ドイツ複数州の監督機関がGoogle Analytics等利用サイトへの提言を公表 −データ主体のOpt-in同意が必要−


ドイツの複数州のデータ保護監督機関がGoogle Analytics等利用サイトへの提言を公表 −データ主体のOpt-in同意が必要−

2019年11月14日、ドイツ連邦のデータ保護監督機関(BfDI)をはじめ、ドイツ各州の複数の監督機関がGoogle Analyticsの問題を提起する文書を公表した。Google Analyticsは、従来ホームページのアクセス解析ツールとして「処理者」という見解があったが、ドイツ各州の監督機関が、Google Analytics自体の目的で個人情報を扱っているとして、「管理者」という見解を取った点、及びGoogle Analyticsを利用しているサイトは、クッキー(Cookie)取得につきOpt-in同意を要するとされクッキー対応が必要とされた点に留意が必要である。Google Analyticsに関しては、今後、他の欧州加盟国やその他の各国プライバシー保護法(CCPAの「売却」該当性の有無)への影響が注目される。

公表された文書は、どれも同じような内容であり、以下の通りである。

BfDIは4月に「テレメディアのプロバイダーのためのガイダンス」を公開しているが、このガイダンスに従った運用がなされておらず、各州のデータ保護監督機関は多数の苦情を受けている(ハンブルグの監督機関には、Google Analyticsを用いている2万サイト以上がOpt-in同意を取っていないという苦情があり、ノルトライン=ヴェストファーレン州の監督機関では、Google Analyticsを用いている7万以上の違法サイト以上が対象となる予定であり、バイエルン州の監督機関によれば、ドイツ国内で20万を下らないケースが問題となる、とのこと。)。改めて次の点等を注意すべきである。
① Google Analyticsは、それ自体の目的のために個人データを処理するもので、もはや処理者ではない。データ主体のOpt-in同意が必要。
② Web運営者は、第三者コンテンツ(Google Analytics等)の内容とトラッキング広告を速やかにチェックし、データ主体の同意が必要であれば、Opt-in同意を取得しなければならない。
③ この場合、既存の、閲覧を続ける場合は同意があったものとみなすようなクッキーバナーは不適格である。

先日(10/1)のCJEU裁判(Planet49ケース)でCookie同意にOpt-in同意が必要とされ、これを受けてドイツではGoogle Analyticsが問題視されたものである。

【BfDIが公表したガイダンス】
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
【BfDIの提言文書】
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/26_WebtrackingEinwilligung.html;jsessionid=856291477DEFC996B139EE6A6F42A59E.2_cid329
【ハンブルク州の提言文書】
https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-analytics
【ノルトライン=ヴェストファーレン州の提言文書】
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar.html
【バイエルン州の提言文書】
https://www.lda.bayern.de/media/pm/pm2019_14.pdf
【ベルリンの提言文書】
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191114-PM-Analyse_Trackingtools.pdf

関連記事