Google Tag Manager & DSGVO: Die 3 häufigsten Consent-Fehler auf KMU-Websites

Der Google Tag Manager (GTM) ist das meistgenutzte Tag-Management-Tool auf deutschen Websites. Richtig konfiguriert, ist er DSGVO-konform. Falsch konfiguriert, wird er zum Datenschutzproblem. Unsere Stichproben-Audits zeigen: Die meisten KMU-Websites nutzen den GTM falsch.

Das Grundproblem: GTM ohne Consent-Steuerung

Viele Website-Betreiber gehen davon aus, dass der GTM „nur“ ein Container ist — ein technisches Werkzeug, das selbst keine Daten verarbeitet. Das ist grundsätzlich richtig. Aber der GTM löst Tags aus. Und wenn diese Tags Tracking-Skripte wie Google Analytics laden, muss der Nutzer vorher eingewilligt haben.

In unseren Audits deutscher KMU-Websites haben wir drei konkrete GTM-Probleme gefunden:

Problem 1: Doppelte GTM-Container

Eine der geprüften Websites hatte zwei GTM-Container gleichzeitig eingebunden. Der eine aus dem ursprünglichen Setup, der andere aus einem Website-Relaunch. Beide luden beim Seitenaufruf.

Die Folge: Tags feuerten doppelt, Consent-Einstellungen griffen nur für einen Container, und der zweite sendete Daten unkontrolliert an Google. Der Website-Betreiber wusste nichts davon — der doppelte Container war im Quellcode versteckt.

Problem 2: Consent Mode nicht aktiviert

Google hat den Consent Mode v2 eingeführt, um GTM-Tags DSGVO-konform zu steuern. Aber viele GTM-Installationen nutzen ihn nicht. Die Tags sind auf „Alle Seiten“ konfiguriert und feuern unabhängig vom Consent-Status.

In unseren Audits fanden wir Websites, bei denen ein Cookie-Banner vorhanden war, aber die technische Verbindung zum GTM fehlte. Der Banner war reine Dekoration — er hatte keine Auswirkung auf die tatsächlich geladenen Skripte.

Problem 3: GTM-Container ohne Analytics-Korrelation

Ein besonders problematisches Muster: Der GTM meldet „keine Analytics gefunden“, obwohl gleichzeitig GTM-Container erkannt werden. Diese Inkonsistenz deutet darauf hin, dass die Analytics-Integration fehlerhaft ist — Tags sind eingerichtet, aber die Konfiguration widerspricht sich.

Für den Website-Betreiber ist das doppelt schlecht: Die Tracking-Daten sind unzuverlässig und die Datenschutz-Compliance ist nicht gewährleistet.

So funktioniert eine DSGVO-konforme GTM-Einrichtung

Schritt 1: Einen Container, korrekt eingebunden

Prüfen Sie, ob nur ein GTM-Container auf Ihrer Website geladen wird. Suchen Sie im Quellcode nach „gtm.js“ oder „GTM-“. Wenn Sie zwei verschiedene GTM-IDs finden, entfernen Sie den veralteten Container.

Schritt 2: Consent Mode v2 aktivieren

Im GTM-Container: Stellen Sie sicher, dass der Google Consent Mode v2 aktiviert ist. Alle Tags, die personenbezogene Daten verarbeiten, müssen auf „Einwilligung erforderlich“ konfiguriert sein.

Schritt 3: CMP korrekt integrieren

Ihr Cookie-Banner (Consent Management Platform) muss technisch mit dem GTM verbunden sein. Consent-Signale müssen an den GTM übergeben werden, sodass Tags nur feuern, wenn die entsprechende Einwilligung vorliegt.

Schritt 4: Regelmäßig prüfen

GTM-Konfigurationen verändern sich — neue Tags werden hinzugefügt, Updates brechen bestehende Einstellungen. Ein automatisierter Audit zeigt Ihnen sofort, wenn neue Tracking-Skripte ohne Einwilligung laden.

Warum Agenturen besonders betroffen sind

In unseren Audits hatten Agentur-Websites paradoxerweise die technisch ausgereifteste GTM-Einrichtung — aber ohne Consent-Steuerung. Tracking funktionierte perfekt, nur eben ohne DSGVO-Compliance. Der Grund: Die GTM-Einrichtung wurde von Marketing-Experten gemacht, die Consent-Integration hätte ein Datenschutz-Experte übernehmen müssen.

Das ist ein Muster, das wir auch bei anderen Branchen sehen: Je besser das Tracking eingerichtet ist, desto wahrscheinlicher ist ein Consent-Problem — weil sich jemand um die Datenerfassung gekümmert hat, aber nicht um die Einwilligungsverwaltung.

Der schnelle Weg zur Klarheit

Ein Website-Audit prüft automatisch, ob Ihr GTM korrekt mit dem Consent-Tool verbunden ist, ob Tags vor der Einwilligung feuern und ob doppelte Container existieren. Sie bekommen ein klares Bild — ohne manuell den Quellcode durchsuchen zu müssen.