Der Google Tag Manager (GTM) verwaltet Tags zentral – praktisch, aber: Was heißt das für Datenschutz und DSGVO? Kurz: Der Google Tag Manager kann datenschutzkonform eingesetzt werden, hängt aber von deiner Konfiguration, deinen eingebundenen Tools und deiner Einwilligungsverwaltung ab. Offizielle Google-Infos betonen, dass der GTM selbst keine Daten von Besucher:innen speichert – Diagnose- und HTTP-Logdaten werden nur aggregiert bzw. zeitnah gelöscht. Entscheidend für den DSGVO-konformen Einsatz ist also, welche Cookies und Tools du über den Google Tag Manager ausspielst.
Was genau der Google Tag Manager für dich, deine Website und deine Datenschutzerklärung bedeutet, erklären wir dir hier Schritt für Schritt.
Datenschutz im Blick
Ist der Google Tag Manager DSGVO-konform?
Der Google Tag Manager kann potenziell datenschutzkonform eingesetzt werden. Allerdings müssen dafür bestimmte Bedingungen erfüllt sein, auf die du gezielt Einfluss hast. Dein Google Tag Manager ist DSGVO-konform, wenn du:
- Einwilligungen vor dem Laden nicht notwendiger Tags einholst (CMP/Consent-Banner),
- Rechtsgrundlagen sauber dokumentierst,
- Datenübermittlungen in der Datenschutzerklärung transparent machst,
- den Google Tag Manager so konfigurierst, dass ohne Consent keine Cookies und keine Marketing/Analytics-Tags feuern.
GTM ≠ automatisch essenziell
Viele Consent Management Plattformen (CMP) stufen den Google Tag Manager nur dann als „essenziell“ ein, wenn er rein technisch genutzt wird – etwa um den Cookie-Consent zu steuern. Sobald er aber Marketing- oder Analyse-Tags lädt, brauchst du dafür eine Einwilligung.
Rechtliche Bedeutung
Warum der Google Tag Manager nach DSGVO eine Einwilligung benötigt
Auf den ersten Blick wirkt der Google Tag Manager harmlos – schließlich organisiert er nur deine Tracking-Tags. Doch datenschutzrechtlich sieht es komplexer aus: Schon die bloße Nutzung des GTM kann als Verarbeitung personenbezogener Daten gelten. Der Grund: Über technische Logdaten werden z. B. IP-Adressen erfasst, und die gelten nach DSGVO klar als personenbezogen.
Hinzu kommt der Datentransfer in die USA, da Google als Anbieter hinter dem GTM steht. Auch wenn das Data Privacy Framework (DPF) aktuell eine rechtliche Basis liefert, bleibt die Übermittlung in ein Drittland ein sensibler Punkt. Außerdem greift das deutsche TDDDG (ehemals TTDSG): Laut § 25 Abs. 1 ist eine Einwilligung Pflicht, wenn Informationen auf dem Endgerät gespeichert oder ausgelesen werden – und genau das passiert beim Einsatz vieler Tags, die über den GTM geladen werden (z. B. Analytics oder Ads).
Die Kombination aus personenbezogenen Daten, internationalem Datentransfer und Cookie-Regelungen macht also deutlich: In den meisten Fällen darf der Google Tag Manager nur mit einer vorherigen Einwilligung der Nutzer:innen betrieben werden.
Cookies & DSGVO
Braucht der Google Tag Manager Cookies?
Viele denken, der Google Tag Manager selbst setze Cookies – das stimmt so aber nicht. Der GTM ist in erster Linie eine Art „Verteilerkasten“ für andere Tools und speichert nach Angaben von Google keine personenbezogenen Daten. Er sammelt lediglich technische Informationen wie Auslöse- oder Diagnose-Daten, und das auch nur in stark eingeschränkter Form.
Die eigentlichen Cookies stammen fast immer von den eingebundenen Diensten – etwa Google Analytics, Google Ads oder Remarketing-Tools. Ob du eine Einwilligung für Cookies brauchst, hängt deshalb nicht vom Google Tag Manager selbst ab, sondern von den Tags, die du über ihn ausspielst.
Checkliste zur Datenschutzerklärung
Muss der Google Tag Manager in die Datenschutzerklärung?
Auch 2025 ist es Pflicht, den Google Tag Manager in deiner Datenschutzerklärung zu erwähnen. Der Grund: Auch wenn der GTM selbst keine personenbezogenen Daten speichert, steuert er die Einbindung von Tools wie Google Analytics oder Google Ads, die wiederum Daten erfassen.
Damit ist der Google Tag Manager Teil der Verarbeitungskette und muss aus Gründen der Transparenzpflicht nach DSGVO aufgeführt werden. Nutzer:innen haben ein Recht darauf zu erfahren, welche Dienste auf deiner Website eingebunden sind, welche Daten erhoben werden und auf welcher Rechtsgrundlage dies geschieht.
In deiner Datenschutzerklärung für den Google Tag Manager solltest du deshalb mindestens nennen:
- Zweck (Tag-Verwaltung),
- eingesetzte Kategorien/Empfänger (z. B. Google-Dienste, Drittanbieter),
- Rechtsgrundlage (typisch Art. 6 Abs. 1 a DSGVO + TDDDG für Cookies; teils auch berechtigtes Interesse für rein technische Zwecke),
- mögliche Datenübermittlungen (inkl. USA/DPF),
- Speicherdauer (durch angebundene Tools),
- Widerrufs- und Opt-out-Möglichkeiten.
Tipp
Viele Experten raten neben der Nennung des Google Tag Managers in der Datenschutzerklärung sowie den Einwilligungen zur Schließung von Auftragsverarbeitungsverträgen (auch AV-Vertrag). Bei eRecht24 kannst du dir eine kostenlose Datenschutzerklärung übrigens super einfach erstellen lassen.
Beispiel: Textbausteine für deine Datenschutzerklärung mit GTM
- Dienst: Google Tag Manager (Google Ireland Limited; ggf. Übermittlung an Google LLC, USA – DPF).
- Zweck: Verwaltung/Steuerung von Tags (Analytics/Marketing).
- Rechtsgrundlage: Art. 6 Abs. 1 a DSGVO (Einwilligung) i. V. m. TDDDG; ggf. Art. 6 Abs. 1 f für rein technische Zwecke.
- Empfänger/Kategorien: z. B. Google Analytics, Google Ads, …
- Übermittlung: USA (DPF/SCC erwähnen).
- Widerruf: jederzeit im Consent-Banner anpassbar.
Wichtig
Diese Kurzanleitung enthält sorgfältig geprüfte Beispielelemente, ersetzt jedoch keine Rechtsberatung. Bitte prüfe die Angaben vor Nutzung auf Vollständigkeit, Aktualität und rechtliche Verbindlichkeit.
Aktueller Datenschutz
2025-Update: Automatisches Laden des Google Tags in GTM
Seit dem 10. April 2025 lädt der Google Tag Manager bei bestimmten Fällen automatisch ein Google Tag (gtag.js) nach – zum Beispiel, wenn ein Google Ads- oder Floodlight-Event ausgeführt werden soll und bisher kein Google Tag eingebunden war. Dieses automatische Nachladen respektiert deine bestehenden Cookie- und Consent-Einstellungen. Für dich heißt das, dass das Consent-Gating deiner Ads- oder Floodlight-Events noch wichtiger ist.
Was ist aus Datenschutz-Sicht jetzt für dich zu tun? Überprüfe nach dem April-2025-Update, ob deine Ads- und Floodlight-Tags korrekt an die Consent-Logik gekoppelt sind, damit ohne Einwilligung weder Events noch das auto-geladene Google Tag aktiv werden – und damit wirklich nur dann Daten erfasst werden, wenn Nutzer:innen zugestimmt haben.
Schritt-für-Schritt-Anleitung
So machst du den Google Tag Manager datenschutzkonform – Schritt für Schritt
Damit der Google Tag Manager DSGVO-konform genutzt werden kann, reichen ein paar einfache Handgriffe – wichtig ist, dass du sie von Anfang an richtig setzt. Du musst keine komplette Website umbauen, sondern vor allem die richtigen Einstellungen im Consent-Management und im Tag Manager vornehmen. Je nach Vorkenntnissen dauert das Setup nur wenige Stunden und bildet die Grundlage für rechtssicheres Tracking. Im Folgenden findest du die wichtigsten Schritte, mit denen du sofort starten kannst.
Schritt 1: Consent-Management sauber einbinden
Damit dein Tracking rechtssicher ist, brauchst du eine Consent-Management-Plattform (CMP) wie z. B. Consentmanager, Real Cookie Banner oder Cookiebot. Eine hilfreiche Anleitung dazu findest du in unserem Beitrag „Google Analytics 4 DSGVO-konform einbauen“. Dort erklären wir dir am Beispiel von WordPress und Real Cookie Banner, wie genau das funktioniert.
- Installiere die CMP auf deiner Website (meist mit einem kleinen Codeschnipsel im Header).
- Lege Einwilligungskategorien fest – z. B. „Essenziell“, „Statistik“ und „Marketing“.
- Verknüpfe den Google Tag Manager mit der CMP, indem du sogenannte Consent-Checks einrichtest: Jeder Tag darf nur starten, wenn die passende Zustimmung vorliegt.
Beispiel: Google Analytics → nur, wenn Statistik-Einwilligung erteilt wurde. Google Ads → nur, wenn Marketing-Einwilligung erteilt wurde.
Schritt 2: GTM nur „minimal“ ohne Einwilligung nutzen
Der Google Tag Manager selbst sollte ohne Einwilligung nichts tracken, sondern nur deine Consent-Logik steuern.
- Stelle sicher, dass im GTM keine Analytics-, Ads- oder Remarketing-Tags aktiv sind, solange keine Zustimmung erteilt wurde.
- Verwende den GTM stattdessen nur als eine Art „Schaltzentrale“, die wartet, bis Consent da ist.
Achtung: Der GTM gilt nur dann als essenziell, wenn er wirklich rein technisch für Consent-Steuerung genutzt wird.
Schritt 3: Alle Google-Ziele korrekt labeln
Damit deine Google-Dienste sauber laufen, musst du sie richtig „labeln“ und an Consent koppeln.
- Google Ads/ Floodlight: Unbedingt so konfigurieren, dass sie nur mit Marketing-Einwilligung feuern. Seit April 2025 lädt der GTM automatisch ein Google Tag nach – prüfe also unbedingt deine Consent-Trigger!
- Google Analytics 4 (GA4): Setze GA4 nur mit Statistik-Einwilligung auf. Der neue Consent Mode v2 kann auch modellierte Daten liefern, wenn Nutzer:innen nicht einwilligen – die Einrichtung läuft direkt im GTM und über deine CMP.
Schritt 4: AV-Verträge & Dokumentation nicht vergessen
Auch rechtlich brauchst du eine solide Basis.
- Prüfe und akzeptiere die Google Ads Data Processing Terms (DPT) in deinem Google-Konto.
- Dokumentiere alle eingesetzten Tools, Empfänger und Zwecke in deinem Verzeichnis von Verarbeitungstätigkeiten.
- Halte außerdem fest, wie lange Daten gespeichert werden und auf welcher Rechtsgrundlage du sie nutzt.
Schritt 5: Datenschutzerklärung aktualisieren
Erwähne die Nutzung des Google Tag Managers transparent in der Datenschutzerklärung deiner Website. Deine Besucher:innen müssen genau wissen, dass du den GTM nutzt.
- Nenne den Google Tag Manager ausdrücklich in deiner Datenschutzerklärung.
- Beschreibe den Zweck (Verwaltung von Tags) und die Rechtsgrundlagen (meist Art. 6 Abs. 1 a DSGVO + TDDDG).
- Weisen auf mögliche Datenübermittlungen in die USA hin (Data Privacy Framework oder SCC).
- Liste alle Tools auf, die über den GTM geladen werden (z. B. Google Analytics, Ads).
- Stelle sicher, dass Nutzer:innen jederzeit ihre Einwilligung widerrufen können (z. B. über das Cookie-Banner).
Schritt 6: Testen, bevor du live gehst
Prüfe, ob alle Einstellungen korrekt funktionieren. Das geht im Google Tag Manager sogar vor Live-gang deiner Website. Nichts ist schlimmer, als Tags, die unbemerkt und trotz fehlender Zustimmung feuern.
- Nutze die Vorschau-Funktion im Google Tag Manager, um zu prüfen, ob deine Tags richtig ausgelöst werden.
- Verwende den Google Tag Assistant (Chrome-Plugin), um zu sehen, welche Tags auf deiner Website aktiv sind.
- Teste dein Consent-Banner: Stimmen Nutzer:innen zu → Tags werden korrekt geladen. Stimmen sie nicht zu → es darf kein Tracking stattfinden.
- Prüfe auch, ob ein Widerruf (z. B. wenn jemand die Einstellungen im Banner ändert) sofort wirksam wird.
Fazit
Best Practices für ein datenschutzkonformes GTM-Setup
CMP sauber anbinden (GTM-Consent Checks/Consent Mode aktiv).
Default = Blocken, bis Einwilligung erteilt ist (alle Statistik- & Marketing-Tags).
Google Ads/Floodlight nur mit Consent triggern (Update April 2025).
Dokumentation & AV-Terms pflegen (Google Ads DPT/DPF Hinweis).
Regelmäßig testen (Tag Assistant und CMP-Debug).
Hinweis
Die Inhalte auf dieser Seite wurden mit größter Sorgfalt erstellt und regelmäßig geprüft. Sie stellen jedoch keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und können eine individuelle Beratung durch eine:n Rechtsanwält:in oder Datenschutz-Expert:in nicht ersetzen. Alle Angaben erfolgen nach bestem Wissen, jedoch ohne Gewähr auf Vollständigkeit, Aktualität oder rechtliche Verbindlichkeit.
Häufig gestellte Fragen zu Datenschutz beim Google Tag Manager
Brauche ich für den Google Tag Manager eine Einwilligung?
In der Praxis ja, weil der Google Tag Manager regelmäßig Tags steuert, die Cookies setzen bzw. personenbezogene Daten verarbeiten. Rechtsquellen raten auch 2025 zur Einwilligung + Nennung in der Datenschutzerklärung.
Setzt der Google Tag Manager selbst Cookies?
Der Google Tag Manager setzt normalerweise keine eigenen Cookies und speichert keine Besucher:innen-Daten – Cookies kommen von den geladenen Tools. Trotzdem müssen diese via Consent Management Plattform (CMP) kategorisiert und vor Consent blockiert werden.
Ist der Google Tag Manager DSGVO-konform?
Ja, der Google Tag Manager kann DSGVO-konform genutzt werden – aber nur, wenn er richtig eingerichtet ist. Dazu gehören: Einwilligungen vor dem Laden nicht notwendiger Tags, transparente Angaben in der Datenschutzerklärung, AV-Verträge mit Google und korrekt konfigurierte Consent-Checks im GTM. Ohne diese Maßnahmen ist der Google Tag Manager nicht datenschutzkonform.
Ist der Google Tag Manager „essenziell“?
Nur, wenn er ausschließlich technisch zur Consent-Steuerung dient und keine nicht notwendigen Tags ohne Einwilligung lädt. In der Realität ist der Google Tag Manager oft nicht essenziell und sollte Consent erfordern.
Was ändert sich für den Datenschutz beim Google Tag Manager in 2025?
Der Google Tag Manager kann seit April 2025 automatisch ein Google Tag laden, bevor Ads/Floodlight-Events feuern – Consent-Checks bleiben hier maßgeblich. Prüfe deine GTM-Konfiguration, damit ohne Einwilligung nichts geladen wird.
Welche Einschränkungen gemäß Datenschutz gibt es beim Google Tag Manager?
Der Google Tag Manager selbst setzt keine Cookies, übermittelt aber technische Daten wie IP-Adressen an Google. Zudem lädt er Dienste nach, die personenbezogene Daten verarbeiten oder Cookies setzen. Damit entstehen Datenschutz-Pflichten wie Einwilligung, Dokumentation, Consent-Gating und Hinweise zu internationalen Datentransfers (z. B. USA).
