裁决结果
判决的原因是:GTM会将技术标识符(例如 IP 地址和浏览器元数据)传输到 Google 服务器,这些服务器通常位于美国等第三国。法院裁定,这种处理对于提供用户明确请求的服务并非绝对必要。因此,根据《数据保护条例》(TTDSG) 第 25(1) 条和《通用数据保护条例》(GDPR) 第 6(1)(a) 条,这种处理需要获得用户同意。
前因后果
- 2018年12月4日,下萨克森州数据保护机构投诉网站www.noz.de使用“Google Analytics”、“Google DoubleClick”、Facebook Inc.、OpenX Software Ltd.、Outbrain UK Limited和Teads SA等服务或服务提供商的大量Cookie。
- 2019年11月21日,网站www.noz.de增加了未经同意不得再将Cookie和第三方服务集成到网站,估计是安装CMP
- 2019年11月28日,下萨克森州数据保护机构向汉诺威行政法院提起诉讼,网站www.noz.de多次重新设计网站上的同意横幅
- 2021年2月,,应下萨克森州数据保护机构的要求,网站www.noz.de完成了一份关于其网站上cookies、其他追踪机制和第三方服务使用情况的问卷调查和补充Excel电子表格。
- 2022年7月27日,下萨克森州数据保护机构致函网站www.noz.de,告知其对重新设计网站的法律评估,并邀请原告提出意见。
- 2022年8月25日,网站www.noz.de回函,其已按要求对其网站进行了调整,以确保符合数据保护规定。
- 2022年11月15日,下萨克森州数据保护机构在其IT实验室对原告网站进行了技术测试。测试过程中,被告发现,首次访问原告网站时,未经事先同意就访问了美国服务Google Tag Manager。该服务有助于将其他代码片段以及其他服务集成到网站中。测试通过向Google传输ID并与美国服务器www.googletagmanager.com建立连接来实现。用户设备的数据,尤其是IP地址、设备配置、国家/地区和引荐来源网址(referrer URL)也被传输。随后,Google在用户设备上存储了一个名为gtm.js的Java脚本,该脚本针对每个用户进行了个性化定制。
- 2022年11月23日,网站www.noz.de发布驳斥下萨克森州数据保护机构的内容。
- 2022年12月22日,下萨克森州数据保护机构再次提起诉讼。
- 2025年3月19日,德国汉诺威行政法院裁定:在未事先获得用户同意的情况下使用 Google Tag Manager 服务,违反了《TTDSG》第 25(1)条以及GDPR 第 6 条第 (1) 款。
影响
对于GTM,现有的机制是,GTM能简化第三方代码的布署,如方便安装CMP,GTM是优先于CMP加载的,但现在要求GTM要获取授权才可以加载,这意味着CMP,要优先于GTM,对现有的机制会有很大影响,司法框架强调用户选择而非技术便利。
对于同行,如Adobe Launch,Tealium,也要满足上述要求。
对于GA4,GA4的Cookie Consent里有个功能,就是用户不同意的时候,GA4是不加载跟踪,但是GTM会发送ping请求,然后GA4是可以根据这些请求数据去建模,然后找回七八成的数据,现在这个行为被认为也需要获取用户同意,这个功能估计会废掉。
潜在解决方案
判决原文:https://voris.wolterskluwer-online.de/browse/document/230df5cf-d76c-4561-9499-e44445a96f11
如有疑问,可以在文章底部留言或邮件(haran.huang@ichdata.com) 我~
