Ak ste si doteraz mysleli, že Google Tag Manager je „neškodný technický nástroj“, ktorý môžete spustiť ešte pred súhlasom používateľa, nemecké súdy vás práve vyviedli z omylu. Rozhodnutie súdu v Hannoveri z marca 2025 prvýkrát jasne pomenovalo: aj samotný GTM zbiera údaje, ktoré môžu identifikovať používateľa — a preto nesmie bežať bez jeho súhlasu.
Pre majiteľov webov, marketérov aj analytikov to znamená jediné: pravidlá hry sa opäť menia. GTM už nie je „technický tag bez rizika“, ale nástroj, ktorý musí byť rovnako chránený súhlasom ako cookies či marketingové skripty.
A keďže tento verdikt vychádza z európskeho GDPR, dopad nebude len na Nemecko — pripravovať sa musíme všetci.
Čo sa vlastne stalo?
Správny súd v Hannoveri rozhodol 19. marca 2025 o niečom, čo môže výrazne ovplyvniť každého, kto používa Google Tag Manager. Súd potvrdil, že aj samotný GTM zbiera údaje, ktoré môžu používateľa identifikovať — napríklad IP adresu, technické nastavenia zariadenia, krajinu a URL, z ktorej prišiel.
A keďže tieto údaje nie sú nevyhnutné na základnú funkčnosť webu, GTM sa podľa GDPR nesmie spúšťať bez riadneho súhlasu používateľa.
Počas vyšetrovania sa ukázalo aj to, že skript gtm.js sa nenačítava univerzálne, ale prispôsobuje sa každému používateľovi zvlášť. To ešte viac potvrdzuje jeho úlohu pri prenose osobných údajov.
Vydavateľstvo noz.de sa snažilo brániť tým, že GTM potrebuje na spustenie cookie lišty. Súd však túto argumentáciu odmietol. Podľa neho existujú aj iné spôsoby, ako spravovať cookies bez toho, aby sa odosielali osobné údaje do nástrojov tretích strán.
Výsledok?
Nástroje na správu skriptov, vrátane GTM, musia spĺňať rovnaké GDPR pravidlá ako marketingové tagy. A ak na webe nie sú nevyhnutné, ich použitie si vyžaduje súhlas podľa článku 6.1.a GDPR.
Súd dokonca odporučil alternatívy — európske riešenia na správu marketingových skriptov, ktoré hostujú dáta v EÚ a neporušujú práva používateľov.
Čo sa dá urobiť už teraz
Najrýchlejším riešením celej situácie je prejsť na server-side meranie.
Tým sa mení celý vzťah medzi používateľom, webom a meracími nástrojmi — správcom merania sa stáva samotná stránka, pretože všetko prebieha na vašej vlastnej doméne.
Marketingové identifikátory sa vytvárajú v first-party kontexte, sú bezpečnejšie, odolnejšie a používajú sa dlhšie.
Server-side meranie už dnes ponúka niekoľko výhod:
-
dáta môžete spracovávať v európskych dátových centrách,
-
IP adresa používateľa sa môže automaticky maskovať,
-
citlivé údaje viete odstrániť ešte pred odoslaním do GA4,
-
GTM môže bežať zo servera tak, aby sa IP adresa vôbec nedostala mimo EÚ,
-
a navyše — adblokery ho takmer nedokážu zablokovať, pretože komunikácia prebieha medzi používateľom a vašou doménou, nie medzi používateľom a Google.
Server-side je teda v tejto chvíli najpraktickejší spôsob, ako bezpečne spracovať citlivé údaje ešte pred udelením súhlasu a zároveň si zachovať kvalitné dáta pre analytiku a marketing.
Získate tým aj ďalší bonus: bežný webový GTM si môžete „odľahčiť“ od prebytočných tagov a presunúť duplicity či externé merania na server, ktorý to dokáže spracovať oveľa čistejšie a bezpečnejšie.
Čo urobiť teraz, kým bude neskoro?
Momentálne nikto presne nevie, ako Google na rozhodnutie zareaguje. Firma síce deklaruje, že chce dodržiavať všetky nariadenia, takže je možné, že v budúcnosti upraví fungovanie GTM tak, aby neodosielal osobné údaje ešte pred súhlasom.
V takom prípade by bolo opäť možné spúšťať GTM aj pred akceptovaním cookies alebo aspoň ponechať dáta spracované pod európskou správou.
Treba však počítať aj s opačným scenárom. Ak Google nič nezmení, akákoľvek forma merania – dokonca aj anonymizovaná – bude povolená až po udelení súhlasu.
To bude vyžadovať:
-
úpravu cookie lišty,
-
jasnejšie vysvetlenie, že používateľ si môže vybrať „anonymné meranie bez identifikátorov“,
-
a lepšiu komunikáciu, že základné analytické údaje (bez cookies) pomáhajú zlepšovať fungovanie webu.
Tieto kroky sú dôležité hlavne preto, aby sme získali aspoň orientačné dáta o správaní návštevníkov aj v prípade, že odmietnu marketingové cookies. Najnáročnejšia možnosť je kompletný prechod na alternatívne európske nástroje na správu skriptov alebo priame zapracovanie tagov do kódu webu s reakciou na cookie nastavenia.
V DASE si myslíme, že Google sa bude snažiť predísť tomu, aby firmy masovo odchádzali k alternatívam. Dá sa očakávať, že nájde spôsob, ako technicky splniť GDPR a zároveň zachovať meranie udalostí v norme, ktorú trh pozná.