Viele Website-Betreiber gehen davon aus, dass Google Tag Manager selbst datenschutzrechtlich harmlos ist – schließlich setzt er keine eigenen Cookies und leitet keine Analysedaten weiter. Das stimmt aber nur halb: Bereits das Laden des GTM-Skripts überträgt die IP-Adresse deiner Besucher an Google-Server, die auch in den USA stehen. Ein deutsches Verwaltungsgericht hat 2025 entschieden, dass das eine Einwilligung erfordert. Es gibt also auch ohne Google Analytics einige Punkte, die du erledigen musst.
Überblick
Was ist Google Tag Manager?
Google Tag Manager ist ein Dienst von Google Ireland Limited, der es Website-Betreibern ermöglicht, Skripte und Tracking-Codes zentral zu verwalten und ohne direkten Eingriff in den Website-Code auf ihrer Seite auszuspielen. Statt jeden Code einzeln einzubauen, wird ein einziges GTM-Script eingebunden, über das alle weiteren Dienste gesteuert werden.
Google Tag Manager – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Google Tag Manager setzt selbst keine Cookies. |
| Externe Verbindungen | 🔴 | Das GTM-Script wird von Google-Servern geladen, dabei wird die IP-Adresse übertragen – Cookie-Banner erforderlich. |
| Datenschutzerklärung | 🔴 | Wegen Datenübertragung an Google und US-Transfer erforderlich. |
| Drittlandtransfer | 🔴 | IP-Adresse wird beim Script-Abruf an Google-Server übertragen, die auch in den USA stehen. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Google muss im GTM-Konto akzeptiert werden. |
| Benutzereingaben | 🟢 | Google Tag Manager selbst erfasst keine Formulardaten. |
Datenverarbeitung
Was passiert, wenn Google Tag Manager auf deiner Website läuft?
Jedes Mal, wenn jemand deine Website aufruft, lädt der Browser das GTM-Script von Google-Servern nach – genauer gesagt von www.googletagmanager.com. Dieser Abruf ist technisch unvermeidbar, weil das Skript direkt von Google kommt. Dabei landet zwingend die IP-Adresse des Besuchers bei Google. Die IP-Adresse gilt als persönliches Datum, weil sie einer Person zugeordnet werden kann.
Wichtig zu verstehen: Das passiert unabhängig davon, welche Tags du im GTM eingerichtet hast. Selbst ein leerer GTM-Container überträgt die IP-Adresse beim Laden. Ein Verwaltungsgericht hat 2025 entschieden, dass bereits dieser Vorgang eine Einwilligung des Besuchers erfordert. Das bedeutet: Dein Cookie-Banner muss das GTM-Script blockieren, bis der Besucher zustimmt.
GTM selbst speichert keine Daten und setzt keine eigenen Cookies. Er ist ein Verteiler – was tatsächlich mit den Besucherdaten passiert, hängt davon ab, welche Dienste du über GTM einbindest, zum Beispiel Google Analytics oder Werbepixel.
Cookies
Setzt Google Tag Manager Cookies?
Google Tag Manager setzt selbst keine Cookies. Cookies entstehen ausschließlich durch die Dienste, die du über GTM auf deiner Website einbindest – also zum Beispiel durch Google Analytics oder Google Ads. Diese Dienste brauchen eigene Einträge in deinem Cookie-Banner und deiner Datenschutzerklärung. GTM als Container ist in dieser Hinsicht neutral.
Externe Verbindungen
Baut Google Tag Manager externe Verbindungen auf?
Ja – und das ist der zentrale Datenschutzpunkt bei Google Tag Manager. Jedes Mal, wenn deine Website geladen wird, ruft der Browser das GTM-Script von www.googletagmanager.com ab. Dabei überträgt der Browser automatisch die IP-Adresse des Besuchers an Google.
Diese Verbindung entsteht beim Seitenaufruf und ist nicht zwingend für den Betrieb deiner Website notwendig. Dein Cookie-Banner muss das Laden von Google Tag Manager blockieren, bis der Besucher zugestimmt hat. Ohne diese Blockierung läuft GTM beim ersten Seitenaufruf automatisch – und das ist seit dem Gerichtsurteil von 2025 nicht mehr zulässig.
Achte in deinem Cookie-Banner darauf, dass GTM explizit als blockierter Dienst eingetragen ist und erst nach Zustimmung geladen wird.
Nutzt du Google Tag Manager auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Google Tag Manager gibt.
Benutzereingaben
Verarbeitet Google Tag Manager Daten aus Formularen?
Google Tag Manager selbst verarbeitet keine Eingaben von Website-Besuchern. Er erfasst keine Formulardaten, keine Suchanfragen und keine anderen aktiven Eingaben. Was Besucher auf deiner Website eingeben, bleibt unberührt von GTM – sofern du über GTM keine Dienste einbindest, die Formulardaten erfassen.
Drittlandtransfer
Werden Daten durch Google Tag Manager in die USA übertragen?
Google Tag Manager überträgt die IP-Adresse deiner Besucher an Google-Server, die auch in den USA stehen. Das Mutterunternehmen Google LLC hat seinen Sitz in den USA.
Die Übertragung in die USA ist aktuell durch eine Vereinbarung zwischen der EU und den USA erlaubt – Google nimmt an diesem Programm teil. Das entbindet dich aber nicht davon, den Transfer in deiner Datenschutzerklärung zu erwähnen und einen Vertrag mit Google abzuschließen.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Google für den Tag Manager?
Google Tag Manager erfordert einen Vertrag mit Google Ireland Limited, weil Google dabei IP-Adressen deiner Besucher in deinem Auftrag verarbeitet. Diesen Vertrag schließt du direkt in deinem GTM-Konto ab: Gehe dort auf Verwaltung, dann Kontoeinstellungen und suche den Punkt „Zusatz zur Datenverarbeitung“. Dort kannst du den Vertrag lesen und akzeptieren.
Alternativ findest du ihn unter business.safety.google/adsprocessorterms. Ohne diesen Vertrag betreibst du GTM ohne die nötige Rechtsgrundlage.
Datenschutzerklärung
Muss Google Tag Manager in der Datenschutzerklärung stehen?
Google Tag Manager muss in deine Datenschutzerklärung, weil dabei Daten deiner Besucher an Google übertragen werden und ein Drittlandtransfer in die USA stattfindet. Folgende Angaben gehören in den Eintrag:
- Zweck: Verwaltung und Einbindung von Skripten auf der Website
- Rechtsgrundlage: Einwilligung
- Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
- Drittlandtransfer: Übertragung in die USA, Google nimmt am EU-US Data Privacy Framework teil
- Speicherdauer: Gemäß den Datenschutzbestimmungen von Google
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Google Tag Manager – Verwaltung von Website-Skripten
Wir verwenden Google Tag Manager, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Beim Laden unserer Website wird ein Skript von den Servern von Google abgerufen. Dabei wird die IP-Adresse des Besuchers an Google übertragen. Google Tag Manager selbst setzt keine Cookies und speichert keine Besucherdaten. Rechtsgrundlage für diese Verarbeitung ist deine Einwilligung.
Da das Mutterunternehmen Google LLC seinen Sitz in den USA hat, können Daten in die USA übermittelt werden. Google nimmt am EU-US-Data-Privacy-Framework teil, das eine Datenübertragung in die USA unter bestimmten Voraussetzungen erlaubt. Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen.
Hinweis: Alle Dienste, die du über Google Tag Manager einbindest – zum Beispiel Google Analytics, Google Ads oder andere Tracking-Dienste – benötigen eigene Einträge in deiner Datenschutzerklärung.
Drittanbieter
Mit welchen Diensten lässt sich Google Tag Manager verbinden?
Google Tag Manager ist als Container konzipiert und kann praktisch beliebige Skripte und Dienste einbinden. Was du einbindest, bestimmst du selbst über das GTM-Interface. Typische Verbindungen sind Analysedienste wie Google Analytics oder andere Web-Analyse-Tools sowie Werbedienste wie Google Ads, Meta Pixel oder LinkedIn Insight Tag.
Daneben lassen sich über GTM auch Conversion-Tracking-Pixel, Heatmap-Dienste, Chat-Widgets und viele andere Skripte verwalten. Jeder dieser Dienste bringt eigene Datenschutzpflichten mit sich und muss separat in deinem Cookie-Banner und deiner Datenschutzerklärung berücksichtigt werden.
Alternative
Brauche ich Google Tag Manager überhaupt?
Viele kleine WordPress-Websites nutzen Google Tag Manager nur, um ein oder zwei Skripte einzubinden – zum Beispiel Google Analytics. Dafür braucht es GTM nicht. WordPress-Plugins wie WPCode oder Code Snippets erledigen genau das direkt in WordPress, ohne einen externen Dienst dazwischenzuschalten.
Das ist kein datenschutzrechtlicher Ersatz – Google Analytics bleibt Google Analytics, egal wie du es einbindest. Aber du sparst dir mit GTM einen zusätzlichen externen Dienst, eine weitere externe Verbindung beim Seitenaufruf, einen eigenen Eintrag in der Datenschutzerklärung und einen Vertrag mit Google.
Wer GTM nur als Wrapper für ein einzelnes Script nutzt, fährt mit einem einfachen Header-Footer-Plugin leichter und mit weniger Datenschutz-Overhead.
Fehler
Diese Fehler passieren häufig bei Google Tag Manager
Der häufigste Fehler ist, dass GTM im Cookie-Banner nicht blockiert wird. Viele Betreiber blockieren nur die einzelnen Dienste wie Google Analytics, vergessen aber, dass GTM selbst bereits beim ersten Seitenaufruf Daten überträgt. Der Container muss als eigenständiger Dienst im Cookie-Banner eingetragen und bis zur Einwilligung gesperrt sein.
Ein weiterer Fehler ist ein fehlender oder nicht akzeptierter Vertrag mit Google. Wer GTM betreibt, ohne den Vertrag im GTM-Konto anzunehmen, verarbeitet Daten ohne die nötige vertragliche Grundlage.
Der dritte klassische Fehler ist ein fehlender Eintrag in der Datenschutzerklärung – oder ein Eintrag, der nur die über GTM geladenen Dienste nennt, nicht aber GTM selbst.
DSGVO-Check
Woran erkennst du, ob Google Tag Manager auf deiner Website aktiv ist?
Google Tag Manager verrät sich durch externe Verbindungen, nicht durch Cookies. Prüfe, ob deine Website beim Aufruf eine Verbindung zu www.googletagmanager.com aufbaut. Das kannst du im Browser über die Entwicklertools (Netzwerk-Tab) sehen, oder du nutzt einen Datenschutz-Scan, der diese Verbindungen automatisch erkennt.
Konkret: Wenn beim Laden deiner Seite Anfragen an www.googletagmanager.com/gtm.js oder www.googletagmanager.com/gtag/js auftauchen, ist Google Tag Manager aktiv. Wenn diese Verbindungen bereits vor einer Zustimmung im Cookie-Banner erscheinen, ist GTM nicht korrekt blockiert.
Quellen und weiterführende Links
- Google Tag Manager – offizielle Produktseite
- Google Tag Manager – Hilfe und Dokumentation
- Google Tag Manager – Zusatz zur Datenverarbeitung (AVV)
- Google Ads – Datenverarbeitungsbedingungen (AVV-Link)
Hast du Google Tag Manager auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Google Tag Manager gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.