Sie dürfen die folgende Muster-Datenschutzerklärung übernehmen, wenn Sie uns als Quelle nennen.

Die Übernahme erfolgt ausschließlich auf Ihr eigenes Risiko. Wir empfehlen die vorherige Überprüfung durch Ihren Fachanwalt.

Muss Google Tag Manager in der Datenschutzerklärung erwähnt werden?

Ja, aber nur kurz. Google Tag Manager selbst setzt keine Cookies und erhebt keine Nutzerdaten. Beim Laden einer Seite wird jedoch eine Verbindung zu www.googletagmanager.com aufgebaut, über die Google technische Daten einschließlich der IP-Adresse protokolliert. Diese Verbindung allein rechtfertigt eine kurze Erwähnung in der Datenschutzerklärung.

Was die Datenschutzerklärung wirklich ausfüllt, sind die über GTM geladenen Tools. Jeder Tag, der Nutzerdaten erhebt oder Cookies setzt (Google Analytics, Google Ads, Meta Pixel, Microsoft Clarity und andere), braucht einen eigenen Abschnitt. GTM ist der Transportweg, nicht der Verarbeiter. Die Länge Ihrer Datenschutzerklärung hängt also nicht davon ab, ob Sie GTM einsetzen, sondern welche Tags darin aktiv sind.

Basis-Muster

Welche Variante für Sie gilt, hängt davon ab, wann GTM in Ihrem Setup geladen wird:

  • Variante A (empfohlen): GTM wird erst nach aktiver Einwilligung des Nutzers geladen. Entspricht der aktuellen Rechtsprechung.
  • Variante B (nicht empfohlen): GTM wird bereits beim Seitenaufruf geladen, bevor der Nutzer eingewilligt hat. Dieser Text beschreibt die Situation korrekt, aber die Situation selbst ist problematisch und sollte behoben werden. Das Ziel sollte sein, das Setup auf Variante A umzustellen. Solange das nicht möglich ist, kann Variante B verwendet werden, auf eigenes Risiko und nach Rücksprache mit einem Fachanwalt.

Gelb markierte Abschnitte müssen Sie auf Ihre Situation zutreffen lassen oder löschen.

Variante A — Einwilligung (rechtssicher, empfohlen)

Nutzung von Google Tag Manager

Wir verwenden Google Tag Manager, um JavaScript-Tags (sogenannte Tags) auf unserer Website zu verwalten. Google Tag Manager selbst setzt keine Cookies und erhebt keine personenbezogenen Daten. Beim Laden einer Seite wird eine technische Verbindung zu Servern von Google hergestellt, dabei wird Ihre IP-Adresse übermittelt.

Google Tag Manager wird uns von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. GTM wird erst nach Ihrer Einwilligung geladen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO.

Über Google Tag Manager werden auf unserer Website folgende Dienste eingebunden, die personenbezogene Daten verarbeiten: Google Analytics, Google Ads, Meta Pixel. Die Datenschutzhinweise zu diesen Diensten finden Sie in den nachfolgenden Abschnitten dieser Datenschutzerklärung.

Quelle: traffic3.net

Variante B — Berechtigtes Interesse (nicht empfohlen)

Diese Variante steht im Widerspruch zur aktuellen Rechtslage. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (Az. 10 A 5385/22) entschieden, dass das Laden von GTM einer Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO bedarf. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) wurde dabei ausdrücklich abgelehnt. Wenn Sie dennoch mit berechtigtem Interesse arbeiten möchten, können Sie den folgenden Text verwenden — auf eigenes rechtliches Risiko und nach Rücksprache mit Ihrem Fachanwalt.

Nutzung von Google Tag Manager

Wir verwenden Google Tag Manager, um JavaScript-Tags (sogenannte Tags) auf unserer Website zu verwalten. Google Tag Manager selbst setzt keine Cookies und erhebt keine personenbezogenen Daten. Beim Laden einer Seite wird eine technische Verbindung zu Servern von Google hergestellt, dabei wird Ihre IP-Adresse übermittelt.

Google Tag Manager wird uns von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. GTM dient ausschließlich als technisches Verwaltungssystem für die auf unserer Website eingesetzten Scripts. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und konsistenten Tag-Verwaltung).

Tracking-Tags, die über GTM eingebunden werden und personenbezogene Daten erheben, werden erst nach Ihrer ausdrücklichen Einwilligung geladen. Die Datenschutzhinweise zu diesen Diensten finden Sie in den nachfolgenden Abschnitten dieser Datenschutzerklärung.

Quelle: traffic3.net

Welche Rechtsgrundlage gilt für GTM?

Die Rechtslage hat sich durch ein aktuelles Gerichtsurteil konkretisiert:

Variante Rechtsgrundlage Bewertung
Einwilligung Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG Rechtssicher. GTM muss erst nach Consent-Erteilung geladen werden. Technisch anspruchsvoll, wenn GTM selbst die Consent-Logik steuert; Lösung: separater CMP-Block vor GTM.
Berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO Steht im Widerspruch zur aktuellen Rechtsprechung. Das VG Hannover (Urt. v. 19.03.2025, Az. 10 A 5385/22) hat Art. 6 Abs. 1 lit. f für GTM ausdrücklich abgelehnt. Keine Behörde hat diese Rechtsgrundlage für GTM bisher akzeptiert.
Technisch notwendig § 25 Abs. 2 Nr. 2 TDDDG Nicht anwendbar: Das VG Hannover hat GTM ausdrücklich nicht als technisch notwendig eingestuft, weil datenschutzfreundlichere Alternativen (Self-Hosting, andere CMP-Lösungen) existieren.

Für alle Setups gilt: Variante A (Einwilligung) ist die einzige Variante, die der aktuellen Rechtsprechung entspricht. GTM wird erst nach Consent-Erteilung geladen, alle darin enthaltenen Tags feuern ebenfalls erst nach Einwilligung.

Server-Side GTM: Was ändert sich in der DSE?

Server-Side GTM ist datenschutzrechtlich ein anderer Fall als der Standard-Client-Side GTM, aber kein unlösbarer. Was genau in die Datenschutzerklärung muss, hängt davon ab, wer den Server betreibt.

Selbst gehosteter Server, gleicher Betreiber wie die Website

Wenn Sie den sGTM-Server selbst betreiben (z.B. auf eigenem VPS oder in Ihrer eigenen Google Cloud-Instanz) und der Server-Betreiber identisch mit dem Website-Betreiber ist, entsteht kein neuer Dritter. In der Datenschutzerklärung beschreiben Sie Ihre eigene Server-Infrastruktur als Verarbeitungsort — ähnlich wie Sie Ihren Webserver oder Ihre Hosting-Umgebung beschreiben würden. Google als Anbieter des GTM-Systems bleibt Auftragsverarbeiter für den Container selbst, aber der Datenfluss läuft über Ihre eigene Infrastruktur, nicht über www.googletagmanager.com.

Externer Dienst (z.B. Stape, Addingwell)

Wenn Sie einen externen Managed-Service für den sGTM-Server nutzen, wird der Anbieter dieses Dienstes zu einem eigenen Auftragsverarbeiter. Er muss namentlich in der Datenschutzerklärung genannt werden — mit Firmensitz, Rolle (Auftragsverarbeiter) und dem Hinweis, dass über diesen Server Nutzerdaten weitergeleitet werden. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Was in beiden Fällen dokumentiert werden muss

Unabhängig vom Betreibermodell beschreiben Sie bei Server-Side GTM: welche Daten auf dem Server verarbeitet werden (typischerweise Browser-Requests mit IP-Adresse, User Agent, Seiten-URL), an welche Drittdienste Daten weitergeleitet werden, und ob IP-Adressen vor der Weiterleitung anonymisiert oder gekürzt werden. Letzteres ist einer der Datenschutzvorteile von sGTM und sollte in der DSE positiv erwähnt werden, wenn zutreffend.

Dieses Muster deckt Server-Side GTM nicht vollständig ab

Die Muster-Texte oben (Variante A und B) beziehen sich auf Client-Side GTM, bei dem der Container von www.googletagmanager.com geladen wird. Für Server-Side GTM müssen Sie die Server-Infrastruktur und den Datenfluss individuell dokumentieren. Die Struktur ist dieselbe — Verarbeitungszweck, Rechtsgrundlage, Empfänger, Speicherdauer — aber der Inhalt muss Ihr konkretes Setup widerspiegeln.

Welche Tools müssen dokumentiert werden?

Öffnen Sie Ihren GTM-Container und listen Sie alle aktiven Tags auf. Für jeden Tag, der Nutzerdaten erhebt, Cookies setzt oder Daten an Dritte überträgt, brauchen Sie einen eigenen Abschnitt in der Datenschutzerklärung. Ob ein Tag über GTM oder direkt eingebunden ist, ändert an dieser Pflicht nichts.

Tag / Dienst Eigener DSE-Abschnitt nötig? Rechtsgrundlage
GTM Container selbst Kurze Erwähnung — dieses Muster Einwilligung (Art. 6 Abs. 1 lit. a) — siehe Abschnitt Rechtsgrundlage
Google Analytics 4 Ja Einwilligung (Art. 6 Abs. 1 lit. a)
Google Ads Conversion Tracking Ja Einwilligung (Art. 6 Abs. 1 lit. a)
Microsoft Clarity Ja Einwilligung (Art. 6 Abs. 1 lit. a)
Microsoft Advertising UET (Bing Ads) Ja Einwilligung (Art. 6 Abs. 1 lit. a)
Meta Pixel (Facebook Pixel) Ja Einwilligung (Art. 6 Abs. 1 lit. a)
Hotjar Ja Einwilligung (Art. 6 Abs. 1 lit. a)
Google Tag (gtag.js) Jein — fällt unter Google Analytics oder Google Ads, kein eigener Abschnitt nötig Einwilligung (Art. 6 Abs. 1 lit. a)
Consent Mode v2 Signal Nein — gehört zur Consent-Lösung Bestandteil des CMP
Custom HTML (eigene Scripts) Kommt auf den Inhalt an Einzelfallprüfung

Einen vollständigen Überblick über alle aktiven Tags erhalten Sie im GTM-Container unter dem Reiter "Tags". Filtern Sie nach Status "Aktiv", um nur die tatsächlich feuernden Tags zu sehen.

Voraussetzungen

Prüfen Sie vor der Verwendung dieses Musters, ob alle folgenden Punkte auf Ihre Situation zutreffen. Trifft ein Punkt nicht zu, muss der Text angepasst werden.

Client-Side GTM

Der GTM-Container wird von Google-Servern geladen (Standard-Implementation). Für Server-Side GTM müssen Sie die Server-Infrastruktur und den Datenfluss individuell dokumentieren; lesen Sie dazu den Abschnitt oben.

Rechtsgrundlage bewusst gewählt

Sie haben entschieden, ob GTM bei Ihnen auf Basis von Einwilligung (Variante A) oder berechtigtem Interesse (Variante B) eingesetzt wird, und das Muster entsprechend angepasst. Bei Unsicherheit empfehlen wir Variante A.

Alle aktiven Tags dokumentiert

Jeder Tag im Container, der Nutzerdaten erhebt oder Cookies setzt, hat einen eigenen Abschnitt in Ihrer Datenschutzerklärung. Die Tabelle oben gibt einen Überblick über häufige Tags und ihre Dokumentationspflicht.

Consent-Logik korrekt implementiert

Tracking-Tags feuern erst nach aktiver Einwilligung des Nutzers, entweder über Consent Mode v2 oder über Trigger-Bedingungen in GTM, die auf das Consent-Signal des CMP reagieren. Bei Variante A muss zusätzlich GTM selbst erst nach Consent geladen werden.

GTM-Setups sind individuell. Welche Tags aktiv sind, welche Rechtsgrundlage für Ihren konkreten Einsatz passt und ob die Consent-Logik korrekt greift, lässt sich nur im konkreten Container beurteilen.

Tag-Infrastruktur und Datenschutzerklärung prüfen

Wir prüfen welche Tags in Ihrem GTM-Container Nutzerdaten erheben, ob die Consent-Integration korrekt greift und ob Ihre Datenschutzerklärung alle aktiven Tags abdeckt. Sie erhalten eine klare Bestandsaufnahme mit konkretem Handlungsbedarf.

Setup prüfen lassen

Häufige Fragen

Braucht Google Tag Manager einen eigenen Cookie-Consent-Banner?
Ja. Nach dem Urteil des VG Hannover (19.03.2025, Az. 10 A 5385/22) bedarf das Laden von GTM selbst einer Einwilligung nach § 25 Abs. 1 TDDDG — GTM darf also erst nach Consent-Erteilung geladen werden. Zusätzlich brauchen Sie Einwilligungen für alle über GTM geladenen Tracking-Tools wie Google Analytics, Google Ads oder Meta Pixel.
Ist berechtigtes Interesse als Rechtsgrundlage für GTM zulässig?
Nein — zumindest nach der aktuellen Rechtsprechung nicht. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (Az. 10 A 5385/22) Art. 6 Abs. 1 lit. f DSGVO für GTM ausdrücklich abgelehnt. Die Begründung: Die Übertragung der IP-Adresse an Google-Server in den USA bei jedem Seitenaufruf überwiegt die wirtschaftlichen Interessen des Website-Betreibers, zumal datenschutzfreundlichere Alternativen existieren. Keine Datenschutzbehörde hat berechtigtes Interesse für GTM bisher als ausreichend anerkannt. Die einzige rechtssichere Rechtsgrundlage für GTM ist Einwilligung.
Setzt Google Tag Manager selbst Cookies?
Nein. GTM selbst setzt keine Cookies. Beim Laden einer Seite baut der Browser eine Verbindung zu www.googletagmanager.com auf, dabei wird die IP-Adresse übermittelt. Das ist technisch notwendig, um das Script zu laden. Alle Cookies, die Sie in Ihrem Browser sehen, stammen von den über GTM eingebundenen Tools, nicht von GTM selbst.
Was ist der Unterschied zwischen Google Tag Manager und gtag.js?
Google Tag Manager ist ein Container-System, über das Sie beliebige Tags verwalten und ohne Codeänderungen an der Website aussteuern können. gtag.js (Global Site Tag) ist ein direktes JavaScript-Snippet, das spezifisch Google-Dienste wie Analytics oder Ads anspricht. Wird gtag.js über GTM geladen, gilt datenschutzrechtlich das Gleiche wie bei direkter Einbindung: Analytics und Ads brauchen weiterhin eigene DSE-Abschnitte.
Ich lade Google Analytics über GTM — brauche ich in der DSE einen Abschnitt für GTM und einen für Analytics?
Ja, aber der GTM-Abschnitt ist kurz. GTM erhält eine kurze Erwähnung als technischer Transportweg (dieses Muster). Google Analytics erhält einen eigenen, ausführlichen Abschnitt mit Cookies, Speicherdauer, Drittlandtransfer und Widerrufsmöglichkeit. Ob Analytics direkt oder über GTM eingebunden ist, ändert an den Anforderungen an den Analytics-Abschnitt nichts.
Wie prüfe ich, welche Tags in meinem GTM-Container aktiv sind?
Öffnen Sie Ihren GTM-Container und navigieren Sie zu "Tags". Alle dort aufgelisteten Tags sind grundsätzlich im Container vorhanden. Um zu sehen, welche tatsächlich auf Ihrer Website feuern, nutzen Sie den GTM-Vorschaumodus (Schaltfläche "Vorschau" oben rechts im Container). Der Vorschaumodus zeigt in Echtzeit, welche Tags bei welcher Nutzeraktion ausgelöst werden.
Brauche ich einen AVV mit Google für GTM?
Ja. Google Ireland Limited verarbeitet als Auftragsverarbeiter die Konfigurationsdaten Ihres GTM-Containers und die technischen Verbindungsdaten beim Laden des Scripts. Google stellt dafür Standardbedingungen zur Auftragsverarbeitung bereit, die automatisch mit Akzeptanz der GTM-Nutzungsbedingungen gelten — Sie müssen keinen separaten Vertrag abschließen. Wenn Sie Server-Side GTM über einen externen Anbieter wie Stape oder Addingwell betreiben, müssen Sie zusätzlich einen AVV mit diesem Anbieter abschließen.
Was ändert sich durch das TDDDG für GTM-Setups?
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) hat das TTDSG abgelöst und regelt seit Dezember 2024 den Einsatz von Cookies und ähnlichen Technologien in Deutschland. Für GTM selbst ändert sich wenig: GTM setzt keine Cookies, daher greift § 25 TDDDG für den Container direkt nicht. Für die über GTM geladenen Tracking-Tools (Analytics, Ads, Pixel) gilt § 25 TDDDG unverändert — Cookies dürfen nur nach aktiver Einwilligung oder wenn sie technisch zwingend erforderlich sind gesetzt werden. In der Praxis ändert das TDDDG für die meisten GTM-Setups gegenüber dem TTDSG nichts an der Vorgehensweise.
Was muss ich in der Datenschutzerklärung schreiben, wenn ich Server-Side GTM nutze?
Das hängt davon ab, wer den sGTM-Server betreibt. Betreiben Sie den Server selbst und sind gleichzeitig Website-Betreiber, beschreiben Sie Ihre eigene Server-Infrastruktur als Verarbeitungsort — es entsteht kein neuer Dritter. Nutzen Sie einen externen Anbieter wie Stape oder Addingwell, muss dieser als Auftragsverarbeiter in der DSE genannt werden, und ein AVV nach Art. 28 DSGVO ist erforderlich. In beiden Fällen müssen Sie beschreiben, welche Daten über den Server laufen und an welche Drittdienste sie weitergeleitet werden. Lesen Sie dazu den Abschnitt Server-Side GTM weiter oben.

Weitere Muster-Datenschutzerklärungen

Datenschutz · Muster

Muster-Datenschutzerklärung für Google Analytics

Kostenlose Vorlage für die DSGVO-konforme Datenschutzerklärung beim Einsatz von Google Analytics 4, inkl. Remarketing, Google Signals und Server-Side Tracking.

Weiterlesen

Datenschutz · Muster

Muster-Datenschutzerklärung für das Meta-Pixel (Facebook-Pixel)

Kostenlose Vorlage für die DSGVO-konforme Datenschutzerklärung beim Einsatz des Meta-Pixels, inkl. Voraussetzungen und FAQ.

Weiterlesen

Datenschutz · Muster

Muster-Datenschutzerklärung für Google Ads

Conversion Tracking, Enhanced Conversions und Remarketing in einer Vorlage. Kostenlos, frei verwendbar mit Quellenangabe.

Weiterlesen

Datenschutz · Muster

Muster-Datenschutzerklärung für Microsoft Clarity

Kostenlose Vorlage für die DSGVO-konforme Datenschutzerklärung beim Einsatz von Microsoft Clarity, mit Cookie-Übersicht und Masking-Konfiguration.

Weiterlesen