জার্মানি TTDSG কুকি সম্মতি: টেলিযোগাযোগ ও টেলিমিডিয়া ডেটা সুরক্ষা আইন বিষয়ে প্রকাশক ও বিজ্ঞাপনদাতাদের জন্য ২০২৬ সালের গাইড
জার্মানি মহাদেশীয় ইউরোপের বৃহত্তম বিজ্ঞাপন বাজার এবং কুকির ক্ষেত্রে এটি সবচেয়ে কঠোর বাজারগুলির মধ্যে একটি। ২০২১ সালের ডিসেম্বর থেকে জার্মান আইন GDPR-এর উপরে একটি নিবেদিত কুকি সম্মতি ব্যবস্থা — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — যোগ করেছে। ২০২৪ সালে EU ডিজিটাল সার্ভিসেস অ্যাক্টের সাথে সামঞ্জস্য রাখতে আইনটির নামকরণ করা হয় TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), তবে এর বিষয়বস্তু এবং ব্যবহারিক বাধ্যবাধকতা পরিবর্তন হয়নি। আপনি যদি ২০২৬ সালে জার্মান বাজারে ডিজিটাল বিজ্ঞাপন, বিশ্লেষণ বা যেকোনো তৃতীয়-পক্ষের ট্র্যাকিং পরিচালনা করেন, তাহলে GDPR-এর পাশাপাশি আপনি TTDSG/TDDDG-এর অধীন, এবং জার্মান DPA-রা প্রয়োগ করতে মোটেও দ্বিধা করে না। এই গাইডটি ব্যাখ্যা করে আইনটি কী কভার করে, এটি শুধু GDPR থেকে কীভাবে আলাদা, এবং জার্মানিতে সম্মত থাকতে আপনার CMP ও বিজ্ঞাপন স্ট্যাকের কী করতে হবে।
TTDSG এবং TDDDG আসলে কী নিয়ন্ত্রণ করে
TTDSG EU ePrivacy নির্দেশিকাটিকে অস্বাভাবিক নির্ভুলতার সাথে জার্মান আইনে রূপান্তরিত করে। GDPR যেখানে ব্যক্তিগত ডেটার প্রক্রিয়াকরণ নিয়ন্ত্রণ করে, সেখানে TTDSG নিয়ন্ত্রণ করে ব্যবহারকারীর টার্মিনাল সরঞ্জামে তথ্য সংরক্ষণ বা ইতিমধ্যে সেখানে সংরক্ষিত তথ্যে প্রবেশ — সেই তথ্য ব্যক্তিগত ডেটা কিনা তা নির্বিশেষে। সহজ ভাষায়: প্রতিটি কুকি, প্রতিটি পিক্সেল, প্রতিটি লোকাল স্টোরেজ রাইট, প্রতিটি ফিঙ্গারপ্রিন্টিং স্ক্রিপ্ট — এমনকি শূন্য ব্যক্তিগত ডেটা সংগ্রহ করলেও — সবই এর আওতাভুক্ত।
ধারা ২৫ — মূল সম্মতির নিয়ম
মূল বিধানটি হল TTDSG-এর ধারা ২৫ (এখন ধারা ২৫ TDDDG)। এটি ব্যবহারকারীর টার্মিনাল সরঞ্জামে কোনো তথ্য সংরক্ষণ বা সেখানে প্রবেশ নিষিদ্ধ করে, যদি না দুটি শর্তের একটি পূরণ হয়:
- ব্যবহারকারী স্পষ্ট এবং ব্যাপকভাবে জানানোর পরে অবহিত, স্বেচ্ছাকৃত, নির্দিষ্ট এবং সক্রিয় সম্মতি দিয়েছেন, অথবা
- সংরক্ষণ বা প্রবেশ ব্যবহারকারী স্পষ্টভাবে অনুরোধ করা একটি টেলিমিডিয়া পরিষেবা প্রদানের জন্য কঠোরভাবে প্রয়োজনীয়।
কোনো বৈধ স্বার্থের ভিত্তি নেই। কোনো নরম অপ্ট-ইন নেই। কঠোরভাবে প্রয়োজনীয়-এর জার্মান ব্যাখ্যা অনেক অন্যান্য ইউরোপীয় এখতিয়ারের চেয়ে সংকীর্ণ — এটি সেশন কুকি, লোড ব্যালান্সিং এবং পেমেন্ট প্রক্রিয়াকরণ কভার করে, কিন্তু বিশ্লেষণ, বিজ্ঞাপন বা বেশিরভাগ ব্যক্তিগতকরণ নয়।
GDPR-এর সাথে মিথস্ক্রিয়া
TTDSG GDPR-কে প্রতিস্থাপন করে না। এটি তার উপরে বসে। এমনকি কুকি সেট করার জন্য TTDSG বাধা অতিক্রম করলেও, পরবর্তী যেকোনো ব্যক্তিগত ডেটা প্রক্রিয়াকরণের জন্য আপনার এখনও GDPR আইনগত ভিত্তির প্রয়োজন। একটি পরিষ্কার জার্মান সম্মতির অবস্থানের জন্য উভয় গেট পার হতে হবে। একটি সাধারণ ভুল হল GDPR-এর অনুচ্ছেদ ৬(১)(ক)-এর অধীনে সম্মতি সংগ্রহ করা এবং ধরে নেওয়া যে এটি TTDSG-ও কভার করে — এটি করে, তবে সম্মতি TTDSG-এর নির্দিষ্টতার প্রয়োজনীয়তাও পূরণ করলে, যেগুলি বেশ কিছু দিক থেকে GDPR-এর চেয়ে কঠোর।
জার্মানি কীভাবে বাকি EU থেকে আলাদা
EU জুড়ে নিয়ন্ত্রকরা ePrivacy কে সামান্য ভিন্নভাবে ব্যাখ্যা করেন। জার্মানি বেশ কিছু বিষয়ে স্পেকট্রামের কঠোর প্রান্তে রয়েছে।
বিশ্লেষণের জন্য স্পষ্ট সম্মতি প্রয়োজন
জার্মান DPA-রা ধারাবাহিকভাবে বলে আসছে যে Google Analytics, Matomo (ক্লাউড), Adobe Analytics, Mixpanel এবং অনুরূপ সরঞ্জামগুলির জন্য অপ্ট-ইন সম্মতি প্রয়োজন। স্বল্প ধারণকালীন স্ব-হোস্টেড, বেনামী বিশ্লেষণ কখনও কখনও কঠোরভাবে প্রয়োজনীয় হিসেবে যোগ্য হতে পারে, তবে মানদণ্ড উঁচু এবং DPA অনুযায়ী পরিবর্তিত হয়। বাভারিয়া, বাডেন-ভুর্টেমবার্গ, বার্লিন এবং হামবুর্গ প্রত্যেকে বিস্তারিত প্রযুক্তিগত গাইডেন্স প্রকাশ করে এবং সেগুলি অভিন্ন নয়।
Schrems II এবং US-এ ট্রান্সফার
জার্মান DPA-রা Schrems II ট্রান্সফার সমস্যায় ইউরোপে সবচেয়ে আক্রমণাত্মকদের মধ্যে একটি ছিল। US-হোস্টেড ট্র্যাকার চালানো — Data Privacy Framework সার্টিফিকেশন সহ হলেও — যদি ট্র্যাকিং ব্যাপক হয় বা বিশেষ বিভাগের ডেটা জড়িত থাকে তবে তদন্ত আকর্ষণ করে। Datenschutzkonferenz (DSK), জার্মান ফেডারেল ও রাজ্য DPA-দের যৌথ সংস্থা, বারবার গাইডেন্স জারি করেছে যে বৈধ ট্রান্সফার মেকানিজম ছাড়া US প্রসেসরদের কাছে পাঠানো টেলিমেট্রি একই সাথে GDPR এবং TTDSG উভয়ই লঙ্ঘন করে।
ডার্ক প্যাটার্ন স্পষ্টভাবে নিষিদ্ধ
বেশ কিছু জার্মান DPA প্রয়োগমূলক গাইডেন্স জারি করেছে যে কনফার্মেশন শেমিং, প্রি-সিলেক্টেড চেকবক্স, বোতামের অসম দৃশ্যমানতা এবং জোর-করা প্রকাশের প্যাটার্ন বৈধ TTDSG সম্মতির সাথে অসামঞ্জস্যপূর্ণ। যে ব্যানারে „সব গ্রহণ করুন“ দৃশ্যগতভাবে আধিপত্যশীল এবং „সব প্রত্যাখ্যান করুন“ দ্বিতীয় ক্লিকের পেছনে লুকানো থাকে তা ২০২৬ সালের জার্মান অডিটে ব্যর্থ হবে।
জার্মান বাজারের জন্য ব্যবহারিক CMP প্রয়োজনীয়তা
একটি প্রোডাকশন পরিবেশে TTDSG/TDDDG সন্তুষ্ট করতে, আপনার সম্মতি ব্যবস্থাপনা প্ল্যাটফর্ম এবং ট্যাগ ম্যানেজারকে বেশ কিছু নির্দিষ্ট আচরণ প্রয়োগ করতে হবে।
গ্রহণ ও প্রত্যাখ্যানের জন্য সমান দৃশ্যমানতা
প্রথম-স্তরের ব্যানারে সব গ্রহণ করুন-এর সাথে দৃশ্যমান সমতা সহ সব প্রত্যাখ্যান করুন বোতাম দেখাতে হবে। রঙ, আকার, অবস্থান এবং ইন্টারঅ্যাকশন খরচ অবশ্যই ভারসাম্যপূর্ণ হতে হবে। অনেক CMP তাদের জার্মান লোকেলে এই মানদণ্ড পূরণ করে না এমন একটি ডিফল্ট টেমপ্লেট পাঠায়।
প্রতি-বিক্রেতা বিস্তারিততা
জার্মান নিয়ন্ত্রকরা প্রত্যাশা করেন যে ব্যবহারকারীরা একটি একক বৈশ্বিক টগলের পরিবর্তে প্রতি-বিক্রেতা বা প্রতি-উদ্দেশ্য ভিত্তিতে সম্মতি দিতে সক্ষম হবেন। IAB TCF v2.2 এই প্রত্যাশা পূরণ করে, তবে কেবলমাত্র যদি আপনার বিক্রেতার তালিকা আপডেট থাকে এবং উদ্দেশ্যগুলি স্পষ্টভাবে ব্যাখ্যা করা হয়।
সম্মতির আগে ব্লকিং
ইতিবাচক সম্মতি রেকর্ড করার আগে কোনো তৃতীয়-পক্ষের স্ক্রিপ্ট লোড হতে পারবে না, কোনো কুকি লেখা যাবে না এবং কোনো পিক্সেল ফায়ার করতে পারবে না। এটি Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok এবং প্রতিটি বিজ্ঞাপন সার্ভারে প্রযোজ্য। ট্যাগ ম্যানেজমেন্ট সম্মতি-সচেতন মোড ব্যবহার — যেমন Google Tag Manager-এর সম্মতি ইনিশিয়ালাইজেশন — প্রত্যাশিত প্যাটার্ন।
এক ক্লিকে প্রত্যাহারযোগ্য
জার্মান DPA-রা দাবি করে যে সম্মতি প্রত্যাহার করা মঞ্জুর করার মতোই সহজ হবে। সাইটের প্রতিটি পৃষ্ঠায় একটি স্থায়ী, দৃশ্যমান প্রক্রিয়া — একটি ভাসমান পুনরায়-খোলার বোতাম, একটি ফুটার লিঙ্ক বা সমতুল্য UI উপাদান — উপলব্ধ থাকতে হবে।
সম্মতির রেকর্ড এবং অডিট ট্রেইল
TTDSG GDPR-এর অনুচ্ছেদ ৭(১) উত্তরাধিকার সূত্রে পেয়েছে: নিয়ন্ত্রককে প্রমাণ করতে সক্ষম হতে হবে যে সম্মতি দেওয়া হয়েছিল। কখন, কীভাবে এবং কোন উদ্দেশ্যে সম্মতি দেওয়া হয়েছিল তার রেকর্ড রাখুন, জার্মান দেওয়ানি সীমাবদ্ধতার বিধিমালা বিবেচনা করে আদর্শভাবে কমপক্ষে ৩৬ মাসের জন্য। Google-সার্টিফাইড বেশিরভাগ CMP ডিফল্টভাবে এটি পরিচালনা করে।
মোবাইল অ্যাপ এবং SDK ট্র্যাকিং
TTDSG মোবাইল অ্যাপে সমান শক্তিতে প্রযোজ্য। Android-এ বিজ্ঞাপনের জন্য আইডেন্টিফায়ার, iOS-এ idfa, যেকোনো SDK-স্তরের ফিঙ্গারপ্রিন্টিং এবং যেকোনো ক্রস-অ্যাপ কুকি আচরণ সবই সম্মতির নিয়মের অধীন।
Android এবং iOS সমতা
বাস্তবে, iOS App Tracking Transparency প্রম্পটের উপর নির্ভরকারী প্রকাশকরা ধরে নিতে পারেন না যে এটি TTDSG সন্তুষ্ট করে — Apple-এর প্রম্পট একটি প্ল্যাটফর্ম-স্তরের নিয়ন্ত্রণ এবং নিজেই একটি বৈধ TTDSG সম্মতি নয়। আপনার একটি ইন-অ্যাপ CMP স্তর দরকার যা কঠোরভাবে প্রয়োজনীয় নয় এমন কোনো SDK ইনিশিয়ালাইজ হওয়ার আগে TTDSG-সামঞ্জস্যপূর্ণ সম্মতি সংগ্রহ করে।
ইন-অ্যাপ সম্মতি স্ট্রিং
মোবাইল অ্যাপ বিজ্ঞাপনের জন্য, IAB TCF স্ট্রিং বা IAB GPP স্ট্রিং অবশ্যই তৈরি করতে হবে এবং বিড পাইপলাইনে অংশগ্রহণকারী প্রতিটি SDK-তে প্রচার করতে হবে। একটি বৈধ সম্মতি স্ট্রিং ছাড়া, SDK তার নিজস্ব আচরণ কীভাবে কনফিগার করে তা নির্বিশেষে, প্রতিটি বিড আইনগতভাবে উন্মুক্ত।
২০২৬ সালে প্রয়োগের প্রেক্ষাপট
জার্মান DPA-রা ২০২৪ এবং ২০২৫ সালে TTDSG প্রয়োগে উল্লেখযোগ্যভাবে আরও সক্রিয় হয়েছে। একা বাভারিয়ার Landesdatenschutzbeauftragte বছরে শত শত তদন্ত খুলেছে, এবং বার্লিন DPA কুকি-ব্যানার লঙ্ঘনের কথা বিশেষভাবে উল্লেখ করে জরিমানা জারি করেছে।
এ পর্যন্ত যে জরিমানা দেখা গেছে
TTDSG নিজেই প্রতি লঙ্ঘনে সর্বোচ্চ প্রশাসনিক জরিমানা ৩,০০,০০০ EUR নির্ধারণ করে। কিন্তু যেকোনো TTDSG লঙ্ঘন সাধারণত একটি GDPR লঙ্ঘনও হওয়ায়, DPA-রা প্রায়ই উচ্চতর GDPR জরিমানা স্তুপ করেছে — ২ কোটি EUR বা বৈশ্বিক বার্ষিক টার্নওভারের ৪ শতাংশ পর্যন্ত। জার্মান বাজারের প্রকাশক এবং ই-কমার্স অপারেটরদের এক্সপোজার পরিমাপ করার সময় স্তুপিত দায়বদ্ধতার পরিকল্পনা করা উচিত।
দেওয়ানি দায়বদ্ধতা
জার্মানি EU-র কয়েকটি বিচারব্যবস্থার মধ্যে একটি যেখানে পৃথক ব্যবহারকারীরা কুকি লঙ্ঘনের সাথে সম্পর্কিত GDPR-এর অনুচ্ছেদ ৮২-এর অধীনে অ-বস্তুগত ক্ষতির জন্য সফলভাবে মামলা করেছেন। Verbraucherzentralen এবং বাদী আইন সংস্থাগুলির মাধ্যমে প্রায়শই সংগঠিত গণ ভোক্তা দাবি ২০২৬ সালে অব্যাহত থাকার প্রত্যাশা করুন।
জার্মান ট্র্যাফিকের জন্য অডিট চেকলিস্ট
- CMP প্রথম স্তরে সমান দৃশ্যমান গুরুত্ব সহ সব গ্রহণ করুন এবং সব প্রত্যাখ্যান করুন উপস্থাপন করে
- বিশ্লেষণ এবং A/B পরীক্ষা সহ সম্মতির আগে কোনো কুকি, পিক্সেল বা তৃতীয়-পক্ষের স্ক্রিপ্ট লোড হয় না
- জার্মানে সরল ভাষায় উদ্দেশ্যের বিবরণ সহ প্রতি-উদ্দেশ্য এবং প্রতি-বিক্রেতা বিস্তারিততা প্রদান করা হয়
- সম্মতি প্রত্যাহার প্রক্রিয়া স্থায়ী এবং প্রতিটি পৃষ্ঠা থেকে সহজলভ্য
- সম্মতির রেকর্ড টাইমস্ট্যাম্প, সম্মতির সংস্করণ এবং মঞ্জুরকৃত উদ্দেশ্য সহ সংরক্ষিত থাকে
- মোবাইল অ্যাপগুলি iOS ATT প্রম্পট থেকে স্বাধীনভাবে কঠোরভাবে প্রয়োজনীয় নয় এমন কোনো SDK ইনিশিয়ালাইজ করার আগে TTDSG সম্মতি প্রয়োগ করে
- US-ভিত্তিক প্রতিটি বিক্রেতার জন্য ডেটা প্রসেসিং অ্যাডেন্ডাম এবং Schrems II ট্রান্সফার মূল্যায়ন নথিভুক্ত করা হয়
- সর্বশেষ DSK গাইডেন্সের বিপরীতে ডার্ক প্যাটার্ন পর্যালোচনা সম্পন্ন হয়েছে
- গোপনীয়তা নীতি সমস্ত প্রসেসরের নাম দেয়, GDPR-এর অধীনে আইনগত ভিত্তি এবং TTDSG-এর অধীনে সম্মতির ভিত্তি আলাদাভাবে চিহ্নিত করে এবং জার্মানিতে উপলব্ধ
- বিক্রেতার তালিকা IAB TCF v2.2 এর সাথে সিঙ্ক্রোনাইজ করা হয়েছে এবং নতুন অংশীদার যোগ করা হলে আপডেট করা হয়
২০২৬ সালের দৃষ্টিভঙ্গি
২০২৪ সালে TDDDG-তে পুনর্নামকরণ জার্মান প্রয়োগকে নমনীয় করেনি। যদি কিছু হয়, তাহলে DPA-রা দুই বছর আগের তুলনায় আরও ভালো সম্পদ সম্পন্ন এবং DSK-এর মাধ্যমে আরও সমন্বিত। গতিপথ স্পষ্ট: সম্মতির মানদণ্ড উচ্চতর হবে, ডার্ক-প্যাটার্নের তদন্ত তীব্র হবে এবং Schrems II ট্রান্সফার মূল্যায়ন একটি আদর্শ অডিট ফোকাস হয়ে উঠবে। জার্মানিতে পরিচালিত প্রকাশক এবং বিজ্ঞাপনদাতারা যারা ২০২৪-২০২৫ সালে একটি সঠিক সম্মতি স্ট্যাকে বিনিয়োগ করেছেন তারা ব্যাপকভাবে ভালো অবস্থায় আছেন। যারা জার্মান সম্মতি পরে রেখেছেন তারা পরিচিত ফাঁক এবং ক্রমবর্ধমান নিয়ন্ত্রক আগ্রহ নিয়ে ২০২৬ সালে প্রবেশ করছেন। সঠিক পদক্ষেপ হল এখনই সেই ফাঁকগুলি বন্ধ করা — Landesdatenschutzbeauftragte তদন্ত আপনার নিয়ন্ত্রণে নেই এমন একটি সময়রেখায় প্রশ্নটি জোর করে আনার আগে।