近年来,随着GDPR及德国《电信与数字服务数据保护法》(TTDSG)的持续执行与强化,围绕Cookie、追踪技术以及用户同意(Consent)的合规问题不断成为监管与诉讼焦点。
在2024–2025年期间,德国汉诺威行政法院(Verwaltungsgericht Hannover)就一起数据保护案件作出裁决。这起案件并未直接针对Google Analytics 4或广告追踪技术,而是将一个长期被视为“中立技术工具”的组件推到了合规讨论的核心位置——Google Tag Manager(GTM)。
案件提出了一个长期被技术与营销人员忽略、但在法律层面至关重要的问题:
在用户尚未表达任何同意之前,网站是否可以加载Google Tag Manager?
本文将基于德国法院公开的判决文本,对该案件的法律逻辑、技术背景及其对GTM实务使用的影响进行系统解读。
案件背景:并非一朝一夕的合规争议
该案件源于德国下萨克森州数据保护监管机构(LDA Niedersachsen)对某大型内容网站的长期监管,在多年监管过程中,监管机构陆续发现该网站存在以下问题:
- 同意机制问题(Cookie Banner):存在“诱导同意”倾向,意机制与实际技术加载行为不一致(本文不讨论这部分)
- GTM加载问题:用户首次访问页面时,GTM即被加载,该加载行为发生在用户作出任何同意选择之前
在多次行政沟通与整改未能达成一致后,案件进入行政诉讼程序,并最终由德国汉诺威行政法院作出裁决。
判决的真正核心:GTM
我们主要关注GTM相关的。
法院在判决中确认了以下事实:用户访问网站时,GTM在未取得用户任何同意的情况下即被加载,GTM加载时就会与Google服务器建立连接,传输用户IP地址及设备相关信息(User-Agent)。
这些行为被认定为:访问与存储用户终端设备信息。
法律依据解析:TTDSG+GDPR的双重适用
TTDSG第25条:是否属于“技术上绝对必要”?
根据德国TTDSG第25条规定:
任何对用户终端设备信息的访问或存储,原则上均需事前获得用户同意,除非该行为在技术上“绝对必要”以提供用户明确请求的服务。
法院在本案中明确指出:GTM并不属于提供网站服务所“技术上不可或缺”的组成部分。
结论是:加载 GTM 不符合 TTDSG 第 25 条关于“技术必要性”的例外条件,原则上需要用户事前同意。
GDPR视角:个人数据处理的合法性基础
加载GTM基础跟踪代码,与服务器通信过程中会使用IP地址,而IP地址属于GDPR所定义的个人数据,用户在此之前尚未表达任何同意或作出选择。
在这种情况下:援引Art. 6(1)(f)(合法利益)亦未被法院采纳。
原因在于:用户难以合理预期该处理行为,且该行为并非提供网站内容所必需
结论是:加载GTM会使用到个人数据,这个过程是非必须的,需要获取用户的事前同意
判决的实质意义:GTM不再被视为“完全中立的技术容器”
法院明确否定了一种长期存在于行业中的认知:
“GTM只是一个技术容器,本身不处理数据,因此不受同意规则约束。”
法院在本案中认为:
-
即便GTM不直接设置Cookie或执行追踪逻辑
-
其基础加载行为及由此产生的网络通信,仍可能触及TTDSG与GDPR的监管范围
这意味着,在特定法律语境下,GTM本身已成为需要被纳入合规评估的对象。
对GTM实务操作的影响与建议
这意味着现有的GTM、Consent Mode、CMP的处理机制在德国是不合规的。
结合该判决,目前在德国(以及可能扩展到欧盟其他国家)更安全的做法包括:
-
在用户同意前:不加载GTM ,或使用服务器端/CMP控制的延迟注入
-
在用户同意后:再动态加载 GTM,再触发GA4/Ads /Marketing Tags
如果德国是你们很重要的市场,请严格安装上述做法调整,确保合规。
