Zum Hauptinhalt springen
Behrend von Hülsen
Behrend von Hülsen
Consultant

Die Auslegung der DSGVO im Detail wird nach wie vor Stück für Stück durch Gerichte geklärt.

Der Datenschutzbeauftragte des Landes Niedersachsens hatte der Neuen Osnabrücker Zeitung eine Anordnung erlassen, das Tracking anzupassen. Dagegen wurde geklagt.

Wenn Du ein Jura-Masochist bist und Dich gerne durch den veröffentlichten Urteilstext graben willst: Das Urteil im Ganzen.

Fun Fact: Man hat sich aus bestimmt guten Gründen beim Niedersächsischen Vorschrifteninformationssystem die Mühe gemacht, die klagende Partei zu anonymisieren und “Firma A., Gesellschaft mit beschränkter Haftung, diese gesetzlich, A-Straße, A-Stadt” als Klägerin genannt. Es wäre bestimmt schwieriger, die NOZ zu deanonymisieren, wenn man im Volltext des Urteils auch die Domain www.noz.de anonymisiert hätte…

Wenn Du jetzt nicht den Urteils-Volltext lesen wolltest, ist hier eine recht verständliche Zusammenfassung.

TL;DR, die Kernpunkte:

  1. Dein Cookie Banner muss einen “Alle ablehnen”-Button haben. (Das ist nix Neues)
  2. Der Google Tag Manager darf nicht ohne Consent geladen werden. (Auch nicht überraschend)

Warum finde ich es spannend, wenn es nicht überraschend ist?

Weil ich ein Nerd bin. Nerd genug, um die Urteilsbegründung zumindest zu überfliegen und bei folgendem Absatz hängen zu bleiben:

“[Der GTM-Abruf führt dazu,] dass Informationen der Nutzer an den US-Server des Google Tag Managers übermittelt werden würden sowie ein Skript auf dem Endgerät des Nutzers gespeichert werde [...]”

Ja, gut beim Request an den googletagmanager.com ist das ein Problem. Die IP-Adresse ist personenbezogen, oder zumindest personenbeziehbar, und so wie dieses Internet funktioniert nun mal Bestandteil jedes HTTP-Requests. Daher ist egal, welcher Request an Drittparteien datenschutzrechtlich relevant ist. Und nach den Schrems-Urteilen sind damit alle Request an amerikanische Firmen ein Problem. Microsoft musste in einer Anhörung in Frankreich gerade wieder mal bestätigen warum.

Das bedeutet: Jeder Request an einen externen Host ist ein datenschutzrechtliches Risiko, doppelt und dreifach, wenn es ein amerikanischer Anbieter ist…

Sobald der Request aber über einen Proxy geladen ist, sieht der Anbieter nur die IP-Adresse des Proxies. Das geht zum Beispiel mit einem serverside GTM out of the box.

“Der Einsatz des Google Tag Managers führe dazu, dass Informationen von Google auf dem Endgerät des Nutzers gespeichert würden und bei einem erneuten Aufruf der Website auf die auf dem Gerät gespeicherten Daten zugegriffen werde.”

Der Satz davor gilt hoffentlich nicht nur für sich. Wenn ich mich richtig entsinne, sagt die e-Privacy-Verordnung, dass schon das Speichern von Informationen auf dem Endgerät des Nutzers Consent erfordert. Wenn das hier so ausgelegt wird, dass auch ein gecachtes gtm.js gilt, dann könnte das für jedes JavaScript gelten, das für die Kernfunktionalität der aktuellen Seite nicht zwingend notwendig ist.

Der PageSpeed-Optimierer möchte das direkt nutzen, um Entwickler zu motivieren, aufgeblähtes JavaScript zu reduzieren und http/2-freundlich zu kompartimentieren. Aber ich denke mal, so wörtlich ist das nicht auszulegen.

Und Nu?

Bleiben wir also bei der Tracking- und Datenschutzauslegung. Was bedeutet das Urteil für Dich?

Wirf einen Blick in Dein Consent-Setup:

  • Wenn der GTM beispielsweise als “technisch notwendig” definiert wurde oder überhaupt nicht über dein Consent Management gesteuert wird und direkt von Google geladen wird, dann ist das ein Problem, das Du beheben willst.
  • Wenn Du den GTM einsetzt, aber erst nach Consent lädst, ist das, zumindest nach diesem Urteil, erst mal ok.
  • Wenn dein GTM über einen Serverside Container geladen wird, ist das auch fein (idealerweise liegt Dein SGTM bei einem vertrauenswürdigen europäischen Hoster. (Außer Du hast eh Deine komplette Infrastruktur bei AWS, Azure oder Google Cloud liegen, dann kannst Du Dir das vermutlich für den SGTM auch sparen, denn dann geht ja schon der initiale Seitenaufruf an eine US-Firma… (Allerdings sind die Requests ja für das Ausspielen der Inhalte und nicht fürs Tracking, also vielleicht auch dann lieber ein EU-Hoster fürs Tracking… (Außer Du findest, das Risiko ist überschaubar)) (PS: In dem Fall auch gerne Google Tag selbst und sowas über den SGTM laden, das geht auch Out of the Box). (PPS: Ist Dir eigentlich schonmal aufgefallen, dass ich Einschübe in Klammern als Stilmittel recht gerne einsetze?)
  • Wenn Du einen handgedengelte Proxy-Lösung hast, geht das theoretisch auch.

Ziel ist, dass die IP-Adresse Deiner Nutzer für Google & Co. nicht zu sehen ist, mindestens, bevor Consent vorliegt und auch danach… Denn auch mit Consent macht es Sinn, vorsichtig zu sein. Nach den Schrems-Urteilen ist mit amerikanischen Firmen kein Consent möglich, solange die Geheimdienste nach FISA die Zweckbindung der Datensammlung aushebeln können. Und ob das aktuelle Transatlantic EU-US Privacy Harbour Safe Shield Framework gerade noch dem Schrems-Test standhält, war schon vor Trumps Regierungsübernahme zweifelhaft. Jetzt muss man sich fragen, ob es noch das (Feigen-)Blatt Papier wert ist, auf dem es geschrieben wurde.

Prüfe also die Consent-Regelung Deiner GTM-Integration.

Behrend von Hülsen
Behrend von Hülsen

Consultant

Weitere Artikel von Behrend von Hülsen
Alle Artikel aus Newsletter #269 „🍦 Goldene Waffeln & glänzende Rankings"
Wir haben auch für Dich geschrieben:
Weitere Artikel von Behrend von Hülsen
Alle Artikel aus Newsletter #269 „🍦 Goldene Waffeln & glänzende Rankings"
Wir haben auch für Dich geschrieben:
Das ist ein Artikel aus unserem Newsletter. Wenn Du jeden Dienstag Morgen schlauer werden möchtest, melde jetzt kostenfrei für den SEO-Newsletter an

Kurze, praxisnahe SEO-Tipps – maximal 1× pro Woche. Keine Werbung, kein Spam.

Deine Daten sind bei uns in guten Händen und werden ausschließlich für diesen Newsletter genutzt.
  1. Du bist hier:
  2. 🏠
  3. Wissen
  4. Newsletter
  5. Archiv