Google Tag Manager und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Google Tag Manager (GTM) ein, verarbeitet er über die an GTM angebundenen Tags Nutzer- und Interaktionsdaten zum Zweck der Website-Optimierung, des Marketings und der Analytik auf Basis von Einwilligung und/oder berechtigten Interessen. Google Tag Manager selbst ist ein Container-System ohne eigenständiges Tracking; die eigentliche Datenverarbeitung erfolgt durch die in GTM konfigurierten einzelnen Tags (wie Google Analytics, Facebook Pixel, LinkedIn Insight Tag). Die vorliegende Anleitung behandelt GTM als zentrale Integrations- und Verwaltungsplattform sowie die Anforderungen an die Datenschutzerklärung bei ihrem Einsatz. Stand: 2026-04-22.

A. Zweck und Funktionsweise von Google Tag Manager

Google Tag Manager ist ein Tag-Container-System von Google Ireland Limited. Es ermöglicht Webseitenbetreibern, Tracking-Codes und Pixel-Implementierungen (Tags) zentral zu verwalten, zu konfigurieren und zu aktivieren – ohne dabei den Website-Code direkt ändern zu müssen. Ein Tag ist typischerweise ein Code-Snippet, das Nutzerdaten an einen Dienst überträgt (z.B. Google Analytics, Facebook Pixel, LinkedIn Insight Tag, Bing Ads, Adobe Analytics).

Zentrale Funktionen:

• Zentrale Verwaltung von Tracking-Codes und Pixel
• Bedingte Auslösung von Tags (Trigger) basierend auf Nutzerverhalten
• Datenschicht-Management zur Datenaufbereitung vor Versand an Zieldienste
• Versionskontrolle und Audit-Funktionen

Wichtig: Google Tag Manager selbst erhebt KEINE eigenen Cookies oder Nutzungsdaten. Es ist ein reines Verwaltungswerkzeug (Container). Die eigentliche Datenverarbeitung geschieht durch die einzelnen, in GTM konfigurierten Tags. Daher sind die Datenschutzpflichten für GTM nachgelagert: Der Webseitenbetreiber muss offenbaren, WELCHE Tags er nutzt und welche Daten DIESE an ihre Zieldienste übermitteln.

Diese Anleitung konzentriert sich auf GTM als Container-Infrastruktur. Für die einzelnen Tags (Analytics, Ads, Pixel) gelten zusätzliche, eigene Datenschutzanforderungen.

B. Pflichtangaben in der Datenschutzerklärung zu Google Tag Manager

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber, die Nutzerdaten erheben, in ihrer Datenschutzerklärung folgende Angaben machen:

• Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c)
• Rechtsgrundlagen (Art. 13 Abs. 1 lit. d)
• Berechtigte Interessen, sofern Art. 6 Abs. 1 lit. f DSGVO Grundlage ist (Art. 13 Abs. 1 lit. d)
• Kategorien von Empfängern (Art. 13 Abs. 1 lit. e)
• Drittlandtransfers und Schutzgarantien (Art. 13 Abs. 1 lit. f)
• Speicherdauer oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
• Besondere Datenkategorien (Art. 14 Abs. 1 lit. d), sofern verarbeitet

Diese Angaben müssen in der Datenschutzerklärung für Google Tag Manager aufgeschlüsselt sein. Allerdings hat sich in der Praxis eine problematische Konvention etabliert: viele Datenschutzerklärungen enthalten toolspezifische Textbausteine (z.B. ein ganzer Absatz nur für Google Analytics, ein weiterer nur für Facebook Pixel etc.). Dies führt zu aufgeblähten, unübersichtlichen Datenschutzerklärungen und verstößt gegen Art. 12 Abs. 1 DSGVO (Anforderung der Verständlichkeit).

Besserer Ansatz: Ein themenorientierter Aufbau, bei dem Zwecke, Rechtsgrundlagen und Datenarten zentral erklärt werden und die Empfänger in einem Anhang (Empfängertabelle) strukturiert aufgelistet sind. So wird GTM und seine nachgelagerten Tags transparent, ohne die Lesbarkeit zu beeinträchtigen.

C. Anbieter von Google Tag Manager: Google Ireland Limited

Juridische Basis:

• Vollständiger Name: Google Ireland Limited
• Anschrift: Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irland
• Sitzland: Irland (Europäischer Wirtschaftsraum)
• Mutterkonzern: Google LLC (USA) – allerdings ist für GTM selbst Google Ireland Limited die europäische Vertragspartei

Data Privacy Framework (DPF): Google LLC und seine US-Tochtergesellschaften haben sich zum EU-US Data Privacy Framework verpflichtet und sind zertifiziert. Dies bedeutet, dass Datenübermittlungen in die USA auf Basis von Art. 45 DSGVO (Angemessenheitsbeschluss der EU-Kommission) zulässig sind.

Datenschutzerklärung: https://policies.google.com/privacy?hl=de

Auftragsverarbeitungsvertrag (AVV/DPA): Google Ireland Limited stellt einen Standard-Auftragsverarbeitungsvertrag zur Verfügung. Dieser ist im Google-Konto unter Verwaltung > Kontoeinstellungen > Zusatz zur Datenverarbeitung verfügbar. Der AVV regelt die technischen und organisatorischen Maßnahmen Googles als Auftragsverarbeiter. Allerdings sollte berücksichtigt werden: Manche Rechtsexperten argumentieren, dass Google – wie bei der Google-Analytics-Saga – bei Einsatz von GTM auch in eigene Verarbeitungszwecke involviert sein könnte, insbesondere wenn Google Nutzungsdaten aus GTM zu Optimierungs- oder Marketingzwecken nutzt. Eine Einzelfallprüfung durch den Webseitenbetreiber ist daher zu empfehlen.

D. Datenverarbeitung durch Google Tag Manager – Ablauf

E. Erhobene Daten beim Einsatz von Google Tag Manager

Google Tag Manager selbst ist ein Container und erhebt keine eigenen Daten. Allerdings werden über GTM Daten in die Website eingebettet und weitergeleitet. Je nach Konfiguration der einzelnen Tags können folgende Datenkategorien verarbeitet werden:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Bei jeder HTTP-Anfrage: IP-Adresse, Datum/Uhrzeit/Zeitzone, angeforderte URL, Referrer-URL, Browser-Typ/Betriebssystem/Gerätetyp, technische Header-Metadaten
• Klickpfade: Besuchte Seiten inklusive Referrer, angeklickte Links und Schaltflächen mit Datum und Uhrzeit
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Geräteausrichtung, Touch-Unterstützung, verfügbare Speicherkapazität
• Browserinformationen: Browsername, Browserversion, installierte Browser-Erweiterungen
• Conversion-Ereignisse: Registrierung, Warenkorberstellung, Produktkauf, Terminbuchung, Kontaktanfrage, Download, Videoansicht, Aufruf bestimmter Seiten
• Interaktionsdaten: Scrollbewegungen, Mausbewegungen, Tastendrücke, Mauszeigerposition, Touch-Bewegungen, Klick-Dauer
• Technische Telemetriedaten: Fehlermeldungen, JavaScript-Fehler, Ladezeiten, Datenvolumen, Netzwerk-Latenz

Hinweis: Die tatsächlich erhobenen Daten hängen von der jeweiligen Tag-Konfiguration ab. Der Webseitenbetreiber sollte ein Verzeichnis der in GTM konfigurierten Tags führen und deren jeweilige Datenschutzerklärungen kennen.

F. Nutzungszwecke beim Einsatz von Google Tag Manager

Die Zwecke der Datenverarbeitung durch GTM sind vielfältig und ergeben sich aus der Konfiguration. Google Tag Manager selbst ermöglicht die Verfolgung dieser Zwecke, fungiert aber nicht als eigenständiger Datenverantwortlicher. Allerdings unterstützt GTM folgende typische Zwecksetzungen:

• Funktionsbereitstellung: Erbringung und Gewährleistung der Website-Funktionalität, Fehlererkennung und -behebung
• Allgemeine Produktverbesserung: Optimierung auf Basis häufig aufgerufener Inhalte und Funktionen, Geschäftsplanung
• Allgemeines Marketing: Ausrichtung von Werbekampagnen insgesamt, Erfolgsmessung und Reichweitenanalyse
• Nutzerprofil-Erstellung: Ermittlung von Nutzerinteressen, demographischen Merkmalen, Segmenten (Audience Segmentation)
• Nutzerindividuelles Marketing: Remarketing, Anzeige interessenbezogener Inhalte, Personalisierte Werbung in Werbenetzwerken, Direktmarketing
• Sicherheit und Missbrauchsschutz: Erkennung und Prävention von Angriffen, Spam- und Botabwehr, Betrugsprävention

Hinweis: Die konkrete Zwecksetzung ergibt sich aus den einzelnen Tags, nicht aus GTM selbst.

G. Rechtsgrundlagen für Google Tag Manager

Google Tag Manager als Container: Google Tag Manager ist primär ein Verwaltungstool und wird oft auf Basis von berechtigten Interessen des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) betrieben: effiziente Verwaltung von Tracking-Code, Datenqualität, Website-Optimierung.

Die über GTM geladenen Tags unterliegen eigenen Rechtsgrundlagen:

• Marketing-Tracking-Tags (Meta Pixel, LinkedIn Insight Tag, Microsoft Ads, Google Ads): Typischerweise Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (Elektonische Haftungsausschluss-Richtlinie). Diese können auch erst NACH Einwilligung (z.B. via Cookie-Consent-Banner) geladen werden.
• Analytics-Tags (Google Analytics): Kann auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f) oder Einwilligung erfolgen, abhängig von Umfang und Konfiguration.
• Google Tag Manager-Container selbst: Eher berechtigte Interessen (technische Verwaltung); die Daten-Tags funktionieren nach ihren eigenen Rechtsgrundlagen.

Praktischer Tipp: Der Webseitenbetreiber sollte ein Cookie-Consent-Banner einsetzen und darin GTM sowie die einzelnen Tags (Analytics, Ads, Pixel) einzeln listet – nicht als "Google Tag Manager", sondern mit klarem Bezug zu den dahintersteckenden Diensten.

H. Besonderheiten und Hinweise zu Google Tag Manager

1. Google Tag Manager ist kein eigenständiger Tracking-Dienst GTM ist ein Container, kein Tracking-Dienst. Daher sollten Datenschutzerklärungen nicht so klingen, als würde GTM selbst Daten sammeln. Die Kommunikation sollte klar machen: GTM verwaltet Tags, die von Drittanbietern (Google Analytics, Facebook, etc.) die Daten erfassen.

2. Einwilligungspflicht und Verwaltungsgerichtshof Hannover (März 2025) Das Verwaltungsgericht Hannover hat entschieden, dass Google Tag Manager erst NACH Einwilligung geladen werden darf, wenn es Cookies setzt oder zur Aktivierung von Cookie-basierten Tags dient. Dies bedeutet: Ein Cookie-Banner sollte VOR dem Laden von GTM angezeigt werden.

3. Auftragsverarbeitungsvertrag (AVV) Google Ireland Limited stellt einen Standard-AVV zur Verfügung. Dieser ist im GTM-Konto abrufbar. Allerdings sollten folgende Punkte überprüft werden:

• Der AVV deckt nur GTM selbst ab, NICHT die nachgelagerten Tags
• Für jedes Tag (Google Analytics, Meta Pixel etc.) sollte ein eigener AVV oder ein entsprechender Datenschutzzusatz vorhanden sein
• Die Rechtskraft des AVV wird von Experten diskutiert, besonders bei eigenen Verarbeitungszwecken Googles

4. Datenübermittlung in die USA Google LLC und Tochtergesellschaften sind DPF-zertifiziert. Dies ermöglicht Datenübermittlungen auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Eine zusätzliche Sicherungsmaßnahme durch Standard Contractual Clauses (SCCs) ist empfohlen, aber bei DPF-Zertifizierung nicht obligatorisch.

5. Opt-Out und Kontrolle Nutzer können das Laden von GTM in ihrem Browser blockieren (z.B. durch Skript-Blocker). Allerdings ist dies eine technische, keine rechtliche Maßnahme. Ein echtes Opt-Out ist nur durch Einwilligung möglich (Einwilligung kann jederzeit widerrufen werden).

I. FAQ zu Google Tag Manager

J. Fazit und Empfehlung zu Google Tag Manager

Google Tag Manager ist ein flexibles und von vielen Webseitenbetreibern genutztes Tag-Management-System. Es ist selbst kein Datencollector, sondern ein administratives Verwaltungswerkzeug. Die Datenschutzherausforderung entsteht durch die Vielzahl der Ziel-Tags: Jedes Tag hat eigene Datenverarbeitungspflichten und Rechtsgrundlagen. Eine Datenschutzerklärung, die GTM in einem separaten Absatz behandelt, wird dem System nicht gerecht und führt zu unpraktischen, unübersichtlichen Texten, die gegen Art. 12 Abs. 1 DSGVO (Verständlichkeit) verstoßen.

Empfehlung: Ein themenorientierter Aufbau in der Datenschutzerklärung, bei dem Zwecke (Website-Optimierung, Marketing, Analytics) zentral erklärt werden und eine strukturierte Empfängertabelle alle in GTM konfigurierten Dienste auflistet, ist praktikabler und DSGVO-konformer. Dies fördert Transparenz und reduziert rechtliche Risiken. Die von matterius bereitgestellte Website-Datenschutzerklärung-Generator-Suite unterstützt diesen integrierten Ansatz.