Google Tag Manager & DSGVO: Was du wissen musst
Der Google Tag Manager setzt selbst keine Cookies -- aber die Scripts, die er lädt, schon. Erfahre, warum GTM Consent braucht und wie du ihn DSGVO-konform einsetzt.
Der Google Tag Manager (GTM) ist eines der beliebtesten Tools im Online-Marketing. Über 30 Millionen Websites weltweit nutzen ihn, um Tracking-Scripts, Conversion-Pixel und Analyse-Tools zu verwalten — ohne Entwickler bei jeder Änderung einbinden zu müssen. Aber bei der DSGVO-Konformität gibt es ein weit verbreitetes Missverständnis: “GTM setzt keine Cookies, also brauche ich keinen Consent dafür.”
Das stimmt technisch — und ist trotzdem falsch. In diesem Artikel erklären wir, warum der Google Tag Manager eine Einwilligung braucht, wie du ihn mit dem Google Consent Mode v2 korrekt implementierst und welche Fehler du unbedingt vermeiden solltest.
Warum der GTM selbst ein Problem ist
GTM setzt keine Cookies — oder doch?
Richtig ist: Der Google Tag Manager selbst setzt standardmäßig keine Cookies und erhebt keine personenbezogenen Daten. Er ist im Kern ein Container-Script, das andere Scripts lädt und steuert.
Aber genau da liegt das Problem: Der GTM ist ein Türöffner. Sobald ein Nutzer deine Seite aufruft und der GTM-Container geladen wird, können alle darin konfigurierten Tags feuern — Google Analytics, Facebook Pixel, Google Ads Conversion Tracking, Hotjar und beliebig viele weitere Dienste. Und diese Dienste setzen sehr wohl Cookies und verarbeiten personenbezogene Daten.
Datenübertragung an Google
Auch ohne konfigurierte Tags überträgt der GTM beim Laden Daten an Google-Server:
- Die IP-Adresse des Nutzers wird an Google übermittelt (als Teil des HTTP-Requests)
- Google erfährt, welche Website den GTM nutzt und wie oft er geladen wird
- Die Daten werden auf Servern verarbeitet, die sich (trotz EU-Datenzentren) unter US-amerikanischer Jurisdiktion befinden
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat 2023 klargestellt, dass bereits die Übertragung der IP-Adresse an US-Dienste ohne Einwilligung problematisch sein kann — unabhängig davon, ob Cookies gesetzt werden.
Art. 6 DSGVO: Rechtsgrundlage fehlt
Für das Laden des GTM-Containers brauchst du eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. “Berechtigtes Interesse” (Art. 6 Abs. 1 lit. f) lässt sich beim GTM kaum begründen, da:
- Der GTM für den Betrieb der Website nicht notwendig ist
- Die Interessen der Nutzer (Datenschutz, informationelle Selbstbestimmung) überwiegen
- Es datenschutzfreundlichere Alternativen gibt
Es bleibt also die Einwilligung (Art. 6 Abs. 1 lit. a) als einzig sichere Rechtsgrundlage.
Google Consent Mode v2: So funktioniert es
Seit März 2024 ist der Google Consent Mode v2 Pflicht für alle Websites, die Google-Dienste über den GTM oder direkt einbinden. Der Consent Mode ist Googles Antwort auf die DSGVO: Er erlaubt es, Google-Tags kontrolliert zu feuern — abhängig vom Consent-Status des Nutzers.
Die Consent-Signale
Der Consent Mode v2 kennt folgende Signale:
| Signal | Bedeutung | Standard-Wert |
|---|---|---|
analytics_storage | Erlaubnis für Analytics-Cookies | denied |
ad_storage | Erlaubnis für Werbe-Cookies | denied |
ad_user_data | Erlaubnis, Nutzerdaten an Google für Werbezwecke zu senden | denied |
ad_personalization | Erlaubnis für personalisierte Werbung | denied |
functionality_storage | Erlaubnis für funktionale Cookies | granted |
personalization_storage | Erlaubnis für Personalisierungs-Cookies | denied |
security_storage | Erlaubnis für Sicherheits-Cookies | granted |
Basic vs. Advanced Mode
Google unterscheidet zwei Implementierungsvarianten:
Basic Mode: Google-Tags werden erst geladen, wenn der Nutzer zugestimmt hat. Ohne Consent werden keine Daten an Google gesendet. Das ist die DSGVO-konforme Variante.
Advanced Mode: Google-Tags werden auch ohne Consent geladen, senden aber nur cookielose Pings an Google. Google nutzt diese Pings für “Conversion Modelling” — statistische Hochrechnungen. Datenschutzrechtlich ist der Advanced Mode umstritten, da auch ohne Cookies Daten an Google fließen.
Empfehlung: Für maximale DSGVO-Konformität solltest du den Basic Mode verwenden. Der Advanced Mode bietet zwar mehr Daten für Google Ads, ist aber rechtlich riskant.
Korrekte Implementierung
Die Reihenfolge ist entscheidend:
1. Default-State setzen (vor dem GTM-Container)
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: Alles verweigern
gtag('consent', 'default', {
'analytics_storage': 'denied',
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted',
'wait_for_update': 500
});
</script>
2. GTM-Container laden
<script>(function(w,d,s,l,i){...})(window,document,'script','dataLayer','GTM-XXXXX');</script>
3. Nach Consent: Update senden
// Wenn der Nutzer Analytics akzeptiert:
gtag('consent', 'update', {
'analytics_storage': 'granted'
});
// Wenn der Nutzer Marketing akzeptiert:
gtag('consent', 'update', {
'ad_storage': 'granted',
'ad_user_data': 'granted',
'ad_personalization': 'granted'
});
Wichtig: Der Default-State muss vor dem GTM-Container gesetzt werden. Sonst feuern die Tags kurzzeitig ohne Consent — ein häufiger Fehler.
Server-Side GTM: Die datenschutzfreundliche Alternative
Eine zunehmend beliebte Lösung ist der Server-Side Google Tag Manager. Statt Tags direkt im Browser des Nutzers zu laden, werden die Daten zunächst an deinen eigenen Server gesendet und von dort an die jeweiligen Dienste weitergeleitet.
Vorteile
- Kontrolle über Datenflüsse: Du entscheidest, welche Daten an welche Dienste gehen
- Kein Third-Party-JavaScript im Browser: Weniger Angriffsfläche, bessere Performance
- IP-Anonymisierung auf deinem Server: Die echte IP-Adresse verlässt nie deinen Server
- Reduzierte Cookie-Probleme: First-Party-Cookies statt Third-Party-Cookies
- Bessere Datenqualität: Kein Ad-Blocker kann Server-Side-Requests blockieren
Nachteile
- Kosten: Du brauchst einen eigenen Server (Google Cloud, AWS, etc.) — ab ca. 50-100 Euro/Monat
- Komplexität: Die Einrichtung ist deutlich aufwendiger als der klassische GTM
- Weiterhin Consent nötig: Auch Server-Side GTM entbindet nicht von der Consent-Pflicht. Die Datenverarbeitung findet weiterhin statt — nur der Ort ändert sich
Ist Server-Side GTM DSGVO-konform?
Server-Side GTM ist datenschutzfreundlicher, aber nicht automatisch DSGVO-konform. Du brauchst weiterhin:
- Eine Einwilligung für nicht-notwendige Datenverarbeitung
- Einen korrekten Cookie-Banner
- Eine aktuelle Datenschutzerklärung
- Einen AV-Vertrag mit Google (und dem Hosting-Anbieter des Server-Containers)
Der Vorteil liegt in der besseren Kontrolle: Du kannst auf Server-Ebene entscheiden, welche Daten wirklich an Google gesendet werden, und z.B. die IP-Adresse vor der Weitergabe anonymisieren.
Die 7 häufigsten GTM-Fehler bei der DSGVO
Fehler 1: GTM ohne Consent laden
Der häufigste Fehler: Der GTM-Container wird sofort beim Seitenaufruf geladen — ohne auf die Einwilligung des Nutzers zu warten. Selbst wenn die Tags im Container erst nach Consent feuern sollen, überträgt das Laden des Containers selbst bereits die IP-Adresse an Google.
Lösung: Lade den GTM-Container erst nach Einwilligung (Basic Mode) oder setze zumindest den Consent Mode Default auf “denied” vor dem Container.
Fehler 2: Consent Mode Default fehlt
Ohne den Default-State denied gehen Google-Tags davon aus, dass sie Cookies setzen dürfen. Es gibt ein kurzes Zeitfenster zwischen dem Laden des Containers und dem Consent-Update, in dem Daten ohne Einwilligung erfasst werden.
Lösung: Setze den Default-State als allererstes Script im <head>.
Fehler 3: Tags feuern auf “All Pages”
Viele GTM-Konfigurationen haben Tags, die auf den Trigger “All Pages” konfiguriert sind — ohne Consent-Bedingung. Diese Tags feuern sofort beim Seitenaufruf.
Lösung: Erstelle im GTM eine Variable für den Consent-Status und verwende sie als zusätzliche Bedingung in allen Triggern.
Fehler 4: Preview/Debug Mode auf der Live-Site
Der GTM Preview-Mode setzt selbst Cookies und lädt zusätzliche Scripts von Google. Wenn der Preview-Link öffentlich zugänglich ist, betrifft das auch echte Nutzer.
Lösung: Stelle sicher, dass der Preview-Mode nur in deiner Test-Umgebung aktiv ist.
Fehler 5: Datenschutzerklärung nicht aktualisiert
Der GTM wird eingebunden, aber die Datenschutzerklärung erwähnt ihn nicht. Nach Art. 13 DSGVO musst du über alle Datenverarbeitungen informieren.
Lösung: Ergänze deine Datenschutzerklärung um Abschnitte zu GTM, Consent Mode und allen über den GTM geladenen Diensten.
Fehler 6: Kein AV-Vertrag mit Google
Für die Nutzung von Google Tag Manager, Google Analytics und anderen Google-Diensten brauchst du einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO.
Lösung: Akzeptiere die Datenverarbeitungsbedingungen in den Google-Kontoeinstellungen (Admin > Account Settings > Data Processing Terms).
Fehler 7: Consent wird bei Widerruf nicht an GTM weitergegeben
Wenn ein Nutzer seinen Consent widerruft (z.B. über den Cookie-Einstellungen-Link im Footer), muss der Consent Mode aktualisiert und die entsprechenden Cookies gelöscht werden. Viele Implementierungen vergessen diesen Rückweg.
Lösung: Implementiere einen Consent-Update auch beim Widerruf:
gtag('consent', 'update', {
'analytics_storage': 'denied',
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied'
});
Wie Compliso den GTM erkennt
Der Compliso Scanner prüft deine Website automatisch auf GTM-bezogene DSGVO-Probleme:
- GTM-Container erkennen: Der Scanner identifiziert, ob und welcher GTM-Container geladen wird
- Consent Mode prüfen: Wird der Default-State korrekt vor dem Container gesetzt?
- Tags ohne Consent: Werden Scripts oder Cookies vor der Einwilligung geladen?
- Third-Party-Requests: Welche externen Dienste werden über den GTM geladen?
- Cookie-Inventar: Welche Cookies werden auf deiner Seite gesetzt — mit und ohne Consent?
Du erhältst einen detaillierten Report mit allen Findings und konkreten Handlungsempfehlungen.
Praxis-Checkliste: GTM DSGVO-konform einsetzen
- Consent Mode v2 Default-State wird vor dem GTM-Container gesetzt
- Alle Consent-Signale stehen initial auf
denied - GTM-Tags feuern nur nach Consent (Consent-Bedingung in Triggern)
- Consent-Update wird bei Zustimmung und Widerruf korrekt gesendet
- Datenschutzerklärung enthält Abschnitte zu GTM und allen geladenen Diensten
- AV-Vertrag mit Google ist akzeptiert
- Cookie-Banner bietet faire Wahlmöglichkeit (kein Dark Pattern)
- Preview/Debug Mode ist nicht auf der Live-Site aktiv
- Regelmäßige Prüfung: Neue Tags im GTM werden auf Consent-Bedingung geprüft
- Server-Side GTM als datenschutzfreundliche Alternative evaluiert
Fazit: GTM braucht Consent
Der Google Tag Manager ist ein mächtiges Tool — aber er braucht eine durchdachte DSGVO-Implementierung. Das bloße “GTM setzt keine Cookies”-Argument reicht nicht aus. Die Übertragung der IP-Adresse, die Rolle als Türöffner für Tracking-Scripts und die EU-Datentransferproblematik machen eine Einwilligung notwendig.
Mit dem Google Consent Mode v2 und einer sauber konfigurierten Consent Management Platform lässt sich der GTM DSGVO-konform betreiben. Der Compliso Cookie-Banner setzt den Consent Mode v2 automatisch, blockiert Scripts vor der Einwilligung und wiegt dabei nur 6 KB — deutlich weniger als andere CMP-Lösungen.
Jetzt deine Website scannen und prüfen, ob dein GTM-Setup DSGVO-konform ist. Oder kostenlos registrieren und den Compliso-Banner in 5 Minuten einrichten.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.