Google Tag Manager und DSGVO: Ist GTM ohne Einwilligung erlaubt?

Der Google Tag Manager (GTM) lädt beim Aufruf deiner Seite das Skript gtm.js direkt von einem Google-Server. Schon dabei wird die IP-Adresse deiner Besucher an Google übertragen — und der Container kann anschließend weitere Tracking-Tags wie Google Analytics, Google Ads oder den Meta-Pixel nachladen, teils bevor jemand einem Cookie-Banner zugestimmt hat. Genau das macht GTM datenschutzrechtlich heikel. Verboten ist das Werkzeug nicht; entscheidend ist, ob die Tags erst nach einer Einwilligung feuern.

  • Erkennt den GTM-Container automatisch
  • Prüft auf vorhandenes Consent-Management
  • Sofort-Report
  • Server in Deutschland 🇩🇪

Lädt deine Seite GTM ohne Consent-Management? Jetzt prüfen

URL eingeben — in unter 60 Sekunden siehst du, ob deine Website den Google Tag Manager (gtm.js) lädt und ob ein Consent-Management-Tool erkannt wird. Kostenlos und ohne Registrierung.

Warum der Google Tag Manager datenschutzrechtlich heikel ist

Der Google Tag Manager ist ein Container- und Tag-Verwaltungswerkzeug von Google. Du bindest einmal ein Snippet ein und steuerst danach alle Tags — Google Analytics, Google Ads, Meta-Pixel und Dutzende mehr — bequem über eine Oberfläche, ohne den Seitencode jedes Mal anzufassen. Praktisch, deshalb ist GTM auf Millionen Websites im Einsatz. Der Haken liegt im Detail: Das Skript gtm.js wird bei jedem Seitenaufruf direkt von googletagmanager.com geladen. Damit baut der Browser eine Verbindung zu Google auf, und dabei wird die IP-Adresse des Besuchers an Google übertragen. Diese Server stehen teils in den USA.

Wichtig für eine ehrliche Einordnung: GTM selbst setzt in der Regel keine eigenen Tracking-Cookies und sammelt keine Analytics-Daten. Er ist ein Lader. Das Problem ist zweigeteilt — die IP-Übertragung beim Laden von gtm.js einerseits und die Tags, die GTM nachlädt, andererseits. Diese Tags setzen häufig Cookies und übermitteln personenbezogene Daten. Feuern sie über den Container, bevor der Besucher eingewilligt hat, liegt der eigentliche Kern des Problems.

Rechtlicher Bezugspunkt ist § 25 TDDDG (das frühere TTDSG, 2024 umbenannt): Das Speichern von Informationen im Endgerät des Nutzers und der Zugriff darauf sind nur mit dessen vorheriger Einwilligung zulässig — es sei denn, sie sind technisch unbedingt erforderlich. Analyse- und Remarketing-Tags sind nicht unbedingt erforderlich. Sie benötigen also eine Einwilligung. Hinzu kommt Art. 6 Abs. 1 DSGVO als Rechtsgrundlage für die Datenverarbeitung sowie die Frage des Drittlandtransfers, wenn personenbezogene Daten an einen US-Anbieter gehen.

Zum Drittlandtransfer mit der gebotenen Vorsicht: Der EuGH erklärte 2020 im Urteil „Schrems II" das damalige Privacy-Shield-Abkommen für ungültig. Seit 2023 besteht das EU-US Data Privacy Framework, unter dem Google zertifiziert ist — das hat die Lage entspannt. Die Übermittlung personenbezogener Daten wie der IP-Adresse an einen US-Konzern bleibt dennoch ein Punkt, den Datenschutzbehörden und Gerichte genau betrachten. Eine pauschale Entwarnung gibt es nicht.

In der Praxis lohnt es, zwei Fälle klar zu trennen:

  • GTM ohne jedes Consent-Management (kein Cookie-Banner, keine CMP): Die Tags feuern ungebremst beim Seitenaufruf. Das gilt als klares Problem und kann abmahnfähig sein beziehungsweise von Behörden beanstandet werden.
  • GTM mit Cookie-Banner / CMP: Das kann konform sein — aber nur, wenn der Consent-Wrapper wirklich greift und die Tags erst nach der Einwilligung feuern. Ein vorhandener Banner allein beweist das noch nicht; man muss den Consent-Wrapper prüfen.

Lädt deine Seite GTM — mit oder ohne Consent? So prüfst du es

Bevor du etwas umstellst, solltest du wissen, ob und wie GTM auf deiner Seite eingebunden ist. Zwei Wege, das selbst zu prüfen:

1. Quelltext durchsuchen

Öffne deine Seite und schau dir den Quelltext an (Rechtsklick → „Seitenquelltext anzeigen" oder Strg+U). Suche mit Strg+F nach googletagmanager.com/gtm.js oder nach einer Container-ID im Format GTM-XXXXXX. Findest du eine dieser Zeichenketten, lädt deine Seite den Google Tag Manager.

2. Netzwerk-Analyse in den Entwicklertools

Drücke F12, wechsle auf den Reiter Netzwerk (Network), lade die Seite neu und filtere nach googletagmanager. Jede Anfrage, die hier bereits beim Laden der Seite — vor jeder Interaktion mit einem Banner — erscheint, ist ein direkter Aufruf an Google. So dokumentieren auch Datenschützer, ob Tags vor der Einwilligung feuern.

Wer es nicht manuell machen will: Der DSGVO Risk Checker übernimmt beide Prüfungen automatisch. Ehrlich zum Umfang — er zeigt dir, ob GTM lädt und ob ein Consent-Management-Tool erkannt wird. Findet er GTM ohne Cookie-Banner, markiert er den Punkt als Verstoß; findet er GTM mit Banner, weist er dich darauf hin, den Consent-Wrapper zu prüfen. Einen vollständigen Tag-für-Tag-Audit, der jeden einzelnen Tag-Trigger testet, leistet der Checker nicht — er ist der schnelle Einstieg, nicht das juristische Schlusswort.

Sicher gehen statt raten

Gib deine URL ein — der Checker durchsucht Quelltext und Netzwerk-Anfragen nach gtm.js und gleicht das Ergebnis mit dem Vorhandensein eines Consent-Tools ab.

Die Lösung: GTM nur mit Einwilligung ausspielen

Der Google Tag Manager lässt sich datenschutzkonform betreiben — der Schlüssel ist, dass nicht-notwendige Tags erst nach der Einwilligung feuern. Dafür gibt es drei gängige, oft kombinierte Bausteine:

1. CMP mit Consent-Triggern

Eine Consent-Management-Platform (etwa Cookiebot, Usercentrics oder Borlabs Cookie) holt die Einwilligung ein und gibt den Status an GTM weiter. Die Tags im Container erhalten Consent-Trigger oder Einwilligungs-Ausnahmen, sodass sie erst nach der Zustimmung des Besuchers ausgelöst werden. Das ist der robusteste Baustein, weil hier die Einwilligung tatsächlich über die Tag-Auslösung entscheidet.

2. Google Consent Mode v2

Consent Mode v2 signalisiert dem Tag Manager und den Google-Tags den Einwilligungsstatus (etwa analytics_storage und ad_storage) und passt deren Verhalten daran an. Seit 2024 setzt Google ihn im EWR für Ads- und Remarketing-Funktionen voraus. Ein Nuance-Hinweis: Im erweiterten Modus laden Tags bereits vor dem Consent und senden „cookielose" Pings an Google. Consent Mode v2 ist daher für sich genommen meist keine vollständige Lösung — er entfaltet seinen Nutzen erst zusammen mit einer CMP, die den Einwilligungsstatus liefert.

3. Server-side GTM

Beim server-side GTM läuft der Container auf einem eigenen Server-Endpunkt (zum Beispiel einer Subdomain), sodass der Browser nicht mehr direkt mit Google spricht. Das gibt mehr Kontrolle darüber, welche Daten das Haus verlassen, und kann direkte Datenflüsse zwischen Besucher und Google reduzieren. Ehrlicher Vorbehalt: Server-side GTM macht das Tracking nicht automatisch einwilligungsfrei. Für nicht-notwendige Tags brauchst du weiterhin eine Einwilligung, und Daten können nach wie vor an Google weitergeleitet werden. Es ist eine Architektur- und Kontrollverbesserung, kein rechtlicher Freifahrtschein.

Ein Hinweis zur Klarstellung im Sinne der Ehrlichkeit: Der DSGVO Risk Checker findet, ob GTM ohne Consent-Management lädt, und ordnet das ein — er richtet weder eine CMP ein noch konfiguriert er Consent Mode oder einen server-side Container für dich. Die Umstellung nimmst du oder dein Webentwickler vor. Genau dafür ist der Befund da: damit du weißt, wo du ansetzen musst. Den Gesamtüberblick liefert der vollständige DSGVO Check.

Google Tag Manager vs. direktes Google Analytics

GTM und Google Analytics werden oft verwechselt — sie sind aber zwei verschiedene Dinge. Bei der direkten Einbindung lädt das Skript gtag.js Google Analytics unmittelbar in die Seite. Beim Tag Manager lädt zunächst der Container, der dann seinerseits Google Analytics und beliebig viele weitere Tags nachladen kann.

Daraus folgt ein häufiges Missverständnis: GTM bedeutet nicht automatisch weniger Risiko. Ein einziger Container kann Analytics, Ads, Meta-Pixel und mehr ausspielen — also potenziell mehr Datenabflüsse bündeln als ein einzelnes, direkt eingebundenes Analytics. Deshalb behandelt der DSGVO Risk Checker beide als getrennte Befunde: einen Prüfpunkt „Google Tag Manager" und einen separaten Prüfpunkt „Google Analytics". Du kannst das eine ohne das andere haben oder beides. Ein grünes Analytics-Ergebnis heißt nicht, dass GTM unbedenklich ist — und umgekehrt.

Was der DSGVO Risk Checker bei GTM prüft

Damit du weißt, was du bekommst — ohne Übertreibung: Der Checker durchsucht den HTML-Quelltext und die tatsächlichen Netzwerk-Anfragen deiner Seite nach dem Aufruf von gtm.js beziehungsweise einer GTM-Container-ID. Das Ergebnis gleicht er mit dem Vorhandensein eines Consent-Tools ab. Wird GTM ohne Cookie-Banner gefunden, markiert er den Punkt als Verstoß und ordnet ihn rechtlich ein. Wird GTM mit Banner gefunden, gibt er den Hinweis aus, den Consent-Wrapper zu prüfen — also nachzusehen, ob die Tags wirklich erst nach der Einwilligung feuern. Findet er keinen GTM, gilt dieser Prüfpunkt als bestanden.

Was der Checker bewusst nicht behauptet: Er entscheidet nicht, ob GTM in deinem Fall „rechtswidrig" ist, und er führt keinen vollständigen Tag-für-Tag-Audit durch. Er zeigt die Fakten — GTM lädt, Consent-Management ja/nein — und überlässt die rechtliche Bewertung dir und gegebenenfalls deinem Anwalt. GTM ist dabei nur einer von über 60 technischen Prüfpunkten. Du bekommst einen priorisierten Überblick, was auf deiner Seite ein Risiko darstellt und in welcher Reihenfolge du es angehen solltest.

Prüfe kostenlos, ob GTM ohne Consent-Management lädt

Kostenloser Scan, kein Konto nötig, sofortiges Ergebnis.

  • Erkennt den Aufruf von gtm.js und GTM-Container automatisch
  • Gleicht GTM mit vorhandenem Consent-Management ab
  • Rechtliche Einordnung statt nur „Fehler gefunden"
  • Konkrete Lösungswege: CMP, Consent Mode v2, server-side GTM
  • 60+ weitere DSGVO-Prüfpunkte inklusive
  • Server in Deutschland — keine Speicherung deiner Inhalte

Häufige Fragen

Braucht der Google Tag Manager eine Einwilligung?

Nicht der Tag Manager selbst als Werkzeug — aber die Tags, die er ausspielt. Sobald GTM nicht-notwendige Tracking-Tags wie Google Analytics, Google Ads oder einen Pixel lädt, greift § 25 TDDDG: Das Speichern und Auslesen von Informationen auf dem Endgerät des Besuchers ist nur mit vorheriger Einwilligung zulässig, sofern es nicht technisch unbedingt erforderlich ist. Lädt GTM solche Tags vor dem Consent, gilt das als datenschutzrechtlich problematisch.

Ist der Google Tag Manager generell verboten?

Nein, GTM ist nicht pauschal verboten. Problematisch ist nicht das Werkzeug an sich, sondern das ungefragte Ausspielen von Tracking-Tags und die Übertragung der IP-Adresse an Google bereits beim Laden des Containers, bevor der Besucher zugestimmt hat. Mit einem korrekten Consent-Setup — etwa über eine Consent-Management-Platform — lässt sich der Google Tag Manager datenschutzkonform betreiben.

Was ist Consent Mode v2 — und reicht er allein aus?

Consent Mode v2 ist ein Google-Framework, das dem Tag Manager und den Google-Tags den Einwilligungsstatus des Besuchers signalisiert (etwa analytics_storage und ad_storage). Seit 2024 setzt Google ihn im EWR für Ads- und Remarketing-Funktionen voraus. Allein reicht er meist nicht: Im erweiterten Modus laden Tags bereits vor dem Consent und senden cookielose Pings an Google. Für eine saubere Lösung kombinierst du Consent Mode v2 mit einer Consent-Management-Platform, die den Einwilligungsstatus tatsächlich liefert.

Hilft server-side GTM beim Datenschutz?

Server-side GTM verlagert den Container auf einen eigenen Server-Endpunkt, sodass der Browser nicht mehr direkt mit Google spricht. Das gibt mehr Kontrolle darüber, welche Daten das Haus verlassen, und kann direkte Datenflüsse zwischen Besucher und Google reduzieren. Es macht das Tracking aber nicht automatisch einwilligungsfrei: Für nicht-notwendige Tags brauchst du weiterhin eine Einwilligung, und Daten können nach wie vor an Google weitergeleitet werden. Server-side GTM ist eine Architektur- und Kontrollverbesserung, kein rechtlicher Freifahrtschein.

Setzt der Google Tag Manager selbst Cookies?

GTM selbst setzt in der Regel keine eigenen Tracking-Cookies und sammelt keine Analytics-Daten — er ist ein Container, der andere Tags lädt. Das Datenschutz-Risiko entsteht durch zwei Punkte: erstens die Übertragung der IP-Adresse an Google beim Laden des Skripts gtm.js, zweitens die Tags, die GTM nachlädt. Diese Tags setzen häufig Cookies und übertragen personenbezogene Daten.

Was prüft der DSGVO Risk Checker bei GTM genau?

Der Checker durchsucht Quelltext und Netzwerk-Anfragen deiner Seite nach dem Aufruf von gtm.js beziehungsweise einer GTM-Container-ID und gleicht das Ergebnis mit dem Vorhandensein eines Consent-Tools ab. GTM ohne Cookie-Banner wird als Verstoß markiert, GTM mit Banner mit dem Hinweis versehen, den Consent-Wrapper zu prüfen. Einen vollständigen Tag-für-Tag-Audit — welcher einzelne Tag bei welchem Consent-Status feuert — führt der Checker nicht durch. Er zeigt, ob GTM lädt und ob ein Consent-Management vorhanden ist.

Verwandte Themen

Pillar: vollständiger DSGVO Check → Verwandt: Google Fonts und DSGVO — abmahnbar? → Verwandt: YouTube einbetten und DSGVO → Verwandt: Google Maps und DSGVO → Verwandt: Google Analytics und DSGVO → Cookie Checker — Banner und Consent prüfen →