DSGVO-Wissen · google tag manager consent

Google Tag Manager & Consent — warum <head>-Einbettung nicht reicht

Der Google Tag Manager (GTM) wird auf vielen Websites direkt im <head> eingebunden — vor jedem Consent. Das ist seit § 25 TTDSG unzulaessig, weil GTM selbst Cookies setzt und Daten an Google sendet, noch bevor irgendein Tag geladen wird.

Warum ist GTM-im-Head problematisch?

Sobald der GTM-Script-Tag im HTML steht, passiert beim Seitenaufruf bereits Folgendes — auch ohne dass irgendein Tag aktiviert ist:

HTTP-Request an googletagmanager.com mit IP-Adresse, User-Agent, Referer
Setzen eines GTM-Container-Cookies
Laden des dataLayer-Skripts

Das ist bereits ein "Zugriff auf Informationen in der Endeinrichtung des Endnutzers" im Sinne von § 25 Abs. 1 TTDSG — einwilligungspflichtig.

Vgl. auch DSK-Beschluss zum Tracking vom 24. Maerz 2022.

Wann ist GTM ohne Consent okay?

Nur, wenn er ausschliesslich fuer essenzielle Funktionen genutzt wird (z.B. internes Fehler-Tracking ohne personenbezogene Daten). In der Praxis fast nie der Fall.

Saubere Umsetzung: GTM & Consent Mode

Variante 1: Vollstaendiges Blocken bis Consent

Das GTM-Snippet wird gar nicht erst ausgeliefert, sondern erst dynamisch nach Consent eingefuegt. Beispielsweise so:

// in deinem cookie-banner-script
function onConsentGiven() {
  const s = document.createElement('script');
  s.async = true;
  s.src = 'https://www.googletagmanager.com/gtm.js?id=GTM-XXXXX';
  document.head.appendChild(s);
}

Variante 2: Google Consent Mode v2

Google bietet seit 2024 den Consent Mode v2. Damit wird GTM geladen, aber alle Tags warten auf den consent-update-Event. Das Problem: GTM laedt trotzdem — und der reine Container-Load ist nach Auffassung deutscher Aufsichtsbehoerden bereits einwilligungspflichtig.

Consent Mode ist nur dann eine vollstaendige Loesung wenn er mit einem Consent-Tool kombiniert wird, das GTM tatsaechlich blockt bis zur Einwilligung. Cookiebot, Usercentrics und CCM19 koennen das.

Praxis-Tipp

Wenn Sie GTM nur fuer Google Analytics nutzen: pruefen Sie, ob Sie nicht direkt zu einer cookieless Analytics-Alternative wechseln — Plausible, Matomo (self-hosted, IP-anonymisiert) oder Fathom. Diese brauchen keine Einwilligung, weil sie keine personenbezogenen Daten erheben.

Wie erkennt unser DSGVO-Check GTM-Probleme?

Wir holen den HTML-Quelltext und suchen nach Vorkommen von googletagmanager.com, gtm.js oder GTM-. Wenn wir GTM finden aber kein bekanntes Consent-Tool im HTML, melden wir den Verstoss als SICHER.

Wenn ein Consent-Tool wie Cookiebot oder Borlabs erkannt wird, melden wir trotzdem — weil der Container-Load oft trotzdem vor Consent passiert. Das muss dann manuell verifiziert werden.

Hat Ihre Seite GTM ohne Consent?

Wir testen es in 10 Sekunden — ohne Login, ohne Datenangabe.

GTM-Check starten