Gebruik jij Google Tag Manager op je website zonder erbij na te denken? Je bent zeker niet de enige, maar waarschijnlijk wel in conflict met de privacywetgeving.
Een Duitse rechter legde onlangs de vinger op de zere plek: bedrijven laden scripts, verzamelen gegevens en sturen die naar de VS, nog vóór de gebruiker ook maar iets heeft aangeklikt. Zonder toestemming, zonder controle. En GTM, dé tool waar vele marketeers op vertrouwen, speelt daarbij een hoofdrol. De zaak werd in Nederland al uitvoerig becommentarieerd op Linkedin, in België blijft het voorlopig verbazend stil.
Wat is er allemaal aan de hand met die GTM? Wat betekent deze beslissing nu voor jouw datastrategie?
Lees even mee met onze analyse, ook al is het hoogzomer, je zal helaas beseffen dat er werk aan de winkel is.
De zaak in het kort: NOZ versus de Duitse Gegevensbeschermingsautoriteit
De initiële klacht tegen NOZ uit 2018 focuste op het gebruik van allerlei trackingtools op de website van NOZ, waaronder Google Analytics, DoubleClick, Facebook, Outbrain etc. De Duitse toezichthouder verbood in 2019 het plaatsen van cookies en verzamelen van data zonder de vereiste voorafgaande cookie consent van websitebezoekers. Die beslissing werd definitief in 2021.
Maar vanaf daar kreeg het verhaal een heel andere draai. NOZ sleutelde nadien verschillende keren aan haar cookiebanner om te voldoen aan de initiële beslissing, maar dat leidde alleen maar tot meer juridische problemen. Een tweede controle door de Duitse autoriteiten in november 2022 toonde aan dat bij een eerste bezoek aan de website automatisch en zonder voorafgaande toestemming al een GTM script werd geplaatst, dat vanaf dan contact legt met Google Tag Manager (GTM).
GTM is vanzelfsprekend een tool die op vele (honderd-)duizenden websites in Europa draait zonder dat webmasters of marketeers zich bewust zijn van de potentiële juridische implicaties. We waarschuwen bij Sirius Legal nochtans al jarenlang dat er potentiële issues schuilen in GTM. GTM wordt in principe gebruikt om eenvoudig en centraal andere scripts en tags, zoals analytics, marketingpixels of chatfuncties, te beheren en te activeren, wat op het eerste zicht een puur technische aangelegenheid is en op die manier als vrij onschuldig bestempeld wordt.
Maar juridisch gezien wringt het schoentje: het basisscript van GTM laadt meteen bij het eerste paginabezoek, en dat gebeurt standaard nog vóór de gebruiker zelfs maar consent zou kunnen geven in de cookiebanner. Daarmee schendt het GTM script de cookieregelgeving én potentieel de AVG/GDPR in de mate dat GTM ook persoonsgegevens, zoals bijvoorbeeld IP-adressen zou verwerken. Ja, we schreven wel degelijk “de cookieregelgeving”. Die laatste is immers helemaal niet beperkt tot cookies, maar geldt voor élke vorm van plaatsen of opvragen van data uit het toestel van een bezoeker aan je website, en dus ook voor dat GTM script …
Het oordeel is bikkelhard: GTM zonder consent is in strijd met privacywetgeving
Die technische vaststelling bleek ook voor de Duitse rechtbank in dit vonnis doorslaggevend te zijn. De rechtbank oordeelde dat het gebruik van GTM zonder voorafgaande toestemming in strijd is met zowel de cookiewetgeving (in Duitsland is dat artikel 25 TTDSG) als met artikel 6 AVG/GDPR. Volgens de rechtbank is er wel degelijk sprake van het opslaan én uitlezen van informatie (en zelfs persoonsgegevens) op het toestel van de gebruiker, nog vóór die gebruiker toestemming kon geven.
Meer nog: via het GTM-script worden metadata zoals IP-adres, browserconfiguratie en andere apparaatgegevens meteen doorgestuurd naar Amerikaanse servers van Google. Dat maakt van GTM, hoe “passief” en louter technisch het op het eerste zicht ook lijkt, toch een volwaardige trackingtool, die onderworpen is aan zowel de cookieregelgeving als aan de AVG/GDPR.
De rechtbank benadrukt dat het GTM script niet “strikt noodzakelijk” is in de zin van de cookieregelgeving. Op zich is dat logisch, je website werkt immers in beginsel perfect zonder GTM en uit eerdere adviezen van onder andere de Belgische, Franse en Nederlandse autoriteiten weten we dat het begrip “strikt noodzakelijke cookie of tracker” echt érg beperkend geïnterpreteerd moet worden. Zelf zijn we dus allesbehalve verrast met de in Duitsland gevolgde logica …
Nuance in deze Duitse case is natuurlijk dat hier sprake was van het gebruik van GTM voor advertentiedoeleinden. Het laden van scripts voor advertentiediensten dient primair de commerciële belangen van NOZ, niet die van de gebruikers. Het argument van “gemak” voor de websitebeheerder, omdat GTM gratis is en goed werkt, weegt volgens de rechtbank niet op tegen de fundamentele rechten op gegevensbescherming van de gebruikers.
Of het oordeel even hard zou zijn bij een meer “conservatief” gebruik van GTM blijft een open vraag. Maar dat de juridische logica ook dan dezelfde blijft, is wél een zekerheid…
Een tik op de vingers voor Google of terechte bezorgdheid over data transfers naar de VS?
Wat wij hiervan vinden? In de basis is deze beslissing logisch. Zoals we al zeiden hogerop, waarschuwen we cliënten al langer voor het feit dat GTM niet (altijd) strikt noodzakelijk is én dat de AVG/GDPR om de hoek komt kijken zodra er ook effectief persoonsgegevens mee verzameld en verwerkt worden.
Maar anderzijds voelt dit vonnis toch ook een beetje als een wat vooringenomen en erg uitgesproken anti-Google pleidooi door de betrokken de rechtbank, die expliciet aangeeft dat de overdracht van persoonsgegevens aan Google (wiens bedrijfsmodel volgens de rechtbank “draait om het verzamelen van gegevens voor commercieel gebruik”) niet gerechtvaardigd kan worden enkel op basis van gebruiksgemak.
Het probleem van data export steekt opnieuw de kop op
Het vonnis verraadt onder de oppervlakte nog een ander, fundamenteler probleem: de structurele doorgifte van persoonsgegevens naar de Verenigde Staten en het gebrek aan respect voor de privacy van Europese burgers bij zulke transfers.
Data-export was al sinds het befaamde Schrems II-arrest van het Hof van Justitie problematisch, en dat is met het nieuwe EU-US Data Privacy Framework eigenlijk niet anders geworden. Volgens dat kader zouden Amerikaanse bedrijven zich weliswaar vrijwillig aan Europese privacyprincipes onderwerpen, maar er is geen enkele garantie dat Amerikaanse overheidsdiensten zich daar iets van aantrekken. In een recente Franse procedure gaf Meta dat letterlijk toe: onder ede verklaarde het bedrijf dat het de vertrouwelijkheid van persoonsgegevens ten aanzien van Amerikaanse instanties niet kan waarborgen. Niet enkel wij bij Sirius Legal, maar héél wat privacy professionals met ons, gaan ervan uit dat het ganse EU-US Data Privacy Framework op een gegeven ogenblik als een kaartenhuisje in elkaar zal storten, net als haar voorgangers Safe Harbour en Privacy Shield…
Het is in dat licht dat je het vonnis uit Hannover moet lezen. De rechter beperkt zich niet tot de vraag of er al dan niet toestemming was voor het laden van een script. Hij kijkt ook naar de context waarin die gegevens verdwijnen: naar wie, met welk doel en onder welke garanties. En in het geval van GTM is het antwoord op al die vragen op z’n zachtst gezegd problematisch.
Wie persoonsgegevens doorstuurt naar de VS via standaardtools als GTM of Google Analytics, zonder diepgaande risicoanalyse of aanvullende waarborgen, neemt een juridisch risico op lange termijn en betoont weinig respect voor de privacy van zijn of haar website bezoekers op korte termijn. Dat is voor juristen een onontkoombare waarheid. De volgende vraag is dan natuurlijk hoe je daar als webmaster of marketeer mee om wil gaan en welke afweging je wil maken tussen het juridische kader en de praktische en commerciële werkelijkheid waarin je je werk moet doen en je interne targets moet realiseren …
Waarom GTM altijd data verstuurt vóór toestemming, zelfs met Consent Mode
Net omdat een juiste interpretatie van deze beslissing een diepgaande technische kennis vereist, klopten we even aan bij onze Expert Partner, MultiMinds. Zij bezorgden ons volgende technische informatie over de concrete werking van GTM en een alternatieve methode zoals Tealium.
Google Tag Manager laadt bij het eerste paginabezoek altijd het script gtm.js vanaf googletagmanager.com. Dit gebeurt nog vóór een gebruiker toestemming kan geven. Bij deze request worden onvermijdelijk gegevens zoals het IP-adres meegestuurd, omdat dit inherent is aan het HTTP-protocol. Zelfs met Google Consent Mode blijft dit zo: die functionaliteit is immers geen blokkeringsmechanisme, maar een signaalsysteem dat pas na het laden van GTM bepaalt hoe andere Google-tags omgaan met toestemming. Daardoor is er vanaf het eerste moment een gegevensoverdracht naar Google in de VS, wat zowel cookiewetgeving (geen voorafgaande toestemming) als de AVG (doorgifte naar derde landen) relevant maakt. Consent Mode biedt hiervoor geen oplossing maar beperkt enkel wat er daarna gebeurt.
Voor wie wél rekening wil houden met data transfer issues: tools zoals Tealium bieden ondertussen opties om gegevens binnen Europa op te slaan, maar let op: Tealium is een Amerikaans bedrijf en valt dus onder Amerikaanse wetgeving. Zelfs bij EU-data residency blijft er een risico op doorgifte naar de VS, zeker omdat bepaalde metadata standaard wordt verwerkt door Tealium’s infrastructuur. Daarom moeten er bijkomende maatregelen worden getroffen, zoals Standard Contractual Clauses (SCC’s), een Data Transfer Impact Assessment, en eventueel aanvullende technische waarborgen. Het vergt dus niet alleen een bewuste keuze, maar ook een correcte implementatie én juridische onderbouwing.
Onze mening: waar is de balans tussen wet en praktijk?
En dat brengt ons naadloos bij de vraag wat wij hier bij Sirius Legal denken van heel dit verhaal? We begrijpen, zoals we al aangegeven hebben, de juridische redenering volkomen. De wetgeving is duidelijk over de noodzaak van expliciete toestemming en de bescherming van persoonsgegevens. Maar als we eerlijk zijn, weten we ook dat het in de praktijk niet meer dan normaal is dat bedrijven dankbaar gebruikmaken van gratis, efficiënte diensten zoals Google Tag Manager. Alleen zie je hier opnieuw dat gratis niet bestaat, er zit altijd een business model achter, in dit geval dus data of een opstap naar de full Google stack.
Wat zijn dan de alternatieven?
- Het handmatig “hard-coden” van tag management op een website lijkt ons niet bijzonder efficiënt, is foutgevoelig en moeilijk werkbaar.
- Hoewel de rechtbank stelt dat er alternatieven bestaan (zoals eigen ontwikkeling of open-source software), zijn deze opties vaak niet haalbaar voor de gemiddelde onderneming qua techniek, budget en beheer.
- Er wordt ook verwezen naar Europese alternatieven van GTM, denk daarbij aan Jentis, Piwik PRO etc. Dat is qua data export wel een mooie oplossing, maar veel zal afhangen van de implementatie. Je kan eender welk tool compleet fout hanteren, het komt er dus op aan je correct te laten adviseren én nauwkeurig toe te zien op de implementatie.
De enige manier om volledig conform de cookiewet en AVG te werken, is om geen enkele niet-strikt-noodzakelijke externe scriptload toe te staan vóór consent. Dat betekent: bij de eerste pageload enkel de CMP en essentiële functies (zoals login of winkelmandje) te laden. Pas na expliciete toestemming mogen scripts zoals GTM, analytics of marketingtags worden ingeladen. Dit kan bijvoorbeeld via een CMP dat scriptblokkering ondersteunt. Het vraagt meer implementatiewerk en beheer, maar het is de enige aanpak die zowel juridisch als technisch volledig sluitend is voor het stukje consent.
Gebruik je GTM of andere Amerikaanse diensten, dan blijft de problematiek rond doorgifte van persoonsgegevens naar de VS bestaan. Voor volledige compliance moeten ook daar passende maatregelen voor worden getroffen, of moet gekozen worden voor Europese alternatieven zoals Jentis of Piwik Pro.
Er is grote nood aan een “go-between” oplossing, waarbij bedrijven kunnen rekenen op juridisch compliant oplossingen die ook behapbaar zijn op technisch en budgettair vlak. Het is een delicate balans tussen de letter van de wet en de realiteit van de digitale bedrijfsvoering.
Wat wel onverminderd gevoelig blijft, is de data-export naar de VS. Ondanks het Privacy Framework, dat vaak wordt gezien als een politiek belangenakkoord, blijft de juridische inhoud ervan mager en zeker niet afdoende vanuit een databeschermingsstandpunt. Bedrijven moeten hier uiterst voorzichtig mee zijn, ongeacht de geboden “garanties”. Je ziet in deze zaak opnieuw hoe zwaar het data export verhaal doorweegt op de beslissing.
Op zoek naar haalbare oplossingen en alternatieven
De uitspraak van de Bestuursrechtbank Hannover onderstreept nog maar eens de noodzaak om kritisch te kijken naar je digitale infrastructuur en de daaraan gekoppelde privacyimplicaties. Het is belangrijk om proactief te zoeken naar oplossingen die zowel juridisch compliant zijn als praktisch uitvoerbaar. Een goede Cookiescan is hoe dan ook het startpunt van elke legal compliant datastrategie.
Dankwoord aan MultiMinds
Sirius Legal werkt samen met Expert Partners die gespecialiseerd zijn in concrete toepassingen van complexe wetgeving. Voor GDPR en cookies is dat MultiMinds, dé referentie in België op vlak van datastrategie en implementatie. Dit artikel kwam tot stand dankzij overleg en wisselwerking met de DPO van MultiMinds, Peter Vertongen.
Vragen over cookies, consent management of je datastrategie?
Ons team staat graag voor je klaar. Stuur een mailtje naar info@siriuslegal.be of boek via de link hiernaast meteen een gesprek in onze agenda. We kijken er alvast naar uit!
Vertaling uit de beslissing, waarbij de rechtbank expliciet oordeelt op dit punt:
“Het gebruik van de Google Tag Manager-dienst blijkt eenvoudigweg de gemakkelijkste optie te zijn, omdat de tool gratis is en goed werkt. De overdracht van persoonsgegevens, met name aan Google als een van de meest verspreide spelers op het internet, wiens bedrijfsmodel het verzamelen van gegevens voor eigen commercieel gebruik omvat, kan niet uitsluitend op grond van eenvoud worden gerechtvaardigd met betrekking tot de getroffen grondrechten.”