Använd Google Tag Manager GDPR-kompatibel – Vad är den juridiska situationen? Den här artikeln informerar dig om hur Google Tag Manager fungerar, det juridiska förhållandet till GDPR och genomförbara lösningar för samtycke för cookies.
Google Tag Manager och cookies – så här fungerar verktyget
Google Tag Manager fungerar som ett verktyg för att hantera och kontrollera cookies, konverteringspixlar eller spårningskoder från program som Google Analytics eller Bing Ads. Själva applikationen arbetar med taggar och triggers och vidarebefordrar – som ofta antas – informationen som samlas in på webbplatsen via cookies direkt till lämpliga verktyg för vidare bearbetning. Själva koderna, som används på webbplatsen för olika ändamål (reklam, spårning…), lagras inte i webbplatsens källkod, utan i en speciell behållare.
Att arbeta med tagghanteraren är effektivt och förenklar hanteringen av spårning och cookies. Även personer med liten IT-erfarenhet kan bädda in de nödvändiga koderna. Detta gäller även driften av tagghanteraren via det enkelt designade och intuitiva webbgränssnittet, som inte heller kräver några expertkunskaper. Dessutom är nästan alla nödvändiga taggar och pixlar vanligtvis tillgängliga som en mall . Användare kan inte bara dra nytta av (nästan) obligatoriska applikationer som Google Analytics, utan även från Bing Ads, Google Ads eller testverktyg som AB Tasty.
Utan en tagghanterare skulle de individuella kodavsnitten behöva infogas i webbplatsens källkod med motsvarande tid. Däremot krävs lämpliga programmeringskunskaper för detta om hemsidan ska fungera korrekt efter ”ingripandet”.
Sekretess för Google Tag Manager
Tag Managerns okomplicerade arbete säkerställer att marknadsföringen i stort sett är oberoende av IT . Detta sparar inte bara tid för företag, utan gör det också möjligt att allokera värdefulla IT-resurser någon annanstans. De många mallarna för Google Tag Manager är lika fördelaktiga. GTM tillhandahåller mallar för program som Google Analytics, Google Ads Remarketing, Hotjar eller Tradedoubler, som du kan lägga till snabbt och enkelt. I detalj drar du nytta av följande fördelar:
- lätt att använda via webbgränssnittet
- Förhandsgranskningsläge effektiviserar taggtestning
- många mallar tillgängliga
- olika taggar, triggers och variabler mallar
- integreras sömlöst i Googles kosmos
Gör Google Tag Manager GDPR-kompatibel
Google Tag Manager har ansetts vara problematisk sedan EG-domstolen upphävde Privacy Shield-avtalet i juli 2020 (” Schrems II ”). Privacy Shield-avtalet föreskrev ursprungligen att europeiska konsumenter kunde förlita sig på samma nivå av dataskydd när de överför data över dammen som de hittar i EU. Problemet: På grund av den rättsliga situationen i USA kan myndigheter få tillgång till data från amerikanska jättar som Microsoft, Google eller Amazon via statlig övervakningslagar. För Google Tag Manager och de applikationer som är kopplade till den innebär detta att dataöverföringen teoretiskt sett i bästa fall kan genomföras över en mycket smal juridisk-teknisk korridor. Men i praktiken: Enligt Schrems II kan applikationer som Google Analytics & Co inte genomdrivas på ett lagligt överensstämmande sätt .
Gäller det även Google Tag Manager? I princip innebär det att Google Tag Manager själv inte sätter några cookies och bara hanterar cookies från AdSense eller Google Analytics i en container. Ur GDPR-perspektivet är problemet tillägget till databehandling (12 april 2021):
”Om du angav att du befinner dig inom Europeiska ekonomiska samarbetsområdet (EES) när du skapade ditt konto, har du redan godkänt databehandlingstillägget som en del av användarvillkoren.”
Google Tag Manager tillägg till databehandling
Dataskyddsförordningen kräver dock transparens, medan informationen om databehandling av sökmotorjätten förblir oklar och vag:
”Vår användning av Google Tag Manager-data
Googles sekretess
Vi kan samla in information som hur tjänsten används och hur och vilka taggar som används. Vi kan använda denna data för att förbättra, underhålla, skydda och utveckla tjänsten enligt beskrivningen i vår sekretesspolicy, men vi kommer inte att dela denna data med någon annan Google-produkt utan ditt medgivande.”
Google hävdar här att det inte länkar någon data till andra Google-tjänster utan samtycke; detta utesluter dock inte på något sätt utlämnande till tredje part. Det är också oklart om insamlingen av data är absolut nödvändig eller om den går utöver ren (teknisk) nödvändighet.
På grund av dessa osäkerheter bör Google Tag Manager aldrig köras utan användarens medgivande . Desto mer som, av allt att döma, Google Tag Manager själv ställer in cookies som ett kontroll- och administrationsverktyg, även om vanliga uttalanden pekar i en annan riktning. Det hävdas att GTM endast skickar data från en webbplats till motsvarande anslutna verktyg.
Enligt denna läsning sker hanteringen av cookies, det vill säga att sätta, ändra och radera, endast i applikationer som Google Analytics. Detta gör att GTM kan arbeta hand i hand med Cookie Consent Managers. Där taggar och utlösare kan blockeras av webbplatsbesökaren från början, ställs inte längre cookies som inte är väsentliga in. Fördelen med central kontroll av viktiga marknadsföringsverktyg är dock borta, eftersom ingen av applikationerna tillåts samla in någon data alls.
I detta sammanhang påpekar bloggar dock att data (IP, webbläsarinformation, språk, …) och eventuellt cookies redan överförs när Google Tag Manager laddas innan Google Analytics och Co. spelas ut. Med tanke på Schrems II är denna situation tveksam, eftersom data skickas över dammen till USA, en stat som efter Schrems II ansågs vara ett ”osäkert tredje land” på grund av många dataskandaler. Ett annat problem är behovet av att förklara alla verktyg som används, inklusive GTM, i enlighet med artikel 13 GDPR, eftersom dessa verktyg åtminstone bör förklaras i dataskyddsdeklarationen .
Hålla sig uppdaterad!
Prenumerera på nyhetsbrevGoogle Tag Manager och opt-in-funktionen
Google Tag Manager visar sig vara mer GDPR-kompatibel när det kommer till opt-in. Bakgrunden: Sedan EG-domstolens avgörande om samtycke till cookies från den 1 oktober 2019 måste användare aktivt samtycka till användningen av cookies och antingen själva klicka på motsvarande kryssrutor eller inte. För att förhindra att cookies ställs in utan aktivt samtycke, ställ in opt-in via Google Tag Manager. Detta säkerställer dataskydd i Google Tag Manager.
För att konfigurera opt-in i Google Tag Manager, skapa en variabel, en utlösare och TAGGEN. Ställ in trigger och blockera analys efter att ha ställt in cookien. Slutligen, implementera en fördefinierad HTML-länk på avtrycks- eller dataskyddssidan på webbplatsen. Om CMS hindrar länken från att implementeras, krävs en onload-händelse genom att ändra koden för taggen och justera triggern därefter.
Att ställa in opt-in-funktionen via Google Tag Manager är relativt okomplicerat på grund av de lättbegripliga instruktionerna som finns tillgängliga online och kräver inte nödvändigtvis djupgående IT-kunskaper.
Google Tag Manager – GDPR och Cookie Consent Tools
Endast om du bortser från problemområdena GDPR och Schrems II kan du fortfarande nämna den grundläggande bekvämligheten med Google Tag Manager som en fördel. Detta är resultatet av den enkla och okomplicerade integrationen av lösningar för samtycke för cookies i Googles applikation. Cookie-samtyckesbannern fungerar som en mellanhand mellan opt-in-alternativen som definieras i GTM och webbplatsbesökaren, som bör vara fri att bestämma om han vill acceptera cookies eller ett urval av dem eller att avvisa alla cookies.
Följaktligen resulterar dataskyddsbestämmelserna i en uppdelning av uppgifter och samarbete mellan lösningar för cookieinnehåll och Google Tag Manager. Google Tag Manager räcker för standardinställningarna för opt-in. För att göra Google Tag Manager DSGVO-kompatibel är lösningar för samtycke för cookies oumbärliga, eftersom de visar webbplatsbesökaren ett urvalsfönster för att samtycka eller avvisa cookies. Så länge användaren inte ger sitt samtycke kommer Google Tag Manager att fortsätta att blockera cookies som ska ställas in. Först när webbplatsbesökaren aktivt samtyckt till cookies kommer motsvarande cookies att lagras på användarens slutenhet.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Cookie-samtyckeslösningar för säkerhet och bekvämlighet
Marknaden erbjuder en mängd olika lösningar för att säkerställa efterlevnad av GDPR samt ePrivacy-direktiv relaterade till cookies och spårning. Det finns lösningar som i princip blockerar alla cookies och trackers och bara släpper dem så fort webbplatsbesökaren samtycker. I det här fallet skulle det teoretiskt sett inte vara nödvändigt att konfigurera opt-in i Google Tag Manager.
Andra lösningar för innehållshantering för cookies erbjuder omfattande tjänster genom att köra alla Google-tjänster i ett nätverk under webbplatsens gränssnitt och generera urvalsfönstret för webbplatsbesökaren. Så här stöder du lösningar för samtycke till cookies för att göra Google Tag Manager DSGVO-kompatibel. Men på grund av den nuvarande rättsliga situationen förvandlas den förmodade bekvämligheten med Google Tag Manager till minerat territorium. Den enda utvägen skulle vara mindre bekväm: varför inte använda en tagghanterare som körs lokalt på din egen server istället för att använda en extern?
Den individuellt anpassade lösningen för varje webbplatsoperatör
Samtyckesbannern är valfönstret som en lösning för samtycke för cookies presenterar för webbplatsbesökaren för att tillåta eller avvisa lagring av cookies. Dessa fönster varierar i användarvänlighet, anpassar sig ofta till webbplatsens layout och interagerar med Google Tag Manager för att säkerställa efterlevnad av GDPR. Eftersom Tag Manager bara avbryter opt-in om webbplatsbesökaren samtycker till lagringen av cookies.
Marknaden erbjuder ett brett utbud av kraftfulla lösningar för samtycke för cookies, även kända som samtyckeshanteringsleverantörer (CMP). I vissa fall kan du optimalt anpassa lösningarna till kraven på ditt företag eller din webbplats. Detta inkluderar integrationen av befintliga analysverktyg, den individuella designen av opt-in-fönstret eller förinställningen av valet av kakor för webbplatsbesökaren.
Som företag har du valet mellan gratis- och betallösningar. Särskilt mindre företag väljer ofta gratislösningar som ett första steg. Se dock till att den valda CMP på ett tillförlitligt sätt uppfyller kraven i GDPR.
GDPR-krav för samtyckeshanteringsleverantörer
GDPR är inte bara en fråga för Google Tag Manager, utan också för kraven för innehållsdesignen för en samtyckesbanner. Dessa punkter bekräftades också av en domstolsdom från EG-domstolen och är därför bindande.
- Mottagarna av uppgifterna ska presenteras tydligt
- tydlig presentation av aktiviteten för databehandling, marknadsföring, analys etc.
- Webbplatsbesökaren måste kunna välja eller avmarkera varje klassificering individuellt
- inget förval av mottagare och aktiviteter
- alla cookies måste blockeras tills användaren samtycker
Andra viktiga punkter som en kraftfull samtyckeslösning måste uppfylla och som du definitivt bör tänka på innan du bestämmer dig för en produkt från leverantören:
- Plats för lagring av samtycke – lokalt på användarenheten eller i en databas (viktigt för webbplatsoperatörens förmåga att tillhandahålla information)
- Vilka alternativ finns det för användaren att återkalla samtycke eller kontrollera status för sitt eget samtycke?
- Längd på kakornas livslängd
- Finns det detaljerad information om behandlingen av uppgifterna?
- Är syftet med en cookie tydligt igenkännbart?
Oavsett om du använder ett betal- eller gratisverktyg: välj endast lösningen för samtycke för cookies från en samtyckeshanteringsleverantör som uppfyller dessa krav.
Slutsats
Naturligtvis: Google Tag Manager förenklar integrationen av vanliga verktyg avsevärt, särskilt för marknadsföringsändamål. Inte desto mindre har integrationen visat sig vara problematisk senast med EG-domstolens dom från juli 2020, kallad Schrems II. Data kommer in i USA genom användningen av GTM (och andra anslutna verktyg) och erbjuder därmed mål för stämningar och böter. Även ur GDPRs perspektiv fungerar Google Tag Manager allt annat än GDPR-kompatibel på grund av oklara uttalanden om ämnet databehandling. En juridiskt felfri integration av GTM är därför nästan omöjlig. Det enda perspektivet som för närvarande återstår är att endast ladda det efter samtycke via en cookie-samtycksleverantör, såsom consentmanager , som en försiktighetsåtgärd. Det betyder dock inte att du är på den säkra sidan.
