Een juridische bom onder Google Tag Manager (en wat dit voor jou betekent)

Gebruik je de standaard Google Tag Manager-implementatie? Dan deel je persoonsgegevens van je bezoekers. Je deelt die gegevens met Google. Dat zich in de Verenigde Staten bevindt. Als de gegevensuitwisseling niet noodzakelijk is, is dat volgens de Duitse rechter illegaal.

Je conversiedata en campagneresultaten zijn afhankelijk van GTM. Je wilt absoluut niet dat daar iets mee gebeurt. Toch is dat precies de uitkomst van een Duitse rechtszaak. Gebruik je de standaard GTM-implementatie? Dan moet je toestemming vragen. Hoe zit dat?

Je laadt op je website de code van GTM in. Om dat te doen maakt je website een verbinding tussen de computer van je bezoeker en de server van Google. Dit is vergelijkbaar met twee telefoons die elkaar bellen. Bij bellen gebruik je een telefoonnummer om te verbinden. Bij het inladen van scripts gebruik je het IP-adres. De server van Google ziet dus het IP-adres van je bezoekers. En dat is een probleem, want het IP-adres is een persoonsgegeven.

De privacywetgeving zegt dat je toestemming moet vragen om persoonsgegeven te delen. Tenzij je kunt verdedigen dat je dat doet om je website te laten werken. In het geval van GTM stel je jezelf deze vraag: is Google Tag Manager noodzakelijk voor de werking van mijn website?

Noodzaak of niet

Die vraag is makkelijker te stellen dan hem te beantwoorden. In de praktijk betekent noodzakelijk twee dingen:

1. Is het technisch noodzakelijk? – In de praktijk is GTM niets anders dan een generator voor JavaScript. Die JavaScript bevat regels om te bepalen wanneer welk script afgevuurd wordt. Je kunt verdedigen dat elke website zulke regels nodig heeft. Aangezien de Duitse rechtbank alternatieven aandroeg, zou je kunnen beredeneren dat de rechtbank niet zozeer een probleem heeft met de functie die GTM uitvoert.
2. Is het contextueel noodzakelijk? – In het geval van GTM gaat deze vraag over de manier waarop de JavaScript op je website inlaadt. Standaard is dat door de code bij Google op te halen. Maar er zijn alternatieven die privacyvriendelijker zijn. De rechtbank geeft in mijn ogen aan dat het gemak van hosting bij Google niet opweegt tegen de inbreuk op de privacy van de gebruiker.

Oordeel in het kort: niet noodzakelijk, dus toestemming nodig. Maar betekent dit dan direct dat GTM achter toestemming moet? Persoonlijk denk ik dat een privacyvriendelijkere manier van inladen een verdedigbare optie is. Mijn oplossingsrichtingen zouden zijn:

1. GTM via een doorschakelnummer: dat is privacyvriendelijker, maar is het genoeg?
2. Beheer je eigen noodzakelijke marketingscripts met marketing-fundament.js

Maar eerst de overwegingen van de rechtbank.

De redenering van de rechters

Technische werking – Het Verwaltungsgericht Hannover beschrijft eerst hoe het technisch werkt:

“Dies geschah, indem eine ID an Google übermittelt und dabei eine Verbindung zum US-Server www.googletagmanager.com aufgebaut wurde. Dabei wurden auch Daten des Endgeräts des Nutzers, insbesondere die IP-Adresse, die Gerätekonfiguration, das Land und die Referrer-URL übermittelt. Anschließend wurde von Google ein Java-Skript namens gtm.js auf dem Endgerät des Nutzers gespeichert, welches für jeden Nutzer individuell angepasst war.”  [mijn cursief]

In de praktijk werkt dat zo: je publiceert je tags in de GTM-interface. Google maakt daar een JavaScript-bestand van. Dat bestand heet gtm.js en wordt vervolgens gehost op www.googletagmanager.com.

Onderstaande instructies gebruik je om dat bestand op je site in te laden. Het bestand staat op https://www.googletagmanager.com/gtm.js?id=GTM-P9392QMC. En tijdens het inladen deel je onder andere het ip-adres van je bezoeker met Google.

Niet noodzakelijk – De rechtbank vindt dat deze gegevensuitwisseling niet technisch noodzakelijk is voor de werking van de website. En daarom niet onder de uitzondering van §25 lid 2 TTDSG valt:

“Es handelt sich bei dem streitgegenständlichen Dienst der Klägerin – Google Tag Manager – nicht um einen für die Bereitstellung des Telemediendienstes technisch zwingend erforderlichen Dienst im Sinne von § 25 Abs. 2 TTDSG.” [mijn cursief]

Daarom is toestemming nodig:

“Die Verarbeitung der personenbezogenen Daten des Klägers ist daher gemäß § 25 Abs. 1 TTDSG nur mit Einwilligung zulässig” [mijn cursief]

GTM via een doorschakelnummer: privacyvriendelijker, maar is het genoeg?

Je vraagt nu Google rechtstreeks om GTM. Maar dat kan anders. Denk aan de zakelijke wereld: je wilt niet dat klanten je privé-nummer hebben. Dus laat je ze bellen met je klantenservice. Die schakelt ze door. En je nummer blijft onbekend. Je kunt ook zo’n doorschakelnummer opzetten voor data. Dat noem je een proxy. Dat werkt zo.

Je zet een proxy op die je zelf beheert. Je website vraagt nu niet bij Google om GTM, maar bij de proxy. Daardoor deel je alleen het IP-adres met jezelf. En niet met Google. Tip: Gebruik GTM Server Side als proxy.

De vraag is alleen of dit je probleem oplost. Want laten we even kritisch zijn. Wat verandert er nou echt? Je deelt nu geen gegevens meer met Google, maar met jezelf. Maakt dat écht een verschil? En die proxy draait ook ergens. Stel: je gebruikt GTM Server Side als proxy. Dan host je die bij een partij als TAGGRS of in Google Cloud met Cloud Run. Die partijen ontvangen dan óók het IP-adres.

Kortom, deze oplossing verlaagt in mijn ogen de privacy-impact, maar is dat voldoende? Mijn advies: overleg dit met je jurist.

Beheer je eigen noodzakelijke marketingscripts met marketing-fundament.js

Je gebruikt GTM omdat het makkelijk is. Je kunt bijvoorbeeld snel een tag toevoegen of verwijderen. Het is erg vervelend als je die functionaliteit kwijt bent. Maar kun je die functionaliteit ook privacyvriendelijk opzetten? Mijn idee: een klein JavaScript-bestand met de naam “marketing-fundament.js”.

Wat staat er in dit bestand? Alle ‘noodzakelijke scripts’, zoals de cookiemelding, een chatbot of een dynamische banner met de melding dat je op vakantie bent. En GTM, al dan niet afhankelijk van toestemming. Bonus: je kunt op deze manier ook eenvoudig van cookiemelding of tagmanager veranderen. Je ontwikkelaars hoeven namelijk alleen maar marketing-fundament.js aan te passen.

Kortom, je behoudt de tag-management-functionaliteit voor noodzakelijke scripts. Maar controleer wel even wat je in zo’n bestand mag plaatsen om het als noodzakelijk te kunnen typeren? Wederom mijn advies: overleg ook dit met je jurist.

Vat de koe bij de hoorns

Pak de controle. Implementeer marketing-fundament.js. Daarmee geef je jezelf en je ontwikkelaars direct flexibiliteit bij het beheren van je noodzakelijke marketingscripts.

Zorg ervoor dat je je cookiemelding én GTM Web via dat script in gaat laden. Als het dan écht nodig is, is het een kleine aanpassing om GTM afhankelijk te maken van toestemming.

Daarnaast zou ik zo snel mogelijk onderzoek doen naar de GTM-proxy. Je hebt nu nog voldoende tijd om dit goed in te richten. Zo voorkom je onnodige juridische kosten, tijdsverspilling en een implementatie onder tijdsdruk.

Over de auteur: Jos IJntema is Online data specialist bij Grain Data Consultants.