Brug Google Tag Manager GDPR-kompatibel – det er, hvad den juridiske situation siger

Brug Google Tag Manager GDPR-kompatibel – Hvad er den juridiske situation? Denne artikel informerer dig om, hvordan Google Tag Manager fungerer, det juridiske forhold til GDPR og levedygtige cookie-samtykkeløsninger.

Google Tag Manager og cookies – sådan fungerer værktøjet

Google Tag Manager fungerer som et værktøj til at administrere og kontrollere cookies, konverteringspixels eller sporingskoder fra programmer som Google Analytics eller Bing Ads. Selve applikationen arbejder med tags og triggere og videresender – som det ofte antages – de oplysninger, der indsamles på hjemmesiden via cookies, direkte til de relevante værktøjer til videre behandling. Selve koderne, som bruges på hjemmesiden til forskellige formål (annoncering, sporing…), gemmes ikke i sidens kildekode, men i en særlig beholder.

Arbejdet med tagmanageren er effektivt og forenkler håndteringen af sporing og cookies. Selv folk med ringe IT-erfaring er i stand til at indlejre de nødvendige koder. Det gælder også betjeningen af tag-manageren via den enkelt designede og intuitive webgrænseflade, som heller ikke kræver ekspertviden. Desuden er næsten alle de nødvendige tags og pixels normalt tilgængelige som en skabelon . Brugere kan ikke kun drage fordel af (næsten) obligatoriske applikationer som Google Analytics, men også af Bing Ads, Google Ads eller testværktøjer som AB Tasty.

Uden en tag-manager skulle de enkelte kodestykker indsættes i hjemmesidens kildekode med et tilsvarende tidsrum. Der kræves dog passende programmeringskendskab hertil, hvis hjemmesiden skal fungere korrekt efter “indgrebet”.

Google Tag Manager privatliv

Tag Managerens ukomplicerede arbejde sikrer, at markedsføringen stort set er uafhængig af IT . Dette sparer ikke kun virksomhederne tid, men gør det også muligt at allokere værdifulde it-ressourcer andre steder. De mange skabeloner til Google Tag Manager er lige så gavnlige. GTM giver skabeloner til programmer som Google Analytics, Google Ads Remarketing, Hotjar eller Tradedoubler, som du kan tilføje hurtigt og nemt. I detaljer drager du fordel af følgende fordele:

  • nem at bruge via webgrænsefladen
  • Forhåndsvisningstilstand strømliner tagtest
  • talrige skabeloner tilgængelige
  • forskellige tags, triggere og variable skabeloner
  • integreres problemfrit i Googles kosmos

Gør Google Tag Manager GDPR-kompatibel

Google Tag Manager er blevet betragtet som problematisk siden annulleringen af Privacy Shield-aftalen af EU-Domstolen (ECJ) i juli 2020 (” Schrems II “). Privacy Shield-aftalen forudsatte oprindeligt, at europæiske forbrugere kunne stole på det samme niveau af databeskyttelse, når de overfører data på tværs af dammen, som de finder i EU. Problemet: På grund af den juridiske situation i USA kan myndigheder få adgang til data fra amerikanske giganter som Microsoft, Google eller Amazon via statens overvågningslovgivning. For Google Tag Manager og de dertil knyttede applikationer betyder det, at dataoverførslen i bedste fald teoretisk kan gennemføres over en meget snæver juridisk-teknisk korridor. I praksis dog: Ifølge Schrems II kan applikationer som Google Analytics & Co ikke håndhæves på en juridisk kompatibel måde .

Gælder det også for Google Tag Manager? I princippet betyder det, at Google Tag Manager ikke selv sætter nogen cookies og kun administrerer cookies fra AdSense eller Google Analytics i en container. Fra GDPR’s perspektiv er problemet her tilføjelsen om databehandling (12. april 2021):

“Hvis du har angivet, at du befinder dig i Det Europæiske Økonomiske Samarbejdsområde (EØS), da du oprettede din konto, har du allerede accepteret databehandlingstillægget som en del af servicevilkårene.”

Google Tag Manager-tillæg til databehandling

Databeskyttelsesforordningen kræver dog gennemsigtighed, mens oplysningerne om databehandling hos søgemaskinegiganten forbliver tågede og vage:

“Vores brug af Google Tag Manager-data
Vi kan indsamle oplysninger, såsom hvordan tjenesten bruges, og hvordan og hvilke tags der implementeres. Vi kan bruge disse data til at forbedre, vedligeholde, beskytte og udvikle tjenesten som beskrevet i vores privatlivspolitik, men vi deler ikke disse data med noget andet Google-produkt uden dit samtykke.”

Google privatliv

Google hævder her, at det ikke linker nogen data til andre Google-tjenester uden samtykke; dette udelukker dog på ingen måde videregivelse til tredjemand. Det er også uklart, om indsamlingen af data er absolut nødvendig, eller om den går ud over ren (teknisk) nødvendighed.

På grund af disse usikkerheder bør Google Tag Manager aldrig køres uden brugerens samtykke . Så meget desto mere, da Google Tag Manager tilsyneladende selv sætter cookies som et kontrol- og administrationsværktøj, selvom almindelige udsagn peger i en anden retning. Det hævdes, at GTM kun sender data fra en hjemmeside til de tilsvarende tilsluttede værktøjer.

Ifølge denne læsning foregår håndteringen af cookies, det vil sige indstilling, ændring og sletning, kun i applikationer som Google Analytics. Dette gør det muligt for GTM at arbejde hånd i hånd med Cookie Consent Managers. Hvor tags og triggere kan blokeres af den besøgende på webstedet fra starten, sættes ikke-essentielle cookies ikke længere. Fordelen ved central kontrol af vigtige marketingværktøjer er dog væk, da ingen af applikationerne overhovedet har lov til at indsamle data.

I denne sammenhæng påpeger blogs dog, at data (IP, browserinformation, sprog, …) og eventuelt cookies allerede overføres, når Google Tag Manager indlæses, før Google Analytics og Co. udspilles. Med henblik på Schrems II er denne situation tvivlsom, eftersom data bliver sendt over dammen til USA, en stat, der efter Schrems II blev betragtet som et “usikkert tredjeland” på grund af talrige dataskandaler. Et andet problem er behovet for at forklare alle de anvendte værktøjer, inklusive GTM, i overensstemmelse med artikel 13 GDPR, da disse værktøjer i det mindste skal forklares i databeskyttelseserklæringen .

Hold dig opdateret!

Abonner på nyhedsbrev

Google Tag Manager og tilvalgsfunktionen

Google Tag Manager viser sig at være mere GDPR-kompatibel, når det kommer til opt-in. Baggrunden: Siden EF-domstolens afgørelse om cookie-samtykke af 1. oktober 2019, skal brugere aktivt acceptere brugen af cookies og enten selv klikke på de tilsvarende afkrydsningsfelter eller ej. For at forhindre, at cookies sættes uden aktivt samtykke, skal du konfigurere opt-in via Google Tag Manager. Dette sikrer databeskyttelse i Google Tag Manager.

For at konfigurere opt-in i Google Tag Manager skal du oprette en variabel, en trigger og TAG’et. Indstil trigger- og blokanalysen efter indstilling af cookien. Implementer endelig et foruddefineret HTML-link på forlaget eller databeskyttelsessiden på webstedet. Hvis CMS forhindrer linket i at blive implementeret, kræves en onload-hændelse ved at ændre koden for tagget og justere triggeren i overensstemmelse hermed.

Opsætning af opt-in-funktionen via Google Tag Manager er relativt ukompliceret på grund af de letforståelige instruktioner, der er tilgængelige online og kræver ikke nødvendigvis indgående it-kendskab.

Google Tag Manager – GDPR og Cookie Consent Tools

Kun hvis du ser bort fra problemområderne GDPR og Schrems II, kan du stadig nævne den grundlæggende bekvemmelighed ved Google Tag Manager som en fordel. Dette skyldes den enkle og ukomplicerede integration af cookie-samtykkeløsninger i Google-applikationen. Cookie-samtykkebanneret fungerer som et mellemled mellem de tilvalgsmuligheder, der er defineret i GTM, og den besøgende på webstedet, som bør være fri til at beslutte, om han vil acceptere cookies eller et udvalg af dem eller at afvise alle cookies.

Databeskyttelsesreglerne resulterer derfor i en opgavefordeling og samarbejde mellem cookie-indholdsløsninger og Google Tag Manager. Google Tag Manager er tilstrækkelig til standardindstillingerne for opt-in. For at gøre Google Tag Manager DSGVO-kompatibel, er cookie-samtykkeløsninger uundværlige, da de viser den besøgende på webstedet et valgvindue til at give samtykke eller afvise cookies. Så længe brugeren ikke giver sit samtykke, vil Google Tag Manager fortsætte med at blokere de cookies, der skal indstilles. Først når den besøgende på siden aktivt har givet samtykke til cookies, vil de tilsvarende cookies blive gemt på brugerens slutenhed.

Er din hjemmeside kompatibel? Find ud af det med vores tjekliste

Download tjekliste

Cookie-samtykkeløsninger for sikkerhed og bekvemmelighed

Markedet tilbyder en række forskellige løsninger for at sikre overholdelse af GDPR samt ePrivacy-direktiver relateret til cookies og sporing. Der er løsninger, der stort set blokerer for alle cookies og trackere og kun frigiver dem, så snart den besøgende på siden er indforstået. I dette tilfælde ville det teoretisk set ikke være nødvendigt at konfigurere opt-in i Google Tag Manager.

Andre cookie-indholdsstyringsløsninger tilbyder omfattende tjenester ved at køre alle Google-tjenester i et netværk under webstedets grænseflade og generere valgvinduet for den besøgende på webstedet. Det er sådan, du understøtter cookie-samtykkeløsninger for at gøre Google Tag Manager DSGVO-kompatibel. På grund af den nuværende juridiske situation er den formodede komfort i Google Tag Manager ved at blive til mineret territorium. Den eneste udvej ville være mindre bekvem: hvorfor ikke bruge en tagmanager, der kører lokalt på din egen server i stedet for at bruge en ekstern?

Den individuelt tilpassede løsning til enhver hjemmesideoperatør

Samtykkebanneret er det valgvindue, som en cookie-samtykkeløsning præsenterer for den besøgende på webstedet for at tillade eller afvise lagring af cookies. Disse vinduer varierer i brugervenlighed, tilpasser sig ofte til hjemmesidens layout og interagerer med Google Tag Manager for at sikre GDPR-overholdelse. Fordi Tag Manager kun annullerer opt-in, hvis den besøgende accepterer lagringen af cookies.

Markedet tilbyder en bred vifte af kraftfulde cookie-samtykkeløsninger, også kendt som samtykkestyringsudbydere (CMP). I nogle tilfælde kan du optimalt tilpasse løsningerne til din virksomheds eller din hjemmesides krav. Dette omfatter integration af eksisterende analyseværktøjer, det individuelle design af opt-in-vinduet eller forudindstilling af cookievalg for den besøgende på siden.

Som virksomhed har du valget mellem gratis og betalte løsninger. Især mindre virksomheder vælger ofte gratis løsninger som et første skridt. Sørg dog for, at den valgte CMP pålideligt opfylder kravene i GDPR.

GDPR-krav til udbydere af samtykkehåndtering

GDPR er ikke kun et problem for Google Tag Manager, men også for kravene til indholdsdesignet af et samtykkebanner. Disse punkter blev også bekræftet af en domstolsdom fra EF-Domstolen og er derfor bindende.

  • Modtagere af data skal præsenteres tydeligt
  • klar præsentation af aktiviteten inden for databehandling, markedsføring, analyse mv.
  • Den besøgende på webstedet skal være i stand til at vælge eller fravælge hver klassifikation individuelt
  • ingen forhåndsudvælgelse af modtagere og aktiviteter
  • alle cookies skal blokeres, indtil brugeren accepterer det

Andre vigtige punkter, som en kraftfuld samtykkeløsning skal opfylde, og som du bestemt bør huske på, før du beslutter dig for et produkt fra udbyderen:

  • Placering af lagring af samtykket – lokalt på brugerenheden eller i en database (vigtigt for webstedsoperatørens mulighed for at give oplysninger)
  • Hvilke muligheder er der for brugeren for at tilbagekalde samtykke eller kontrollere status for sit eget samtykke?
  • Længde på kagernes levetid
  • Er der detaljerede oplysninger om behandlingen af dataene?
  • Er formålet med en cookie tydeligt genkendeligt?

Uanset om du bruger et betalt eller gratis værktøj: Vælg kun cookie-samtykkeløsningen fra en samtykkestyringsudbyder, der opfylder disse krav.

Konklusion

Selvfølgelig: Google Tag Manager forenkler integrationen af almindelige værktøjer betydeligt, især til marketingformål. Ikke desto mindre har integrationen vist sig at være problematisk senest med EF-domstolens dom fra juli 2020, omtalt som Schrems II. Data kommer ind i USA gennem brug af GTM (og andre forbundne værktøjer) og tilbyder dermed mål for retssager og bøder. Også set fra GDPR’s perspektiv fungerer Google Tag Manager alt andet end GDPR-kompatibelt på grund af uklare udsagn om emnet databehandling. En juridisk fejlfri integration af GTM er derfor næsten umulig. Det eneste perspektiv, der i øjeblikket er tilbage, er kun at indlæse det efter samtykke via en cookie-samtykkeudbyder, såsom consentmanager , som en sikkerhedsforanstaltning. Det betyder dog ikke, at du er på den sikre side.