Google Tag Manager: Nur mit Einwilligung
Der Einsatz des Google Tag Managers ist nur mit Einwilligung erlaubt – und Cookie-Banner müssen bestimmte Anforderungen erfüllen.
So sieht es jedenfalls ein deutsches Verwaltungsgericht. Das VG Hannover hat in einer Entscheidung (Az.: 10 A 5385/22) klargestellt: Der Google Tag Manager (GTM) darf nur verwendet werden, wenn Nutzer dazu vorher ihre informierte und freiwillige Einwilligung erteilt haben. Viele Webseitenbetreiber nutzen das praktische Tool und ähnliche Services aber immer noch ohne Einwilligung. Wir zeigen kurz auf, was das Gericht entschieden hat und was Sie als Webseitenbetreiber beachten müssen.
Kernpunkte der Entscheidung
1. GTM nur mit Einwilligung zulässig
Das Verwaltungsgericht stellte fest, dass bereits beim Erstaufruf einer Website ohne Zustimmung eine Verbindung zu www.googletagmanager.com aufgebaut wird, dabei IP-Adresse, Gerätekonfiguration und Referrer-URL übermittelt sowie das Skript gtm.js mit Nutzer-ID gespeichert wird .
Aus Sicht des Gerichts erfolgt somit ein Zugriff auf Daten, welche im Endgerät des Nutzers gespeichert sind. Dies ist nach § 25 TDDDG nur erlaubt, falls dies entweder zwingend erforderlich ist, um einen vom Nutzer gewünschten Dienst bereitzustellen, oder dieser explizit darin einwilligt. Diese Erforderlichkeit sah das Gericht im Falle des GTM nicht gegeben. Das kostenlose Tool von Google dient dazu, den Einsatz von Analyse- und Marketing-Werkzeugen auf Webseiten zu steuern, nutzt aber nach Angaben von Google selbst keine Nutzerdaten für solche Zwecke. Aus diesem Grund wurde der Einsatz bislang teils auch ohne Einwilligung als zulässig erachtet. Dem hat das Gericht nun einen Riegel vorgeschoben. Aus unserer Sicht nachvollziehbar, denn weder der Einsatz von GTM noch der dadurch gesteuerten Dienste sind in der Regel erforderlich, um dem Besucher eine Webseite anzuzeigen.
Da die mittels GTM verarbeiteten Informationen nach Ansicht des VG auch personenbezogene Daten sind, bedarf es einer vorherigen Einwilligung ebenfalls nach Art. 6 Abs. 1 lit. a) DSGVO.
2. Gestaltung des Cookie-Banners
Das streitgegenständliche Banner wurde geprüft und für unzulässig befunden, weil:
• Der Button „Alle akzeptieren“ signalisierte ein „optimales Nutzererlebnis“ ohne transparent zu machen, dass damit eine Einwilligung erteilt wird.
• Eine Ablehnoption war im Vergleich weniger sichtbar, zudem keine gleichwertige Ausstiegsmöglichkeit („Ablehnen“-Button auf gleicher Ebene) vorhanden .
• Inhalte zu Drittstaateneinsatz (z. B. USA) oder Anzahl der Drittanbieter wurden nur auf tieferen Ebenen dargestellt – viele Nutzer scrollen nicht so weit .
Das Banner stellte faktisch eine „Cookie-Wall“ dar und war daher nach Auffassung des Gerichts nicht dazu geeignet, dass die Nutzer damit eine freiwillige und informierte Einwilligung im Sinne der DSGVO abgeben können.
Praktische Handlungsempfehlungen
Bitte beachten Sie die folgenden Punkte beim Einsatz von Drittanbieter-Tools auf Ihrer Webseite, um rechtliche Risiken zu vermeiden:
Google Tag Manager: Entfernen oder direkt vor dem Laden des GTM eine aktives Opt-in verlangen.
Cookie-Banner – erste Ebene: Klar benennen, dass man einwilligt, z. B.: „Ich stimme dem Setzen von … zu“.
Offensichtliche Buttons für „Einwilligen“ und „Ablehnen“ – gleichwertig präsentiert.
Kurz informieren: Anzahl der Drittanbieter, Datenübermittlung in Drittländer (USA), Widerrufsrecht.
Banner-Design: Vermeidung von „Optik-Aufforderung“, z. B. gleiche Farbgestaltung für „Ablehnen“-Button.
Weiterführende Infos: Details wie Liste der Partner, Dauer und Zweck der Datenverarbeitung dürfen auf weiteren Ebenen erklärt werden.
Einwilligung verwalten: Auch nach Ablehnung soll das Banner beim erneuten Seitenbesuch nicht erneut erscheinen.
Nachweis: Nutzung einer Consent Management Platform zur Dokumentation und Export von Einwilligungen.
Fazit & Takeaways
• GTM nur nach Einwilligung einsetzen – automatisch wirkende Skriptladeprozesse ohne Einwilligung sind rechtlich meist nicht zulässig.
• Cookie-Banner richtig gestalten – gleichwertige Buttons, klare Begriffe, transparente Information auf der ersten Ebene.
• Technische & organisatorische Anpassungen (z. B. Consent Management, Skript-Management) sind notwendig – sowie ein Nachweis-System für Einwilligungen.
Vorgehensplan für Websitebetreiber
1. Audit starten: Prüfen, ob Daten an GTM und Drittanbieter bereits vor Banner-Ladezeit übertragen werden.
2. Banner überarbeiten: Optisch und textlich an die Anforderungen anpassen.
3. Consent Management einrichten: Einwilligungen speichern und veränderbar machen; Banner bei Änderungen neu anzeigen.
4. Skriptsteuerung: GTM nur nach Opt-in laden oder komplett durch Alternativen ersetzen.
5. Dokumentation & Beweissicherung: Einwilligungen und Bannerversionen revisionssicher dokumentieren.
Technisch ist es meistens nicht kompliziert, GTM hinter die Cookie-Banner-Einwilligung zu setzen. Manche Consent-Management-Tools erfordern leider immer noch den Einsatz von Code Snippets auf der Webseite, aber auch dies ist mit wenigen Schritten erledigt. Gerne helfen wir Ihnen bei der Analyse und Umsetzung.
Sprechen Sie uns an und bestellen Sie unseren Newsletter, um keine Informationen zu Datenschutz, Compliance und KI mehr zu verpassen.
