit Beschwerden und Bußgelder vermieden werden können.

Unternehmen sollten zudem alternative Dienstleister prüfen, die anstelle von Google Tag Manager eingesetzt werden können. Hilfreich für die Auswahl kann die Seite European Alternatives der EU-Kommission sein.

Alle Themen im Datenschutz verstehen

Inhaltsverzeichnis

Autor

Maya Christian

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy