Google Tag Manager nur mit Einwilligung – Urteil bringt Klarheit?

Ein verbreiteter Irrtum: Der GTM wird oft als rein „technisches Werkzeug" angesehen, das selbst keine Daten verarbeitet. Tatsächlich zeigt das Urteil des VG Hannover, dass der GTM beim Laden einer Webseite bereits Daten wie IP-Adressen und Geräteinformationen an Google übermittelt. Damit ist der Dienst nicht datenschutzneutral, sondern zustimmungspflichtig.

Urteil verpflichtet: Google Tag Manager nur noch mit Einwilligung einsetzbar

Viele Website-Betreiber setzen den Google Tag Manager (GTM) ein, um Tracking- und Marketing-Skripte zentral zu steuern und gezielt auszulösen – zum Beispiel für Google Analytics, Facebook Pixel oder Conversion-Tracking.

Oft wird übersehen, dass der GTM bereits beim ersten Laden einer Seite personenbezogene Daten wie IP-Adressen und Geräteinformationen übermittelt, noch bevor Nutzer überhaupt die Möglichkeit haben, eine Einwilligung zu erteilen.

Ein aktuelles Urteil des Verwaltungsgerichts Hannover vom 19. März 2025 bringt jetzt Klarheit: Der Einsatz des Google Tag Managers erfordert eine vorherige Einwilligung der Nutzer. Ohne aktives Opt-in verstößt die Einbindung gegen DSGVO und TDDDG.

Für Betreiber von Webseiten bedeutet das: Wer GTM weiterhin ungeprüft einsetzt, geht ein erhebliches Datenschutz- und Haftungsrisiko ein. Gleichzeitig zeigt das Urteil, wie wichtig eine korrekte technische Umsetzung ist – denn eine bloße Absicht zur Einhaltung reicht nicht aus.

Was das Urteil des VG Hannover genau sagt

Das Verwaltungsgericht Hannover hat mit seinem Urteil vom 19. März 2025 (Az. 10 A 5385/22) klargestellt, dass der Einsatz des Google Tag Managers ohne vorherige Einwilligung gegen geltendes Datenschutzrecht verstößt.

In dem zugrunde liegenden Fall hatte ein Verlag gegen eine datenschutzrechtliche Anordnung geklagt. Das Gericht bestätigte jedoch die Auffassung der Aufsichtsbehörde:

Auf der betreffenden Website wurde der Google Tag Manager bereits beim Aufruf der Seite aktiv – noch bevor der Nutzer mit dem Einwilligungsbanner interagieren konnte.

Dabei wurden personenbezogene Daten wie IP-Adressen und Gerätedaten an Server von Google in den USA übermittelt. Zusätzlich wurde ein JavaScript (gtm.js) auf dem Gerät gespeichert, das unter anderem Informationen für sogenanntes Browser-Fingerprinting abruft.

Das Gericht bewertete den Google Tag Manager in diesem Zusammenhang nicht als bloßes Werkzeug zur Steuerung anderer Dienste, sondern als datenschutzrelevanten Dienst, der selbst Daten verarbeitet. Entsprechend ist für den Einsatz eine wirksame Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO erforderlich und zwar vor der erstmaligen Ausführung.

Zudem wurde deutlich gemacht, dass die Nutzung des Dienstes nicht allein mit seiner weiten Verbreitung oder der einfachen Handhabung begründet werden kann. Zwar ermöglicht der GTM die zentrale Verwaltung zahlreicher Drittanbieter-Skripte ohne direkten Code-Eingriff auf der Website, aber genau diese technische Bequemlichkeit genügt nicht, um datenschutzrechtliche Anforderungen zu umgehen. Maßgeblich ist allein, ob personenbezogene Daten rechtmäßig verarbeitet werden.

So binden Sie den Google Tag Manager datenschutzkonform mit CCM19 ein

Der Google Tag Manager kann datenschutzkonform genutzt werden, wenn er erst nach aktiver Einwilligung eingebunden wird.

Genau das lässt sich mit CCM19 zuverlässig und flexibel umsetzen.

CCM19 bietet drei erprobte Methoden, um den Google Tag Manager DSGVO- und TDDDG-konform einzubinden:

Methode 1: Skripte direkt über CCM19 verwalten – ganz ohne GTM

Das Verwaltungsgericht Hannover hat ausdrücklich betont, dass der Google Tag Manager nicht alternativlos ist. Die Steuerung von Tracking- und Marketing-Skripten lässt sich auch mit anderen Werkzeugen datenschutzkonform umsetzen, unter anderem direkt mit CCM19.

Mit dieser Methode wird der eigentliche Tracking-Code, etwa für Google Analytics, Google Ads oder Facebook Pixel, nicht mehr über den Google Tag Manager eingebunden, sondern direkt über die Oberfläche von CCM19 verwaltet.

Hinweis: Das CCM19-Code-Snippet selbst sollte möglichst weit oben im <head> Ihrer Website eingebunden werden. So ist sichergestellt, dass alle Abfragen und Steuerungen korrekt greifen.

Statt den Code in den Quelltext der Website oder ein CMS-Modul zu schreiben, tragen Sie ihn in der CCM19-Konfiguration unter "Einbindungen & Cookies" im Feld „Quellcode der Einbindung" ein. Sobald der Nutzer für die entsprechende Einbindung seine Einwilligung im Cookie-Banner erteilt, wird dieser Code automatisch und gezielt in den <head> der Seite eingebunden und ausgeführt.

Vorteile dieser Lösung:

• Keine Datenübertragung vor dem Consent
• Einhaltung der DSGVO- und TDDDG-Vorgaben ohne Dritt-Tools
• Klare Trennung zwischen Skript und Quellcode – ideal für Wartung und Kontrolle
• Entspricht der richterlichen Anmerkung, den GTM durch datenschutzfreundliche Alternativen zu ersetzen

Manche Tools melden einen „fehlenden" Code, wenn dieser nicht im Seitenquelltext auftaucht. Das ist technisch korrekt – da CCM19 den Code bewusst erst nach Einwilligung einbindet. Die Funktion ist dadurch nicht beeinträchtigt.

Methode 2: Google Tag Manager direkt über CCM19 steuern

Wenn Sie den Google Tag Manager weiterhin nutzen möchten, lässt sich dieser auch direkt über CCM19 einbinden. Technisch funktioniert dies genauso wie bei Methode 1: Der GTM-Code wird nicht direkt im Seitenquelltext, sondern im Feld „Quellcode der Einbindung" innerhalb von CCM19 hinterlegt – und erst nach Zustimmung im Cookie-Banner geladen und ausgeführt.

Der Ablauf im Detail:

• Der GTM-Code wird innerhalb der CCM19-Einbindung hinterlegt
• Er wird vom Browser erst nach aktiver Einwilligung des Besuchers über das Banner geladen
• Solange keine Zustimmung vorliegt, bleibt der Code vollständig blockiert

Methode 3: HTML-Modifikation mit CCM19-Script-Loader (für Entwickler)?

Für technisch versierte Anwender bietet CCM19 eine weitere Möglichkeit, Skripte direkt im HTML-Quelltext der Website zu blockieren und erst nach Einwilligung freizugeben. Diese sogenannte Script-Loader-Methode erlaubt eine besonders feingranulare Steuerung – etwa für individuelle Inline-Skripte oder komplexe Drittanbieter-Integrationen.

Da bei dieser Variante der bestehende Code manuell angepasst werden muss, empfehlen wir die Umsetzung nur durch erfahrene Entwickler oder Agenturen.

Zur Anleitung für die HTML-Modifikation mit dem CCM19-Script-Loader →

Fazit: GTM nur mit Consent – CCM19 macht es möglich

Das Urteil des Verwaltungsgerichts Hannover zeigt deutlich: Der Google Tag Manager darf nicht ohne vorherige Einwilligung der Nutzer eingesetzt werden. Bereits das bloße Laden des GTM kann personenbezogene Daten wie IP-Adressen an Google übertragen – und ist damit zustimmungspflichtig nach DSGVO und TDDDG.

Wer den GTM weiterhin verwenden möchte, muss sicherstellen, dass er technisch vollständig blockiert bleibt, bis eine gültige Einwilligung vorliegt. Genau hier setzt CCM19 an: Mit zwei flexiblen Methoden lässt sich der Tag Manager entweder ganz ersetzen oder kontrolliert freigeben – rechtskonform, transparent und zuverlässig.

Ob Sie den GTM vollständig ersetzen und Skripte direkt über CCM19 verwalten oder den GTM selbst erst nach Consent einbinden – mit beiden Varianten erfüllen Sie die rechtlichen Anforderungen, vermeiden ungewollte Datenübertragung und gewinnen zugleich mehr Kontrolle über Ihre Einbindungen.

Unsere Empfehlung: Prüfen Sie regelmäßig, ob und wie der GTM in Ihre Website integriert ist – und setzen Sie auf eine Consent-Lösung, die nicht nur technisch funktioniert, sondern auch rechtlich belastbar ist.