裁决结果
判决的原因是:GTM会将技术标识符(例如 IP 地址和浏览器元数据)传输到 Google 服务器,这些服务器通常位于美国等第三国。法院裁定,这种处理对于提供用户明确请求的服务并非绝对必要。因此,根据《数据保护条例》(TTDSG) 第 25(1) 条和《通用数据保护条例》(GDPR) 第 6(1)(a) 条,这种处理需要获得用户同意。
前因后果
- 2018年12月4日,下萨克森州数据保护机构投诉网站www.noz.de使用“Google Analytics”、“Google DoubleClick”、Facebook Inc.、OpenX Software Ltd.、Outbrain UK Limited和Teads SA等服务或服务提供商的大量Cookie。
- 2019年11月21日,网站www.noz.de增加了未经同意不得再将Cookie和第三方服务集成到网站,估计是安装CMP
- 2019年11月28日,下萨克森州数据保护机构向汉诺威行政法院提起诉讼,网站www.noz.de多次重新设计网站上的同意横幅
- 2021年2月,,应下萨克森州数据保护机构的要求,网站www.noz.de完成了一份关于其网站上cookies、其他追踪机制和第三方服务使用情况的问卷调查和补充Excel电子表格。
- 2022年7月27日,下萨克森州数据保护机构致函网站www.noz.de,告知其对重新设计网站的法律评估,并邀请原告提出意见。
- 2022年8月25日,网站www.noz.de回函,其已按要求对其网站进行了调整,以确保符合数据保护规定。
- 2022年11月15日,下萨克森州数据保护机构在其IT实验室对原告网站进行了技术测试。测试过程中,被告发现,首次访问原告网站时,未经事先同意就访问了美国服务Google Tag Manager。该服务有助于将其他代码片段以及其他服务集成到网站中。测试通过向Google传输ID并与美国服务器www.googletagmanager.com建立连接来实现。用户设备的数据,尤其是IP地址、设备配置、国家/地区和引荐来源网址(referrer URL)也被传输。随后,Google在用户设备上存储了一个名为gtm.js的Java脚本,该脚本针对每个用户进行了个性化定制。
- 2022年11月23日,网站www.noz.de发布驳斥下萨克森州数据保护机构的内容。
- 2022年12月22日,下萨克森州数据保护机构再次提起诉讼。
- 2025年3月19日,德国汉诺威行政法院裁定:在未事先获得用户同意的情况下使用 Google Tag Manager 服务,违反了《TTDSG》第 25(1)条以及GDPR 第 6 条第 (1) 款。
原因
CMP布署错误,被下萨克森州数据保护机构取证记录了,错误主要有两个:
解决方案
正确布署CMP。
一定要安装CMP,因为不安装,Ads的转化会记录不到的,延伸阅读:Google Ads在盲投,你安装CMP了吗?
而且CMP要合规安装,不要有小聪明,关于如何分析自己的CMP是否合规,延伸阅读:你的CMP合规吗?
判决原文:https://voris.wolterskluwer-online.de/browse/document/230df5cf-d76c-4561-9499-e44445a96f11
如有疑问,可以在文章底部留言或邮件(haran.huang@ichdata.com) 我~
