Google Tag Manager datenschutzkonform einrichten – Die korrekte GTM DSGVO Einwilligung
Endlich! Die Website ist online. Jetzt willst du wissen, wie viele Besucher kommen, woher sie kommen und was sie auf deiner Seite machen. Also installierst du Google Tag Manager (GTM) und Google Analytics 4 (GA4).
Ein paar Klicks, Code-Schnipsel einfügen, fertig. Oder?
Nicht ganz. Denn genau hier beginnt ein datenschutzrechtliches Minenfeld, das dich richtig teuer zu stehen kommen kann.
Das Problem: GTM ist ab Werk rechtswidrig
Google Tag Manager ist ein mächtiges Tool. Aber: Out of the box ist GTM in Europa nicht DSGVO-konform nutzbar.
Warum? Weil der Tag Manager standardmäßig:
- Sofort beim Seitenaufruf Daten an Google-Server sendet (oft in die USA)
- Vor jeder Einwilligung des Besuchers aktiv wird
- Cookies setzt, ohne zu fragen
- IP-Adressen überträgt, ohne Anonymisierung
Das Fatale: Viele Webseitenbetreiber merken das gar nicht. “Ich habe doch einen Cookie-Banner!” ist der häufigste Satz, den ich höre. Ja, aber der läuft parallel – nicht vorgeschaltet.
Ergebnis: Abmahnungen. Datenschutzbehörden. Bußgelder.
Die bessere Alternative: Matomo
Bevor wir in die GTM-Lösung einsteigen, ein Hinweis: Matomo (ehemals Piwik) ist die datenschutzfreundlichere Alternative.
Warum?
- Läuft auf deinem eigenen Server (keine Datenübertragung in die USA)
- Keine Cookies nötig bei entsprechender Konfiguration
- Kein Consent Mode erforderlich
- Deutlich einfacher DSGVO-konform zu betreiben
Wenn du nicht zwingend Google Analytics brauchst, spare dir den Ärger und nimm Matomo.
Tipp: Es gibt viele Tools, die ohne US-Diensten auskommen. In meinem Webinar “Internet ohne USA” erkläre ich am 11. 2., 2026 die wichtigsten. Hier geht es zu den Inhalten des Webinars
Aber: Viele Kunden, Agenturen oder Marketing-Teams bestehen auf Google Analytics. Dann musst du GTM datenschutzkonform einrichten.
Die 5 Schritte für die korrekte GTM DSGVO Einwilligung
1. Consent Mode V2 aktivieren (Pflicht seit März 2024!)
Google hat den Consent Mode V2 eingeführt. Das bedeutet: Der Tag Manager muss VOR dem Laden von Tracking-Skripten die Einwilligung des Nutzers abfragen.
Was du brauchst:
- Einen Cookie-Consent-Banner, der mit GTM kommuniziert (z.B. Cookiebot, Borlabs Cookie, Usercentrics)
- Die Integration des Consent Mode in deinen GTM-Container
Technisch: Du musst im GTM “Consent Overview” aktivieren und für jeden Tag (z.B. GA4) die entsprechenden Consent-Typen setzen:
analytics_storagead_storage(falls Werbung)ad_user_dataad_personalization
Ohne Consent Mode V2: Deine Daten werden in Google Analytics ab März 2024 nicht mehr vollständig verarbeitet. UND du bist rechtswidrig unterwegs.
2. Server-Side Tagging nutzen (oder auf Client-Side verzichten)
Standard-GTM läuft Client-Side – also direkt im Browser des Besuchers. Problem: Daten gehen sofort an Google-Server in den USA.
Lösung:
- Server-Side Tagging: Du richtest einen eigenen Server ein (z.B. via Google Cloud), über den die Daten laufen. So bleiben sie erstmal in Europa.
- Oder: Du akzeptierst die USA-Übertragung und holst dir eine Einwilligung nach Art. 49 DSGVO – explizit für Drittland-Übermittlung.
Realistisch? Für die meisten Freelancer und KMUs ist Server-Side zu komplex und teuer. Also bleibt: Einwilligung einholen.
3. IP-Anonymisierung & Datensparsamkeit
Google Analytics 4 anonymisiert IPs standardmäßig – aber nur teilweise. Die letzten Ziffern werden gekürzt, aber nicht vollständig gelöscht.
Was du tun solltest:
- In GA4-Einstellungen “Google-Signale” deaktivieren (sonst werden Nutzer geräteübergreifend getrackt)
- Datenaufbewahrung auf minimal 2 Monate setzen (nicht 14 Monate!)
- Keine User-ID verwenden, wenn nicht zwingend nötig
4. Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
Google ist dein Auftragsverarbeiter. Du bist Verantwortlicher. Das bedeutet: Du brauchst einen AVV.
Wo?
- Im Google Analytics-Admin-Bereich unter “Kontoeinstellungen” > “Zusatz zur Datenverarbeitung”
- Auch für Google Tag Manager (über dasselbe Menü)
Ohne AVV ist es eine rechtswidrige Datenverarbeitung. Punkt.
5. Datenschutzerklärung aktualisieren
Deine Datenschutzerklärung muss exakt beschreiben:
- Dass du Google Tag Manager und Google Analytics nutzt
- Welche Daten erfasst werden (IP, Gerät, Browser, Verweildauer…)
- Dass Daten in die USA übertragen werden (falls kein Server-Side Tagging)
- Dass Nutzer widersprechen können (Opt-Out via Browser-Add-on)
Generator-Vorlagen reichen oft nicht – sie sind zu pauschal. Lass das von jemandem prüfen, der weiß, was du konkret einsetzt.
Checkliste: Ist dein GTM DSGVO-konform?
- Consent Mode V2 ist aktiviert
- Cookie-Banner blockiert GTM vor Einwilligung
- Auftragsverarbeitungsvertrag mit Google abgeschlossen
- IP-Anonymisierung läuft (GA4-Standard)
- Google-Signale deaktiviert
- Datenaufbewahrung auf Minimum gesetzt
- Datenschutzerklärung aktualisiert und vollständig
- Opt-Out-Möglichkeit erwähnt
Fazit: GTM ist möglich – aber aufwendig
Google Tag Manager datenschutzkonform zu nutzen ist machbar, aber deutlich komplexer als die meisten denken. Die “5-Minuten-Installation” aus YouTube-Tutorials ist in Europa schlicht rechtswidrig.
Meine Empfehlung:
- Wenn du Statistiken brauchst, aber nicht Google-abhängig bist: Nimm Matomo.
- Wenn du GTM nutzen musst: Hol dir professionelle Hilfe oder arbeite dich gründlich ein.
- Wenn du unsicher bist: Lass es lieber bleiben, bis du es richtig machen kannst.
Denn eines ist sicher: Eine Abmahnung kostet mehr als jede Datenschutz-Beratung.
Brauchst du Unterstützung bei der datenschutzkonformen Einrichtung deiner Website? Ich helfe Freelancern und kleinen Unternehmen, ihre Webseiten rechtssicher aufzusetzen – ohne Fachchinesisch, ohne Überraschungen.
Offizielle infos gibt es hier: https://developers.google.com/tag-platform/security/guides/consent