Gebruik Google Tag Manager GDPR-compatibel – dat is wat de juridische situatie zegt

Gebruik Google Tag Manager GDPR-compatibel – Wat is de juridische situatie? Dit artikel informeert u over de werking van Google Tag Manager, de juridische relatie met de AVG en haalbare oplossingen voor toestemming voor cookies.

Google Tag Manager en cookies – zo werkt de tool

De Google Tag Manager dient als tool voor het beheren en controleren van cookies, conversiepixels of trackingcodes van programma’s zoals Google Analytics of Bing Ads. De applicatie werkt zelf met tags en triggers en stuurt – zoals vaak wordt aangenomen – de op de website verzamelde informatie via cookies direct door naar de juiste tools voor verdere verwerking. De codes zelf, die op de website voor verschillende doeleinden worden gebruikt (reclame, tracking…), worden niet opgeslagen in de broncode van de site, maar in een speciale container.

Werken met de tagmanager is efficiënt en vereenvoudigt het beheer van tracking en cookies. Zelfs mensen met weinig IT-ervaring kunnen de benodigde codes embedden. Dit geldt ook voor de bediening van de tagmanager via de eenvoudig ontworpen en intuïtieve webinterface, waarvoor ook geen vakkennis vereist is. Bovendien zijn vrijwel alle benodigde tags en pixels meestal beschikbaar als sjabloon . Gebruikers kunnen niet alleen profiteren van (bijna) verplichte applicaties zoals Google Analytics, maar ook van Bing Ads, Google Ads of testtools zoals AB Tasty.

Zonder tagmanager zouden de afzonderlijke codefragmenten met een overeenkomstige hoeveelheid tijd in de broncode van de website moeten worden ingevoegd. Hiervoor is echter de nodige programmeerkennis vereist om de website na de “interventie” correct te laten functioneren.

Privacybeleid van Google Tag Manager

Het ongecompliceerde werk van de Tag Manager zorgt ervoor dat marketing grotendeels onafhankelijk is van IT . Dit bespaart bedrijven niet alleen tijd, maar zorgt er ook voor dat waardevolle IT-middelen elders kunnen worden ingezet. Even nuttig zijn de talrijke sjablonen voor de Google Tag Manager. De GTM biedt sjablonen voor programma’s als Google Analytics, Google Ads Remarketing, Hotjar of Tradedoubler, die u snel en eenvoudig kunt toevoegen. In detail profiteert u van de volgende voordelen:

  • eenvoudig te gebruiken via de webinterface
  • Voorbeeldmodus stroomlijnt tagtesten
  • talrijke sjablonen beschikbaar
  • verschillende tags, triggers en variabelensjablonen
  • integreert naadloos in de kosmos van Google

Google Tag Manager AVG-compatibel maken

De Google Tag Manager wordt als problematisch beschouwd sinds de nietigverklaring van de Privacy Shield-overeenkomst door het Europese Hof van Justitie (HvJ) in juli 2020 (” Schrems II “). De Privacy Shield-overeenkomst bepaalde oorspronkelijk dat Europese consumenten konden vertrouwen op hetzelfde niveau van gegevensbescherming bij de overdracht van gegevens over de vijver als in de EU. Het probleem: vanwege de juridische situatie in de VS hebben autoriteiten via staatstoezicht toegang tot de gegevens van Amerikaanse giganten zoals Microsoft, Google of Amazon. Voor de Google Tag Manager en de daaraan gekoppelde applicaties betekent dit dat de gegevensoverdracht in theorie op zijn best over een zeer smalle juridisch-technische gang kan worden uitgevoerd. In de praktijk echter: Volgens Schrems II kunnen applicaties als Google Analytics & Co niet wettelijk compliant worden afgedwongen .

Geldt dat ook voor Google Tag Manager? In principe betekent dit dat de Google Tag Manager zelf geen cookies plaatst en alleen cookies van AdSense of Google Analytics in een container beheert. Vanuit het perspectief van de AVG is het probleem hier het addendum over gegevensverwerking (12 april 2021):

“Als u bij het aanmaken van uw account heeft aangegeven dat u zich in de Europese Economische Ruimte (EER) bevindt, heeft u het Amendement gegevensverwerking al geaccepteerd als onderdeel van de Servicevoorwaarden.”

Google Tag Manager-addendum bij gegevensverwerking

De verordening gegevensbescherming vereist echter transparantie, terwijl de informatie over gegevensverwerking door de zoekmachinegigant vaag en vaag blijft:

“Ons gebruik van Google Tag Manager-gegevens
We kunnen informatie verzamelen zoals hoe de service wordt gebruikt en hoe en welke tags worden ingezet. We kunnen deze gegevens gebruiken om de service te verbeteren, onderhouden, beschermen en ontwikkelen zoals beschreven in ons privacybeleid, maar we zullen deze gegevens niet delen met andere Google-producten zonder uw toestemming.”

Google-privacy

Google beweert hier dat het zonder toestemming geen gegevens aan andere Google-diensten koppelt; dit sluit echter geenszins openbaarmaking aan derden uit. Ook is onduidelijk of het verzamelen van gegevens absoluut noodzakelijk is of verder gaat dan louter (technische) noodzaak.

Vanwege deze onzekerheden mag de Google Tag Manager nooit worden uitgevoerd zonder toestemming van de gebruiker . Des te meer omdat, naar het zich laat aanzien, de Google Tag Manager zelf cookies instelt als een controle- en administratietool, zelfs als algemene verklaringen in een andere richting wijzen. Er wordt beweerd dat GTM alleen gegevens van een website naar de overeenkomstige aangesloten tools stuurt.

Volgens deze lezing vindt het beheer van cookies, d.w.z. instellen, wijzigen en verwijderen, alleen plaats in applicaties zoals Google Analytics. Hierdoor kan de GTM hand in hand werken met Cookie Consent Managers. Waar tags en triggers vanaf het begin door de websitebezoeker kunnen worden geblokkeerd, worden niet-essentiële cookies niet meer geplaatst. Het voordeel van centrale aansturing van belangrijke marketingtools valt echter weg, aangezien geen enkele applicatie data mag verzamelen.

In dit verband wijzen blogs er echter op dat gegevens (IP, browserinformatie, taal, …) en eventueel cookies al worden overgedragen wanneer de Google Tag Manager wordt geladen voordat Google Analytics en Co. worden afgespeeld. Met het oog op Schrems II is deze situatie twijfelachtig, aangezien gegevens over de vijver naar de VS worden gestuurd, een staat die na Schrems II als een “onveilig derde land” werd beschouwd vanwege tal van gegevensschandalen. Een ander probleem is de noodzaak om alle gebruikte tools, inclusief de GTM, uit te leggen in overeenstemming met artikel 13 AVG, aangezien deze tools op zijn minst moeten worden uitgelegd in de verklaring inzake gegevensbescherming .

Blijf op de hoogte!

Abonneren op de nieuwsbrief

Google Tag Manager en de opt-in-functie

Google Tag Manager blijkt meer AVG-compatibel te zijn als het gaat om opt-in. De achtergrond: Sinds de uitspraak van het HvJ over cookietoestemming van 1 oktober 2019 moeten gebruikers actief akkoord gaan met het gebruik van cookies en al dan niet zelf op de bijbehorende selectievakjes klikken. Om te voorkomen dat cookies worden geplaatst zonder actieve toestemming, stelt u de opt-in in via Google Tag Manager. Dit zorgt voor gegevensbescherming in de Google Tag Manager.

Om opt-in in Google Tag Manager in te stellen, maakt u een variabele, een trigger en de TAG aan. Stel de trigger in en blokkeer analyses na het plaatsen van de cookie. Implementeer ten slotte een vooraf gedefinieerde HTML-link op de afdruk- of gegevensbeschermingspagina van de website. Als het CMS verhindert dat de link wordt geïmplementeerd, is een onload-gebeurtenis vereist door de code van de tag te wijzigen en de trigger dienovereenkomstig aan te passen.

Het instellen van de opt-in-functie via Google Tag Manager is relatief eenvoudig vanwege de gemakkelijk te begrijpen instructies die online beschikbaar zijn en vereist niet per se diepgaande IT-kennis.

Google Tag Manager – AVG- en cookietoestemmingstools

Alleen als je de probleemgebieden AVG en Schrems II buiten beschouwing laat, kun je toch het basisgemak van de Google Tag Manager als voordeel noemen. Dit is het resultaat van de eenvoudige en ongecompliceerde integratie van oplossingen voor toestemming voor cookies in de Google-applicatie. De cookie-toestemmingsbanner dient als intermediair tussen de opt-in-opties die zijn gedefinieerd in de AGV en de websitebezoeker, die vrij moet zijn om te beslissen of hij akkoord gaat met cookies of een selectie ervan of om alle cookies te weigeren.

Dienovereenkomstig resulteert de gegevensbeschermingsregelgeving in een taakverdeling en samenwerking tussen cookie-inhoudoplossingen en de Google Tag Manager. De Google Tag Manager is voldoende voor de standaard opt-in instellingen. Om de Google Tag Manager DSGVO-compliant te maken, zijn oplossingen voor toestemming voor cookies onontbeerlijk, omdat ze de bezoeker van de site een selectievenster tonen voor het goedkeuren of weigeren van de cookies. Zolang de gebruiker geen toestemming geeft, blijft de Google Tag Manager de in te stellen cookies blokkeren. Alleen wanneer de sitebezoeker actief heeft ingestemd met de cookies, worden de bijbehorende cookies op het eindapparaat van de gebruiker opgeslagen.

Voldoet uw website aan de eisen? Ontdek het met onze checklist

Checklist downloaden

Oplossingen voor toestemming voor cookies voor veiligheid en gemak

De markt biedt een verscheidenheid aan verschillende oplossingen om naleving van de AVG en de ePrivacy-richtlijnen met betrekking tot cookies en tracking te garanderen. Er zijn oplossingen die in principe alle cookies en trackers blokkeren en pas vrijgeven zodra de sitebezoeker hiermee instemt. In dit geval zou het theoretisch niet nodig zijn om de opt-in in Google Tag Manager in te stellen.

Andere oplossingen voor cookie-inhoudsbeheer bieden uitgebreide diensten door alle Google-services in een netwerk onder de website-interface uit te voeren en het selectievenster voor de sitebezoeker te genereren. Dit is hoe u oplossingen voor toestemming voor cookies ondersteunt om de Google Tag Manager DSGVO-compatibel te maken. Vanwege de huidige juridische situatie verandert het veronderstelde comfort van de Google Tag Manager in mijngebied. De enige uitweg zou minder handig zijn: waarom niet een tagmanager gebruiken die lokaal op je eigen server draait in plaats van een externe?

De individueel aangepaste oplossing voor elke websitebeheerder

De toestemmingsbanner is het selectievenster dat een cookietoestemmingsoplossing presenteert aan de sitebezoeker om de opslag van cookies toe te staan of te weigeren. Deze vensters variëren in gebruiksvriendelijkheid, passen zich vaak aan de lay-out van de website aan en werken samen met Google Tag Manager om naleving van de AVG te waarborgen. Omdat de Tag Manager de opt-in alleen annuleert als de sitebezoeker akkoord gaat met het opslaan van de cookies.

De markt biedt een breed scala aan krachtige oplossingen voor toestemming voor cookies, ook wel toestemmingsbeheerproviders (CMP) genoemd. In sommige gevallen kunt u de oplossingen optimaal aanpassen aan de eisen van uw bedrijf of uw website. Dit omvat de integratie van bestaande analysetools, het individuele ontwerp van het opt-in-venster of het vooraf instellen van de cookie-selectie voor de sitebezoeker.

Als bedrijf heb je de keuze tussen gratis en betaalde oplossingen. Vooral kleinere bedrijven kiezen vaak als eerste stap voor gratis oplossingen. Zorg er echter voor dat het geselecteerde CMP betrouwbaar voldoet aan de vereisten van de AVG.

AVG-vereisten voor aanbieders van toestemmingsbeheer

De AVG is niet alleen een probleem voor de Google Tag Manager, maar ook voor de vereisten voor het inhoudsontwerp van een toestemmingsbanner. Deze punten zijn ook bevestigd door een rechterlijke uitspraak van het HvJ en zijn dus bindend.

  • Ontvangers van de gegevens moeten duidelijk worden gepresenteerd
  • duidelijke presentatie van de activiteit van gegevensverwerking, marketing, analyse, enz.
  • De sitebezoeker moet elke classificatie afzonderlijk kunnen selecteren of deselecteren
  • geen voorselectie van ontvangers en activiteiten
  • alle cookies moeten worden geblokkeerd totdat de gebruiker akkoord gaat

Andere belangrijke punten waaraan een krachtige toestemmingsoplossing moet voldoen en die u zeker in gedachten moet houden voordat u een product van de aanbieder kiest:

  • Locatie van opslag van de toestemming – lokaal op het apparaat van de gebruiker of in een database (belangrijk voor het vermogen van de site-operator om informatie te verstrekken)
  • Welke mogelijkheden zijn er voor de gebruiker om toestemming in te trekken of om de status van de eigen toestemming te controleren?
  • Duur van de levensduur van de cookies
  • Is er gedetailleerde informatie over de verwerking van de gegevens?
  • Is het doel van een cookie duidelijk herkenbaar?

Of je nu een betaalde of gratis tool gebruikt: kies alleen voor de cookie consent-oplossing van een consent management provider die aan deze eisen voldoet.

Conclusie

Natuurlijk: de Google Tag Manager vereenvoudigt de integratie van veelgebruikte tools aanzienlijk, vooral voor marketingdoeleinden. Toch blijkt de integratie uiterlijk met het arrest van het HvJ van juli 2020, aangeduid als Schrems II, problematisch te zijn. Gegevens komen de VS binnen via het gebruik van de GTM (en andere aangesloten tools) en bieden zo doelen voor rechtszaken en boetes. Ook vanuit het oogpunt van de AVG werkt de Google Tag Manager alles behalve AVG-compliant vanwege vage uitspraken over het onderwerp gegevensverwerking. Een juridisch foutloze integratie van de GTM is dan ook bijna onmogelijk. Het enige perspectief dat momenteel overblijft, is om het uit voorzorg alleen te laden na toestemming via een cookie-toestemmingsprovider zoals consentmanager . Dit betekent echter niet dat u aan de veilige kant zit.