Google Tag Manager und das neue Schweizer Datenschutzgesetz revDSG

Was ist Google Tag Manager und warum braucht man das?

Google Tag Manager ist ein kostenloses Tool von Google, das es Unternehmen ermöglicht, verschiedene Marketing- und Analysetools auf ihrer Website einzubinden. Die dazu nötigen Tracking-Codes, z. B. von Google Analytics, Facebook oder anderen Anbietern, können über den Google Tag Manager hinterlegt, geändert und gelöscht werden.

Die Einbindung der Tracking-Codes über den GTM hat im Vergleich mit der direkten Einbindung im Quellcode der Website folgende Vorteile:

• Einfache Integration: Nach dem initialen Set-up ist die Einbindung möglich, ohne auf den Quellcode der Website zuzugreifen. Das macht die Einbindung wesentlich einfacher und öffnet so den Kreis der Personen, welche die Tracking-Codes einpflegen können.
• Schnelle Reaktionszeit: Änderungen an den Tracking-Codes können im Google Tag Manager schnell vorgenommen werden.
• Verbesserte Datenqualität: Durch die einheitliche Struktur der Tracking-Codes wird die Qualität der Daten verbessert.

Kann der Google Tag Manager datenschutzkonform eingesetzt werden?

Google Tag Manager kann personenbezogene Daten wie z.B. IP-Adressen erfassen. Die Überlieferung weiterer Daten durch den Tag Manager ist davon abhängig, welche Skripts eingebaut werden.

Sobald personenbezogene Daten erfasst werden, greifen datenschutzrechtliche Bestimmungen. Das heisst unter anderem, dass die personenbezogenen Daten nur in für den Datenaustausch sicheren Ländern gespeichert werden dürfen. Oder dass, falls die Speicherung in einem “unsicheren” Land unumgänglich ist, die nötigen flankierenden Massnahmen ergriffen werden müssen.

Die Datenschutzkonformität des GTM ist umstritten, da er offiziell keine Daten speichert, sondern nur übermittelt. Google Tag Manager schickt die Daten zu Servern in den USA. Gemäss dem revDSG gehört die USA zu den unsicheren Ländern für den Datenaustausch. Eine Anonymisierung der IP-Adresse ist zum Zeitpunkt der Artikelveröffentlichung nach unserem Kenntnisstand nicht möglich.

Gehört Google Tag Manager in die Datenschutzerklärung?

Ja, du musst Google Tag Manager in deine Datenschutzerklärung aufnehmen und darüber informieren, welche personenbezogenen Daten verarbeitet werden und welche Rechte die betroffenen Personen haben. Zudem muss die Erhebung dieser Daten durch die Nutzer:innen auch verweigert werden können.

Muss man eine Einwilligung über den Cookie-Banner einholen?

Hast du Kunden aus dem Geltungsbereich der DSGVO? Dann ja.

Kannst du diese Frage gar nicht so genau beantworten, oder ist die Antwort nein? Hier wird es kompliziert. Falls du wirklich nur Kunden hast, die von der DSGVO nicht betroffen sind, und das für Neukunden eindeutig auch gelten wird, musst du dich nur an die Bestimmungen des revDSG halten, die eigentlich kein Cookie-Banner verlangen. Aber auch hier gilt, das ist der Stand der aktuellen Unkenntnis. Wie die Rechtsgrundlagen dann konkret ausgelegt werden, muss die Rechtssprechung zeigen.

Solltest du deshalb einfach mal ein Cookie-Banner einrichten, lieber eins zu viel als eins zu wenig? Auch nicht unbedingt ja 😅🙈. Einverständnis abholen ist schön und gut, aber es ist dann auch wichtig, dass dies auf die richtige Art (freiwillig, informiert, spezifisch und unmissverständlich) und für die richtigen Inhalte geschieht, und die technische Umsetzung sauber implementiert ist.

Du siehst, wir können wir leider keine einfache Ja/Nein-Antwort bieten. Falls du für dich zu keiner zufriedenstellenden Lösung kommst, können wir deinen konkreten Fall gerne einmal gemeinsam durchdenken.

Kleiner Exkurs: Wo liegt der Unterschied zwischen revDSG und DSGVO/GDPR?

Grundsätzlich sind die beiden Gesetzesgrundlagen revDSG und DSGVO (Datenschutz-Grundverordnung der europäischen Union, engl. GDPR) vergleichbar, zielen auf (annähernd) dasselbe ab und können deshalb in der Regel auch mit denselben Massnahmen gleichzeitig eingehalten werden.

Aber natürlich wäre die Sache zu einfach, wenn es keine Unterschiede zu beachten gäbe 😉. Die wichtigsten Abweichungen haben wir im Blogartikel “Schweizer revDSG vs. DSGVO/GDPR” kurz und verständlich für dich zusammengetragen. Zudem gibt es in dieser Artikelserie auch eigene Beiträge zu Google Drive, Dropbox und Google Analytics.

Fürs Erste genügt das Wissen, dass die DSVGO/GDPR für dich bindend ist, falls du personenbezogene Daten von Personen aus dem Geltungsbereich der Verordnung bearbeitest.

Das würde heissen, dass deine Website eine Datenschutzerklärung enthalten muss. Zudem musst du mit dem Hosting-Anbieter deines Vertrauens (wir, oder? 🙋🏻‍♀️😉) einen Auftragsverarbeitungsvertrag abschliessen.

Wenn du als Unternehmen in der Schweiz eindeutig keine personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeitest, reicht es, lediglich das revDSG einzuhalten.

Welche datenschutzkonforme Alternative für Google Tag Manager gibt es?

Unsere bevorzugte Empfehlung für eine datenschutzkonforme Webanalyse ist Matomo. Matomo ist eine Open-Source-Software, die ähnliche Funktionen wie Google Analytics bietet. Der Unterschied besteht darin, dass Matomo vollständig quelloffen ist und du die volle Kontrolle über deine Daten behältst.

Als sicheres und zuverlässiges Hosting-Unternehmen bieten wir die Möglichkeit an, Matomo als Managed Application bei uns zu nutzen. Das bedeutet, dass wir die Anwendung für dich betreiben, warten und überwachen. Wir legen grossen Wert auf einen engen persönlichen Kontakt und bieten dir einen effizienten Support, der immer für deine Fragen zur Verfügung steht.

Durch die Verwendung von Matomo als von uns betriebene Applikation kannst du sicher sein, dass deine Daten in der Schweiz gehostet werden und du keinerlei personenbezogene Daten an Dritte weitergeben musst. Auf unserer Produktseite zu Matomo findest du weitere Informationen zu unserem Angebot. Oder du darfst dich jederzeit gerne bei uns melden, damit wir individuell auf deine konkrete Situation eingehen und eine für dich passende Lösung erarbeiten können 💪🏻.