Zum Inhalt springen
konfora
Tracker & Analyse

Google Tag Manager & DSGVO: Warum der Lader selbst ein Risiko sein kann

Google Tag Manager (GTM) ist ein Container, über den Website-Betreiber andere Skripte — Analytics, Pixel, Werbe-Tags — zentral ausspielen. GTM selbst erhebt keine klassischen Statistikdaten, lädt aber von Google-Servern und kann Dienste auslösen, die ihrerseits einwilligungspflichtig sind. Das eigentliche Risiko liegt meist in den Tags, die GTM feuert.

Kostenlos prüfenBeispiel-Report ansehen

Das Risiko

  • GTM kann Tags laden, die schon vor einer Einwilligung Cookies setzen oder Daten an Dritte senden — der Container wird so zur Quelle einwilligungspflichtiger Vorgänge.
  • Der Container-Code selbst lädt von einem US-Server (googletagmanager.com); ob das einen Transfer auslöst, hängt von der Konfiguration ab.
  • Ohne sauberes Consent-Gating im Container können auch „pausierte“ Tags früher feuern als beabsichtigt.

Wie konfora das erkennt

konfora erkennt den GTM-Container am Lade-Request und ordnet ihn der Kategorie Tracker & Analyse zu. Erkannt werden u. a.:

  • googletagmanager.com/gtm.js
  • googletagmanager.com/gtag/destination

Was im Report steht

  • Ein Befund „Google Tag Manager“ mit standardmäßiger Severity Warnung.
  • Belege: die kontaktierten Hosts, Beispiel-Request-URLs, die Anzahl passender Requests und das Vendor-Land (US).
  • Häufig zusätzlich eigenständige Tracker-Befunde (z. B. GA4 oder Meta Pixel), wenn GTM diese Tags ausspielt.

Typische Maßnahmen

  • Konfiguriere im Container ein verlässliches Consent-Gating, sodass marketing- und analytics-relevante Tags erst nach Zustimmung feuern.
  • Verschaffe dir einen Überblick über alle im Container hinterlegten Tags und entferne nicht mehr benötigte.
  • Lass die Datenschutzerklärung mit DSB oder Kanzlei prüfen, damit sie die per GTM ausgespielten Dienste vollständig abbildet.

Grenzen der automatischen Prüfung

Der Check macht technische Hinweise sichtbar und hilft beim Priorisieren. Er ist kein Rechtsgutachten, keine Vollständigkeitsgarantie und ersetzt keine fachkundige Prüfung durch eine Datenschutzbeauftragte oder eine Kanzlei.

  • konfora liest nicht den internen Container-Inhalt aus, sondern erkennt GTM und die tatsächlich gefeuerten Requests beim Seitenaufruf.
  • Welche Tags wann auslösen, hängt von Trigger-Bedingungen ab, die maschinell nicht vollständig nachvollziehbar sind.
Prüfbereich · Tracker & Analyse

konfora prüft als einen von 16 Bereichen automatisiert, welche Dienste deine Seite lädt, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Den schnellen, kostenlosen ersten Eindruck bekommst du im Schnellcheck. Der Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo); den Zugang bekommst du per Magic-Link an deine E-Mail.

Kostenlos prüfenReport ansehen

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.