Какво всъщност регулират TTDSG и TDDDG

TTDSG транспонира Директивата на ЕС за ePrivacy в германското право с необичайна прецизност. Докато GDPR регулира обработката на лични данни, TTDSG регулира всяко съхраняване на информация в или достъп до вече съхранена информация в терминалното оборудване на потребителя — независимо дали тази информация е лични данни. Казано просто: всяка бисквитка, всеки пиксел, всяко запис в локалното хранилище, всеки скрипт за пръстови отпечатъци е в обхвата, дори ако не събира никакви лични данни.

Член 25 — Основното правило за съгласие

Ключовата разпоредба е Член 25 от TTDSG (сега Член 25 TDDDG). Тя забранява съхраняването или достъпа до информация на терминалното оборудване на потребителя, освен ако не е изпълнено едно от две условия:

• Потребителят е дал информирано, доброволно, конкретно и активно съгласие след като е бил информиран по ясен и изчерпателен начин, или
• Съхраняването или достъпът е строго необходим за предоставяне на услуга за телемедии, изрично поискана от потребителя.

Няма основание за законен интерес. Няма мек opt-in. Германското тълкуване на строго необходимо е по-тясно от много други европейски юрисдикции — обхваща сесийни бисквитки, балансиране на натоварването и обработка на плащания, но не и анализи, не и реклама, и не повечето персонализации.

Взаимодействие с GDPR

TTDSG не замества GDPR. Той се нарежда върху него. Дори да преминете прага на TTDSG за акта на задаване на бисквитка, все още ви е необходимо правно основание по GDPR за всяко последващо обработване на лични данни. Чистата германска позиция на съответствие изисква преминаване и на двата портала. Честа грешка е събирането на съгласие по член 6(1)(а) от GDPR и предположението, че това покрива и TTDSG — покрива, при условие че съгласието отговаря и на изискванията за специфичност на TTDSG, които са по-строги от GDPR в няколко аспекта.

Как Германия се различава от останалата ЕС

Регулаторите в ЕС тълкуват ePrivacy по малко по-различен начин. Германия е на строгия край на спектъра в няколко отношения.

Изисква се изрично съгласие за анализи

Германските DPA-та последователно са приемали, че Google Analytics, Matomo (облак), Adobe Analytics, Mixpanel и подобни инструменти изискват съгласие за opt-in. Самостоятелно хостваните, анонимизирани анализи с кратко задържане понякога могат да се квалифицират като строго необходими, но летвата е висока и варира в зависимост от DPA. Бавария, Баден-Вюртемберг, Берлин и Хамбург всеки публикуват подробни технически насоки и те не са идентични.

Schrems II и прехвърляния към САЩ

Германските DPA-та са сред най-агресивните в Европа по въпросите за прехвърлянето по Schrems II. Работата с базиран в САЩ проследявач — дори с сертификация по Data Privacy Framework — привлича внимание, ако проследяването е широко разпространено или включва данни от специална категория. Datenschutzkonferenz (DSK), съвместният орган на германските федерални и провинциални DPA-та, е издавал повторни насоки, че телеметрията, изпращана до американски обработващи лица без валиден механизъм за прехвърляне, нарушава едновременно и GDPR, и TTDSG.

Тъмните модели са изрично забранени

Няколко германски DPA-та са издали насоки за прилагане, че потискащото срамуване, предварително избраните квадратчета за отметка, неравностойното визуално представяне на бутоните и принудителните модели на разкриване са несъвместими с валидното съгласие по TTDSG. Банер, при който „Приемам всички“ е визуално доминиращ, а „Отказвам всички“ е скрит зад втори клик, ще се провали при германски одит през 2026 г.

Практически изисквания към CMP за германския пазар

За да отговарите на TTDSG/TDDDG в производствена среда, вашата платформа за управление на съгласие и мениджър на тагове трябва да прилагат няколко специфични поведения.

Равно визуално значение за приемане и отказ

Банерът на първия слой трябва да показва бутон Отказ от всички с визуален паритет спрямо Приемане на всички. Цвят, размер, позиция и цена на взаимодействие трябва да бъдат балансирани. Много CMP-та доставят шаблон по подразбиране, който не отговаря на тази летва в германската им локализация.

Гранулярност на ниво доставчик

Германските регулатори очакват потребителите да могат да дават съгласие на база доставчик или цел, а не само с един глобален превключвател. IAB TCF v2.2 отговаря на това очакване, но само ако списъкът ви с доставчици е актуален и целите са обяснени ясно.

Блокиране преди съгласие

Никакъв скрипт от трета страна не може да се зареди, никаква бисквитка не може да се запише и никакъв пиксел не може да се активира преди записване на утвърдително съгласие. Това се отнася за Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok и всеки рекламен сървър. Използването на режими за управление на тагове, съобразени със съгласието — като инициализацията на съгласие в Google Tag Manager — е очакваният модел.

Оттегляне с един клик

Германските DPA-та изискват оттеглянето на съгласие да е толкова лесно, колкото и предоставянето му. На всяка страница от сайта трябва да е достъпен постоянен, видим механизъм — плаващ бутон за повторно отваряне, линк в долния колонтитул или еквивалентен UI елемент.

Записи за съгласие и одитна следа

TTDSG наследява Член 7(1) от GDPR: администраторът трябва да може да докаже, че е дадено съгласие. Пазете записи за това кога, как и за какви цели е дадено съгласие, в идеалния случай поне 36 месеца предвид германската гражданска давност. Повечето CMP-та, сертифицирани от Google, се справят с това по подразбиране.

Мобилни приложения и SDK проследяване

TTDSG се прилага за мобилни приложения с еднаква сила. Идентификаторът за рекламиране в Android, idfa в iOS, всяко пръстово отпечатване на ниво SDK и всяко поведение с бисквитки между приложенията са обект на правилото за съгласие.

Паритет между Android и iOS

На практика издателите, разчитащи на подкана за iOS App Tracking Transparency, не могат да приемат, че тя удовлетворява TTDSG — подканата на Apple е контрол на ниво платформа и сама по себе си не представлява валидно съгласие по TTDSG. Необходим ви е вграден в приложението слой CMP, който събира съобразено с TTDSG съгласие, преди да се инициализира какъвто и да е SDK, който не е строго необходим.

Низове за съгласие в приложения

За реклама в мобилни приложения IAB TCF низът или IAB GPP низът трябва да бъде генериран и разпространен до всеки SDK, участващ в тръбопровода за наддаване. Без валиден низ за съгласие всяка оферта е юридически изложена, независимо как SDK конфигурира собственото си поведение.

Пейзажът на прилагането за 2026 г.

Германските DPA-та са станали значително по-активни при прилагането на TTDSG през 2024 и 2025 г. Само Landesdatenschutzbeauftragte на Бавария е открил стотици разследвания годишно, а берлинското DPA е наложило глоби, специално позовавайки се на нарушения на банери с бисквитки.

Досега наложени глоби

Самият TTDSG определя максимална административна глоба от 300 000 EUR на нарушение. Но тъй като всяко нарушение на TTDSG обикновено е и нарушение на GDPR, DPA-тата са акумулирали по-висоата GDPR санкция — до 20 милиона EUR или 4 процента от общия годишен световен оборот. Издателите и операторите на електронна търговия на германския пазар трябва да планират натрупана отговорност при определяне на обхвата на риска.

Гражданска отговорност

Германия е една от малкото юрисдикции в ЕС, в която отделни потребители са спечелили дела за неимуществени вреди по Член 82 от GDPR, свързани с нарушения на бисквитки. Очаквайте масови потребителски искове, часто организирани чрез Verbraucherzentralen и адвокатски кантори на ищци, да продължат и през 2026 г.

Контролен списък за одит при германски трафик

• CMP представя „Приемане на всички“ и „Отказ от всички“ с равно визуално значение на първия слой
• Преди съгласие не се зареждат бисквитки, пиксели или скриптове от трети страни, включително анализи и A/B тестване
• Предлага се гранулярност по цел и по доставчик, с описания на целите на ясен език на немски
• Механизмът за оттегляне на съгласие е постоянен и достъпен от всяка страница
• Записите за съгласие се съхраняват с времеви печат, версия на съгласието и предоставени цели
• Мобилните приложения прилагат съгласие по TTDSG преди инициализирането на какъвто и да е SDK, който не е строго необходим, независимо от подканата iOS ATT
• Добавките за обработка на данни и оценките за прехвърляне по Schrems II са документирани за всеки доставчик, базиран в САЩ
• Прегледът на тъмните модели е завършен спрямо най-новите насоки на DSK
• Политиката за поверителност назовава всички обработващи лица, идентифицира правното основание по GDPR и основанието за съгласие по TTDSG поотделно и е достъпна на немски
• Списъкът с доставчици е синхронизиран с IAB TCF v2.2 и се актуализира при добавяне на нови партньори

Перспективата за 2026 г.

Преименуването на TDDDG през 2024 г. не смекчи германското прилагане. Ако изобщо, DPA-тата са по-добре снабдени и по-координирани чрез DSK, отколкото преди две години. Траекторията е ясна: летвата за съгласие ще се покачва, контролът на тъмните модели ще се засилва и оценките за прехвърляне по Schrems II ще стават стандартен одитен фокус. Издателите и рекламодателите, работещи в Германия, инвестирали в подходящ стек за съгласие през 2024–2025 г., са в добра форма като цяло. Тези, оставили германското съответствие за по-късно, влизат в 2026 г. с известни пропуски и нарастващ регулаторен интерес. Правилният ход е да се затворят тези пропуски сега — преди разследване на Landesdatenschutzbeauftragte да принуди въпроса по график, който вие не контролирате.