Што на самай справе рэгулююць TTDSG і TDDDG

TTDSG пераносіць Дырэктыву ЕС аб ePrivacy у нямецкае права з незвычайнай дакладнасцю. Калі GDPR рэгулюе апрацоўку персанальных даных, TTDSG рэгулюе любое захоўванне інфармацыі на канцавым абсталяванні карыстальніка ці доступ да інфармацыі, ужо захаванай на ім — незалежна ад таго, ці з'яўляюцца гэтыя даныя персанальнымі. Прасцей кажучы: кожны cookie, кожны піксель, кожны запіс у лакальнае сховішча, кожны скрыпт зняцця адбіткаў трапляе ў сферу дзеяння, нават калі ён не збірае ніякіх персанальных даных.

Раздзел 25 — асноўнае правіла згоды

Ключавое палажэнне — Раздзел 25 TTDSG (цяпер Раздзел 25 TDDDG). Ён забараняе захоўванне ці доступ да любой інфармацыі на канцавым абсталяванні карыстальніка, калі не выканана адна з дзвюх умоў:

• Карыстальнік даў інфармаваную, добраахвотную, канкрэтную і актыўную згоду пасля таго, як быў праінфармаваны выразным і вычарпальным чынам, ці
• Захоўванне ці доступ строга неабходны для прадастаўлення тэлемедыя-паслугі, якую карыстальнік відавочна запатрабаваў.

Няма падставы законнага інтарэсу. Няма мяккага opt-in. Нямецкая інтэрпрэтацыя строга неабходнага вузейшая, чым у многіх іншых еўрапейскіх юрысдыкцыях — яна ахоплівае сесійныя cookie, балансіроўку нагрузкі і апрацоўку плацяжоў, але не аналітыку, не рэкламу і не большую частку персаналізацыі.

Узаемадзеянне з GDPR

TTDSG не замяняе GDPR. Ён знаходзіцца паверх яго. Нават калі вы пераадолелі бар'ер TTDSG для акта ўсталёўкі cookie, вам усё роўна патрэбна законная падстава GDPR для любой наступнай апрацоўкі персанальных даных. Чыстая нямецкая пазіцыя адпаведнасці патрабуе праходжання абодвух бар'ераў. Распаўсюджаная памылка — збіраць згоду па артыкуле 6(1)(a) GDPR і меркаваць, што гэта пакрывае і TTDSG — гэта так, пры ўмове, што згода таксама адпавядае патрабаванням канкрэтнасці TTDSG, якія строжэйшыя, чым у GDPR, у некалькіх адносінах.

Чым Германія адрозніваецца ад астатняй часткі ЕС

Рэгулятары па ўсім ЕС інтэрпрэтуюць ePrivacy некалькі па-рознаму. Германія знаходзіцца на строгім канцы спектру па некалькіх пунктах.

Яўная згода патрабуецца для аналітыкі

Нямецкія органы па абароне даных паслядоўна прытрымліваліся думкі, што Google Analytics, Matomo (воблака), Adobe Analytics, Mixpanel і аналагічныя інструменты патрабуюць opt-in згоды. Самастойна размешчаная, ананімізаваная аналітыка з кароткім тэрмінам захоўвання часам можа кваліфікавацца як строга неабходная, але планка высокая і вар'іруецца ў залежнасці ад органа. Баварыя, Бадэн-Вюртэмберг, Берлін і Гамбург кожны публікуюць падрабязныя тэхнічныя рэкамендацыі, і яны не ідэнтычныя.

Schrems II і перадачы ў ЗША

Нямецкія органы па абароне даных былі аднымі з самых агрэсіўных у Еўропе ў пытаннях перадачы па Schrems II. Выкарыстанне размешчанага ў ЗША трэкера — нават з сертыфікацыяй Data Privacy Framework — прыцягвае ўвагу, калі адсочванне носіць усеабдымны характар ці звязана з данымі асаблівай катэгорыі. Datenschutzkonferenz (DSK), сумесны орган нямецкіх федэральных і земляных органаў па абароне даных, неаднаразова выпускаў рэкамендацыі аб тым, што тэлеметрыя, якая адпраўляецца апрацоўшчыкам у ЗША без сапраўднага механізму перадачы, парушае адначасова і GDPR, і TTDSG.

Цёмныя патэрны відавочна забаронены

Некалькі нямецкіх органаў па абароне даных выпусцілі рэкамендацыі па правапрымяненні аб тым, што прысаромліванне пры пацвярджэнні, папярэдне выбраныя сцяжкі, няроўная прыкметнасць кнопак і патэрны прымусовага раскрыцця несумяшчальныя з сапраўднай згодай па TTDSG. Банер, дзе «Прыняць усё» візуальна дамінуе, а «Адхіліць усё» схавана за другім клікам, не пройдзе нямецкі аўдыт у 2026 годзе.

Практычныя патрабаванні да CMP для нямецкага рынку

Каб адпавядаць TTDSG/TDDDG у вытворчым асяроддзі, ваша платформа кіравання згодай і менеджэр тэгаў павінны забяспечваць некалькі канкрэтных мадэляў паводзін.

Роўная прыкметнасць для «Прыняць» і «Адхіліць»

Банер першага ўзроўню павінен паказваць кнопку «Адхіліць усё» з візуальным парытэтам з «Прыняць усё». Колер, памер, становішча і кошт узаемадзеяння павінны быць збалансаваны. Многія CMP пастаўляюцца з шаблонам па змаўчанні, які не адпавядае гэтай планцы ў іх нямецкай лакалі.

Гранулярнасць па кожным пастаўшчыку

Нямецкія рэгулятары чакаюць, што карыстальнікі змогуць даваць згоду на ўзроўні асобных пастаўшчыкоў ці мэт, а не проста адным глабальным пераключальнікам. IAB TCF v2.2 адпавядае гэтаму чаканню, але толькі калі ваш спіс пастаўшчыкоў актуальны, а мэты зразумела растлумачаны.

Блакіроўка да згоды

Ніякі староннні скрыпт не можа загружацца, ніякі cookie не можа быць запісаны, і ніякі піксель не можа спрацаваць да запісу сцвярджальнай згоды. Гэта прымяняецца да Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok і кожнага рэкламнага сервера. Выкарыстанне рэжымаў кіравання тэгамі з улікам згоды — такіх як ініцыялізацыя згоды Google Tag Manager — з'яўляецца чаканым патэрнам.

Адклікальная адным клікам

Нямецкія органы па абароне даных патрабуюць, каб адклік згоды быў так жа просты, як і яе прадастаўленне. Пастаянны, бачны механізм — плаваючая кнопка паўторнага адкрыцця, спасылка ў падвале ці эквівалентны элемент UI — павінен быць даступны на кожнай старонцы сайта.

Запісы згоды і аўдытарскі след

TTDSG наследуе артыкул 7(1) GDPR: кантралёр павінен мець магчымасць прадэманстраваць, што згода была дадзена. Захоўвайце запісы аб тым, калі, як і для якіх мэт была прадастаўлена згода, у ідэале не менш за 36 месяцаў з улікам нямецкага грамадзянскага тэрміну іскавай даўнасці. Большасць сертыфікаваных Google CMP апрацоўваюць гэта па змаўчанні.

Мабільныя дадаткі і адсочванне SDK

TTDSG прымяняецца да мабільных дадаткаў з роўнай сілай. Ідэнтыфікатар для рэкламы на Android, idfa на iOS, любое зняцце адбіткаў на ўзроўні SDK і любыя міждадаткавыя паводзіны cookie — усё гэта падпадае пад правіла згоды.

Парытэт Android і iOS

На практыцы выдаўцы, якія абапіраюцца на запыт App Tracking Transparency ў iOS, не могуць меркаваць, што ён задавальняе TTDSG — запыт Apple з'яўляецца кантролем на ўзроўні платформы, а не сапраўднай згодай па TTDSG сам па сабе. Вам патрэбны ўнутрыдадаткавы ўзровень CMP, які збірае адпаведную TTDSG згоду да ініцыялізацыі любога не строга неабходнага SDK.

Унутрыдадаткавыя радкі згоды

Для рэкламы ў мабільных дадатках радок IAB TCF ці радок IAB GPP павінен генеравацца і распаўсюджвацца на кожны SDK, які ўдзельнічае ў канвееры стаўак. Без сапраўднага радка згоды кожная стаўка юрыдычна ўразлівая незалежна ад таго, як SDK канфігуруе свае ўласныя паводзіны.

Ландшафт правапрымянення ў 2026 годзе

Нямецкія органы па абароне даных сталі значна больш актыўнымі ў правапрымяненні TTDSG у 2024 і 2025 гадах. Толькі Landesdatenschutzbeauftragte Баварыі адкрывае сотні расследаванняў у год, а Берлінскі орган па абароне даных выпусціў штрафы, якія канкрэтна спасылаюцца на парушэнні cookie-банераў.

Штрафы, убачаныя дагэтуль

Сам TTDSG усталёўвае максімальны адміністрацыйны штраф у 300 000 еўра за парушэнне. Але паколькі любое парушэнне TTDSG звычайна з'яўляецца таксама парушэннем GDPR, органы па абароне даных часта складвалі больш высокі штраф GDPR — да 20 мільёнаў еўра ці 4 працэнтаў ад сусветнага гадавога абароту. Выдаўцы і аператары электроннай камерцыі на нямецкім рынку павінны планаваць складзеную адказнасць пры ацэнцы рызык.

Грамадзянская адказнасць

Германія — адна з нямногіх юрысдыкцый ЕС, дзе асобныя карыстальнікі паспяхова падавалі ў суд за нематэрыяльны ўрон па артыкуле 82 GDPR у сувязі з парушэннямі cookie. Чакайце, што масавыя спажывецкія іскі, часта арганізаваныя праз Verbraucherzentralen і юрыдычныя фірмы іскачоў, працягнуцца ў 2026 годзе.

Чэк-ліст аўдыту для нямецкага трафіку

• CMP прадстаўляе «Прыняць усё» і «Адхіліць усё» з роўнай візуальнай прыкметнасцю на першым узроўні
• Ніякія cookie, пікселі ці староннія скрыпты не загружаюцца да згоды, уключаючы аналітыку і A/B-тэставанне
• Прапануецца гранулярнасць па мэтах і пастаўшчыках, з апісаннямі мэт на простай нямецкай мове
• Механізм адкліку згоды пастаянны і даступны з кожнай старонкі
• Запісы згоды захоўваюцца з меткай часу, версіяй згоды і прадастаўленымі мэтамі
• Мабільныя дадаткі забяспечваюць згоду па TTDSG да ініцыялізацыі любога не строга неабходнага SDK, незалежна ад запыту iOS ATT
• Дапаўненні аб апрацоўцы даных і ацэнкі перадачы па Schrems II задакументаваны для кожнага пастаўшчыка з ЗША
• Праверка цёмных патэрнаў завершана ў адпаведнасці з апошнімі рэкамендацыямі DSK
• Палітыка канфідэнцыяльнасці называе ўсіх апрацоўшчыкаў, асобна вызначае законную падставу па GDPR і падставу згоды па TTDSG і даступна на нямецкай мове
• Спіс пастаўшчыкоў сінхранізаваны з IAB TCF v2.2 і абнаўляецца пры дабаўленні новых партнёраў

Перспектывы на 2026 год

Рэбрэндынг у TDDDG у 2024 годзе не змякчыў нямецкае правапрымяненне. Калі ўжо на тое пайшло, органы па абароне даных лепш забяспечаны рэсурсамі і больш скаардынаваны праз DSK, чым два гады таму. Траекторыя ясная: бар'еры згоды будуць расці, праверка цёмных патэрнаў узмоцніцца, а ацэнкі перадачы па Schrems II стануць стандартным фокусам аўдыту. Выдаўцы і рэкламадаўцы, якія працуюць у Германіі, якія інвеставалі ў належны стэк згоды ў 2024-2025 гадах, у цэлым у добрай форме. Тыя, хто адклаў нямецкае адпаведнасць на потым, уваходзяць у 2026 год з вядомымі прабеламі і нарастаючым інтарэсам рэгулятараў. Правільны крок — закрыць гэтыя прабелы зараз — да таго, як расследаванне Landesdatenschutzbeauftragte навяжа гэта пытанне ў тэрміны, якія вы не кантралюеце.