Google Tag Manager (GTM) ist das zentrale Werkzeug, um Marketing- und Analytics-Tags ohne Entwickler-Deploy zu verwalten. In diesem Leitfaden aus der Praxis einer Kölner CRO-Agentur zeigen wir, wie Sie GTM sauber einrichten, Login und GTM-ID finden, worauf es bei DSGVO und Consent-Mode ankommt — und welche europäischen Alternativen ernst zu nehmen sind.
Google Tag Manager ist ein kostenloses Tag-Management-System von Google. Damit lassen sich Tracking-Codes, Marketing-Pixel und Event-Tags zentral verwalten — ohne dass für jede Änderung ein Entwickler in den HTML-Quellcode eingreifen muss. Einmal eingebaut, wird der Container über eine Weboberfläche konfiguriert: neue Tags hinzufügen, bestehende anpassen, auf einen Klick live stellen.
In der Praxis löst GTM ein sehr konkretes Problem: Marketing-Teams wollen schnell reagieren, Entwickler-Teams wollen stabilen Code. GTM trennt beides sauber voneinander. Wer eine neue GA4-Conversion definieren, ein LinkedIn-Insight-Tag nachziehen oder ein A/B-Test-Script ausspielen will, macht das im GTM — nicht im Release-Zyklus der Website.
Konzeptionell ist der GTM ein Regelwerk aus drei Bausteinen: Tags sind das, was ausgespielt wird (ein Analytics-Event, ein Pixel, ein Script). Trigger bestimmen, wann ein Tag feuert (ein Seitenaufruf, ein Klick, ein Formular-Submit, ein dataLayer-Event). Variablen enthalten die Werte, die dabei mitgegeben werden. Genau diese drei Dimensionen sauber zu modellieren ist der Unterschied zwischen einem GTM-Setup, auf das man bauen kann, und einem, das nach zwei Jahren niemand mehr versteht.
Ohne diese Grundlagen wird jedes GTM-Projekt nach wenigen Monaten unübersichtlich — mit ihnen bleibt es auch über Jahre wartbar.
Pro Unternehmen ein Konto, darunter pro Website oder App ein eigener Container. Die Container-ID (GTM-XXXXXXX) ist die Klammer um das gesamte Setup — und sollte früh nach Umgebungen (Live, Staging) getrennt werden.
Die eigentlichen Scripts und Pixel. GA4, Google Ads, Meta-Pixel, LinkedIn, Microsoft-Clarity — alles wird als Tag eingerichtet. Jedes Tag bekommt einen eindeutigen, sprechenden Namen, sonst verliert man im sechsten Monat die Übersicht.
Die Regeln, wann ein Tag feuert. Ob „alle Seiten", „Klick auf Button X" oder „dataLayer-Event purchase" — wer Trigger sauber modelliert, braucht später keine zehn Ausnahmen, um saubere Daten zu bekommen.
Der dataLayer ist die zentrale Datenschicht der Website und die Grundlage für alles, was der GTM verarbeiten kann. Ohne strukturierten dataLayer bleibt das Tagging brüchig, mit ihm wird es skalierbar.
Jede Änderung wird als Version veröffentlicht und ist rückrollbar. Der Preview-Modus zeigt live, welche Tags unter welchen Bedingungen feuern — unverzichtbar für jede Änderung vor dem Livegang.
Über den Consent-Mode v2 bekommt jedes Tag mit, ob der Nutzer zugestimmt hat. Ohne saubere Integration eines Consent-Management-Tools feuern Tags in Graubereichen — das ist der wichtigste Hebel für Rechtssicherheit.
Die technische Einrichtung ist in zwanzig Minuten gemacht. Die inhaltliche Arbeit — welche Events braucht es, wie sieht der dataLayer aus, welche Trigger gehören an welches Tag — ist das, worauf wir bei unseren Kunden die meiste Zeit verwenden. In der Reihenfolge bewährt sich dieser Ablauf:
konversion.digital
<script>-Block gehört in den <head>, der <noscript>-Teil direkt hinter <body>.Zwei Dinge, die in jedem Projekt immer wieder gesucht werden — hier in der Kurzfassung.
Der Login erfolgt über tagmanager.google.com mit dem Google-Konto, das Zugriff auf den Container hat. Zugriff wird pro Konto und pro Container vergeben — Benutzer, Editor, Genehmiger oder Veröffentlicher. Unsere Empfehlung: Für Agenturen einen eigenen Account-User anlegen, keine persönlichen Logins teilen, und Zugriffe regelmäßig in der Admin-Oberfläche aufräumen.
Wer den Zugang verloren hat, findet den Container nur wieder, wenn mindestens ein User mit „Admin"-Rechten auf dem Konto oder Container existiert. Deswegen gehört zu jedem Setup mindestens zwei Admin-User — und ein dokumentierter Fallback-Zugang in der internen Password-Verwaltung.
Die GTM-ID hat immer das Format GTM-XXXXXXX und steht oben rechts in der Weboberfläche des Containers. Sie ist auch im eingebetteten Snippet im Website-Quellcode zu sehen — am schnellsten über Rechtsklick → Seitenquelltext anzeigen → nach GTM- suchen. Auf extern gehosteten Websites klappt das auch mit Tools wie dem Google Tag Assistant oder dem BuiltWith-Browser-Plugin. Wer die ID nur für die Auslieferung des Containers braucht, kann sie gefahrlos teilen — sie ist öffentlich und enthält keine sensiblen Daten.
Die Frage „Ist GTM DSGVO-konform?" lässt sich nicht mit einem schlichten Ja oder Nein beantworten. Deutsche Datenschutzaufsichten — allen voran die Datenschutzkonferenz (DSK) — sehen den Google Tag Manager kritisch, weil der Container über Google-Server ausgeliefert wird und dabei Daten in die USA übermittelt werden können. Seit dem EU-US Data Privacy Framework ist eine solche Übertragung grundsätzlich wieder möglich, solange Google als zertifiziertes Unternehmen genutzt wird — aber die Aufsichten prüfen im Zweifel genau hin.
In der Praxis heißt das: Das Laden des GTM-Containers selbst ist technisch notwendig, wird aber rechtlich unterschiedlich bewertet. Die Tags, die der GTM ausspielt — GA4, Google Ads, Remarketing-Pixel, Meta-Pixel — sind fast ausnahmslos einwilligungspflichtig nach §25 TTDSG. Ein saubere Setup lädt den Container, feuert aber keine einwilligungspflichtigen Tags, solange über ein Consent-Management-Tool (Usercentrics, Cookiebot, Consentmanager, etrackers Consent-Manager) keine Zustimmung erteilt wurde.
Google verlangt seit März 2024 den Consent-Mode v2, um Ads- und Analytics-Signale überhaupt zu verarbeiten. Der Consent-Mode übermittelt pro Nutzer ein „granted" oder „denied" an die Google-Tags — auf Basis dessen entscheiden die Tags, ob sie Daten senden, anonymisiert modellieren oder schweigen. Entscheidend ist: Der Consent-Mode funktioniert nur, wenn er lückenlos auf jeder Seite vor dem GTM-Container gesetzt wird. Fehlerhafte Implementierungen sind der häufigste Grund, warum ein formal korrektes Setup in der Prüfung durchfällt.
Wir sehen bei Kunden regelmäßig Setups, in denen der Consent-Mode auf einzelnen Landingpages nicht geladen wird, in denen Google-Ads-Tags unabhängig vom Consent feuern, oder in denen der dataLayer vor dem Consent-Check personenbezogene Daten enthält. Keines dieser Probleme ist für sich allein ein Aufsichts-Verfahren wert — in Kombination kann das Setup aber rechtliche Risiken bergen, je nach Konfiguration und Branche.
Wer auf Nummer sicher gehen will, kombiniert GTM mit serverseitigem Tagging (ein eigener Tagging-Server in der EU), einem soliden Consent-Management und einer Datenschutzerklärung, die GTM und alle ausgespielten Tags konkret benennt. Für stark regulierte Branchen — Gesundheit, Finanzen, öffentlicher Sektor — führen wir Kunden oft zu einer europäischen Alternative (siehe unten).
Für Unternehmen mit hoher Datenschutz-Sensibilität — oder mit regulatorischen Anforderungen, die keine US-Cloud dulden.
Open Source aus Neuseeland, typischerweise on-premise oder in einer EU-Cloud gehostet. Teil der Matomo-Analytics-Suite, volle Datenhoheit, deutschsprachige Oberfläche. Für Organisationen, die alles selbst kontrollieren wollen.
Aus Polen, DSGVO-konform aufgesetzt, mit eigener Analytics- und Consent-Suite. Gut für Konzerne, die eine vollständige Analytics-Plattform aus einer Hand wollen — inkl. Hosting in Deutschland oder on-premise.
Österreichisches Unternehmen mit Fokus auf Server-Side Tracking und Datenschutz-by-Design. JENTIS platziert sich als Alternative, die Google-Tags verarbeitet, aber den Datenfluss in die EU zurückholt — interessant für E-Commerce und Finanzen.
Hamburger Anbieter mit langjähriger Marktpräsenz im DACH-Raum. Integrierte Tag-Verwaltung als Teil der etracker-Suite, ISO-27001-zertifiziertes Hosting in Deutschland, gute Balance aus Funktionalität und Compliance.
Kein kompletter Ersatz, aber ein pragmatischer Mittelweg: GTM weiter nutzen, aber über einen eigenen Tagging-Server in der EU laufen lassen. Stape bietet das als managed Service an, Google Cloud Run als Self-Host-Variante.
Enterprise-Lösung aus den USA mit EU-Hosting und tiefer Integration in CDP-Stacks. Für sehr große Organisationen mit komplexem Multi-Channel-Tagging — teurer, dafür deutlich mächtiger als GTM in Sachen Governance.
Möglichst früh — und jedes Mal dann, wenn die bestehende Implementierung brüchig geworden ist. Die Einstiegshürde für GTM ist niedrig, die Folgekosten eines Setups, das mit den Jahren gewachsen statt gewachsen ist, hoch.
Shopwechsel, Website-Relaunch, Umstellung auf GA4, Einführung einer neuen Lead-Plattform — all das sind Momente, in denen sich ein frischer Container lohnt. Die alten Tags sauber migrieren ist fast immer schneller und sicherer, als die Altlasten weiterzuschleppen.
Wenn Conversion-Zahlen in GA4 nicht zum Backend passen, wenn Ads-Conversions unter der Realität liegen, wenn Trichter-Daten unvollständig wirken — ist der GTM der erste Ort, an dem man nachsieht. Meistens liegen die Ursachen in fehlenden dataLayer-Events oder in Triggern, die durch Consent-Logik blockiert werden.
Google passt den Consent-Mode regelmäßig an, die Vorgaben der Aufsichten ebenfalls. Wer sein Setup einmal implementiert und dann vergisst, läuft mittelfristig gegen beide Seiten. Ein jährlicher Audit hält das Setup sauber und anschlussfähig.
Tags werden ad hoc angelegt, ohne Namens-Konvention oder Dokumentation. Nach sechs Monaten weiß niemand mehr, welches Tag wozu gehört — und Änderungen werden riskant.
Der Consent-Mode ist aktiviert, aber nicht auf allen Seiten sauber vor dem Container gesetzt. Tags feuern in Graubereichen — das ist der häufigste Audit-Fund.
Statt den dataLayer sauber zu spezifizieren, werden Daten über DOM-Scraping eingesammelt. Funktioniert bis zum nächsten Template-Update — dann fallen Conversions aus.
Ein Container für alle Umgebungen. Änderungen können nicht gefahrlos getestet werden, Preview-Modus wird zur Dauerlösung — und Produktionsdaten vermischen sich mit Tests.
Der purchase-Event geht raus, bevor der Nutzer die Bestätigungsseite erreicht hat. Oder der Formular-Submit zählt auch Validierungsfehler. Beides verzerrt Conversions massiv.
Immer mehr Custom-HTML-Tags, immer mehr globale JavaScript-Fragmente. Der Container wächst auf 500+ KB, die Ladezeit leidet, die Wartbarkeit ist dahin.
Nach jeder Änderung wird direkt veröffentlicht — ohne Preview, ohne Assistant, ohne Real-Time-Gegentest in GA4. Fehler werden erst im Monatsreport entdeckt.
Drei Schritte für einen GTM-Container, auf den Sie Entscheidungen stützen können — ohne Dauerrenovierung.
Wir prüfen Container, dataLayer, Consent-Integration und Datenqualität in GA4. Sie bekommen einen dokumentierten Tagging-Plan — und eine klare Liste, was wo kaputt ist.
Wir bauen den Container sauber um — Naming, Struktur, Consent-Mode v2, Trennung Live/Staging. Bei Bedarf migrieren wir auf einen Server-Side-Container oder eine europäische Alternative.
Wir dokumentieren jedes Tag, richten Alerts auf kritische Events ein und übergeben einen GTM-Container, den Ihr Team selbst weiterentwickeln kann — mit einem geplanten Jahres-Audit für die Consent-Updates.
David weiß, wovon er spricht und was er tut. Er ist motiviert, zuverlässig und für alle Fragen stets ansprechbar. TOP!
Das Team konversion.digital ist lösungsbereit und hilft uns bei allen täglichen Themen rund um digitale Strategie und Leadgenerierung.
David Odenthal hat uns bei der Einführung unserer Online-Lehrgänge begleitet und hilft uns durch die Analysen, unser Geschäft täglich zu verbessern.
Konkrete Antworten auf die Fragen, die uns in Erstgesprächen zum Thema GTM am häufigsten begegnen.
Google Tag Manager ist in der Standard-Version kostenlos. Google bietet zusätzlich Tag Manager 360 im Rahmen der Google Marketing Platform an — eine Enterprise-Version mit Workspaces, Approval-Workflows, Zonen und SLA. Die 360er-Version wird nicht einzeln verkauft, sondern als Teil eines GMP-Vertrags, typischerweise ab mittlerem sechsstelligen Mediabudget sinnvoll. Für die allermeisten Unternehmen reicht die kostenlose Variante vollständig aus.
Das Laden des GTM-Containers selbst ist technisch notwendig und wird in der Praxis häufig ohne Einwilligung ausgeliefert. Die Tags, die der GTM ausspielt — Analytics, Ads, Remarketing-Pixel — sind fast immer einwilligungspflichtig nach §25 TTDSG. Verantwortungsvoll eingerichtet heißt: GTM lädt ohne Consent, feuert aber nur die Tags, für die der Nutzer über ein Consent-Management-Tool zugestimmt hat. Ohne sauberen Consent-Mode kann das Setup rechtliche Risiken bergen, je nach Konfiguration und Branche.
GTM wird von deutschen Datenschutzaufsichten kritisch gesehen, weil Daten über Google-Server laufen, die technisch in den USA verarbeitet werden können. Nach dem EU-US Data Privacy Framework ist eine Übermittlung grundsätzlich möglich, sofern Google als zertifiziertes Unternehmen genutzt wird. Entscheidend sind Auftragsverarbeitungsvertrag, Consent-Mode v2, idealerweise serverseitiges Tagging und eine korrekte Datenschutzerklärung. Ob das Setup DSGVO-konform ist, hängt stark von der konkreten Konfiguration ab — eine pauschale Antwort gibt es nicht.
Ernstzunehmende Alternativen sind Matomo Tag Manager (Open Source, on-premise oder in der EU gehostet), Piwik PRO (Polen, mit eigener Analytics-Suite), JENTIS (Österreich, mit Fokus auf Server-Side Tracking und Datenschutz-by-Design) sowie etracker aus Hamburg mit integrierter Tag-Verwaltung. Für Unternehmen mit hoher Datenschutz-Sensibilität oder regulatorischen Anforderungen sind das belastbare Alternativen — oft kombiniert mit einem eigenen Tagging-Server in der EU.
Ja. Die Standard-Version von Google Tag Manager ist kostenlos und enthält alle Funktionen, die 95 % der Unternehmen benötigen — unbegrenzte Tags, Trigger, Variablen und Versionen. Kosten entstehen erst im Betrieb: durch die Arbeitszeit für Einrichtung, Tagging-Konzept, Wartung und Consent-Integration, bei größeren Setups zusätzlich durch Server-Side-Tagging-Infrastruktur (etwa über Google Cloud Run oder einen eigenen Tagging-Server).
Kostenfrei. Unverbindlich. Konkret. Wir nehmen Ihren Tag-Manager-Container live auseinander, prüfen Consent-Mode und dataLayer — und zeigen Ihnen, welche Hebel zuerst greifen, bevor wir auch nur über eine Zusammenarbeit sprechen.
Kostenlose Siteclinic buchen →