Què Regulen Realment el TTDSG i el TDDDG

El TTDSG transposa la Directiva ePrivacy de la UE a la llei alemanya amb una precisió inusual. On el GDPR regula el tractament de dades personals, el TTDSG regula qualsevol emmagatzematge d'informació a, o accés a informació ja emmagatzemada en, l'equip terminal d'un usuari — independentment de si aquesta informació és dada personal. En termes senzills: cada cookie, cada píxel, cada escriptura d'emmagatzematge local, cada script de fingerprinting és en abast, fins i tot si recull zero dades personals.

Article 25 — La Norma Bàsica de Consentiment

La disposició fonamental és l'Article 25 del TTDSG (ara Article 25 TDDDG). Prohibeix emmagatzemar o accedir a qualsevol informació a l'equip terminal d'un usuari tret que es compleixi una de dues condicions:

• L'usuari ha donat un consentiment informat, voluntari, específic i actiu després de ser informat d'una manera clara i completa, o
• L'emmagatzematge o l'accés és estrictament necessari per proporcionar un servei de telemèdia expressament sol·licitat per l'usuari.

No hi ha base d'interès legítim. No hi ha opt-in suau. La interpretació alemanya de estrictament necessari és més estreta que moltes altres jurisdiccions europees — cobreix les cookies de sessió, l'equilibri de càrrega i el processament de pagaments, però no l'analítica, no la publicitat, i no la majoria de personalitzacions.

Interacció amb el GDPR

El TTDSG no substitueix el GDPR. S'asseu per sobre d'ell. Fins i tot si supereu l'obstacle del TTDSG per a l'acte d'establir una cookie, encara necessiteu una base jurídica del GDPR per a qualsevol tractament de dades personals posterior. Una postura de compliment alemany neta requereix superar ambdues portes. Un error comú és recollir el consentiment sota l'Article 6(1)(a) del GDPR i assumir que cobreix el TTDSG també — ho fa, sempre que el consentiment també compleixi els requisits d'especificitat del TTDSG, que són més estrictes que els del GDPR en diversos aspectes.

Com Difereix Alemanya de la Resta de la UE

Els reguladors de tota la UE interpreten l'ePrivacy de maneres lleugerament diferents. Alemanya es troba a l'extrem estricte de l'espectre en diversos aspectes.

Es Requereix Consentiment Explícit per a l'Analítica

Les DPA alemanyes han sostingut constantment que Google Analytics, Matomo (núvol), Adobe Analytics, Mixpanel i eines similars requereixen consentiment d'opt-in. L'analítica autòmatament allotjada i anonimitzada amb curta retenció de vegades pot qualificar com a estrictament necessària, però la barra és alta i varia per DPA. Baviera, Baden-Württemberg, Berlín i Hamburg cadascuna publiquen una guia tècnica detallada, i no són idèntiques.

Schrems II i Transferències als EUA

Les DPA alemanyes han estat entre les més agressives d'Europa en els problemes de transferència de Schrems II. Executar un rastreador allotjat als EUA — fins i tot amb una certificació Data Privacy Framework — atrau l'escrutini si el seguiment és generalitzat o implica dades de categoria especial. La Datenschutzkonferenz (DSK), l'òrgan conjunt de les DPA federals i estatals alemanyes, ha emès orientació repetida que la telemetria enviada a processadors dels EUA sense un mecanisme de transferència vàlid viola tant el GDPR com el TTDSG simultàniament.

Patrons Obscurs Explícitament Prohibits

Diverses DPA alemanyes han emès orientació d'aplicació que la vergonya de confirmació, les caselles de verificació preseleccionades, la prominència desigual dels botons i els patrons de divulgació forçada són incompatibles amb el consentiment vàlid del TTDSG. Un bàner on „Acceptar tot“ és visualment dominant i „Rebutjar tot“ es troba enterrat darrere d'un segon clic fallarà una auditoria alemanya el 2026.

Requisits Pràctics de CMP per al Mercat Alemany

Per satisfer el TTDSG/TDDDG en un entorn de producció, la vostra plataforma de gestió de consentiment i el gestor d'etiquetes han de fer complir diversos comportaments específics.

Prominència Igual per a Acceptar i Rebutjar

El bàner de la primera capa ha de mostrar un botó Rebutjar Tot amb paritat visual respecte a Acceptar Tot. El color, la mida, la posició i el cost d'interacció han d'estar equilibrats. Molts CMP envien una plantilla predeterminada que no compleix aquesta barra en el seu local alemany.

Granularitat Per Proveïdor

Els reguladors alemanys esperen que els usuaris puguin donar el consentiment per proveïdor o per propòsit, no només un únic toggle global. IAB TCF v2.2 compleix aquesta expectativa, però només si la vostra llista de proveïdors és actual i els propòsits s'expliquen clarament.

Bloqueig Abans del Consentiment

Cap script de tercers pot carregar-se, cap cookie pot escriure's i cap píxel pot disparar-se abans que es registri el consentiment afirmatiu. Això s'aplica a Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok i tots els servidors d'anuncis. L'ús de modes de gestió d'etiquetes conscients del consentiment — com la inicialització del consentiment del Google Tag Manager — és el patró esperat.

Revocable amb Un Clic

Les DPA alemanyes requereixen que revocar el consentiment sigui tan fàcil com concedir-lo. Un mecanisme persistent i visible — un botó de reobertura flotant, un enllaç al peu de pàgina o un element d'UI equivalent — ha d'estar disponible a cada pàgina del lloc.

Registres de Consentiment i Rastre d'Auditoria

El TTDSG hereta l'Article 7(1) del GDPR: el responsable ha de poder demostrar que es va donar el consentiment. Conserveu registres de quan, com i per a quins propòsits es va concedir el consentiment, idealment durant almenys 36 mesos donats els terminis de prescripció civil alemanys. La majoria dels CMP certificats per Google gestionen això per defecte.

Aplicacions Mòbils i Seguiment SDK

El TTDSG s'aplica a les aplicacions mòbils amb igual força. L'identificador per a la publicitat a Android, l'idfa a iOS, qualsevol fingerprinting a nivell SDK i qualsevol comportament de cookies entre aplicacions estan tots subjectes a la norma de consentiment.

Paritat Android i iOS

En pràctica, els editors que confien en el missatge d'iOS App Tracking Transparency no poden assumir que satisfà el TTDSG — el missatge d'Apple és un control a nivell de plataforma i no és en si mateix un consentiment TTDSG vàlid. Necessiteu una capa CMP dins de l'aplicació que reculli el consentiment compatible amb el TTDSG abans que s'inicialitzi qualsevol SDK que no sigui estrictament necessari.

Cadenes de Consentiment a l'Aplicació

Per a la publicitat en aplicacions mòbils, la cadena IAB TCF o la cadena IAB GPP s'ha de generar i propagar a cada SDK que participa en el pipeline d'oferta. Sense una cadena de consentiment vàlida, cada oferta queda jurídicament exposada independentment de com el SDK configuri el seu propi comportament.

Panorama d'Aplicació el 2026

Les DPA alemanyes s'han tornat significativament més actives en l'aplicació del TTDSG el 2024 i el 2025. El Landesdatenschutzbeauftragte de Baviera sol ha obert centenars d'investigacions per any, i la DPA de Berlín ha emès multes citant específicament les infraccions de bàners de cookies.

Multes Vistes Fins Ara

El propi TTDSG estableix una multa administrativa màxima de 300.000 EUR per infracció. Però com que qualsevol infracció del TTDSG és típicament també una infracció del GDPR, les DPA sovint han acumulat la penalitat GDPR més alta — fins a 20 milions d'EUR o el 4 per cent de la facturació anual global. Els editors i operadors de comerç electrònic al mercat alemany haurien de planificar per a la responsabilitat acumulada quan calculin l'exposició.

Responsabilitat Civil

Alemanya és una de les poques jurisdiccions de la UE on usuaris individuals han demandat amb èxit per danys no materials en virtut de l'Article 82 del GDPR en relació amb infraccions de cookies. Espereu que les demandes massives dels consumidors, sovint organitzades a través de Verbraucherzentralen i despatxos d'advocats demandants, continuïn el 2026.

Llista de Verificació d'Auditoria per al Trànsit Alemany

• El CMP presenta Acceptar Tot i Rebutjar Tot amb igual prominència visual a la primera capa
• Cap cookie, píxel o scripts de tercers es carreguen abans del consentiment, incloent analítica i proves A/B
• S'ofereix granularitat per propòsit i per proveïdor, amb descripcions de propòsit en llenguatge senzill en alemany
• El mecanisme de retirada del consentiment és persistent i accessible des de cada pàgina
• Els registres de consentiment es conserven amb marca de temps, versió de consentiment i propòsits concedits
• Les aplicacions mòbils fan complir el consentiment TTDSG abans d'inicialitzar qualsevol SDK que no sigui estrictament necessari, independentment del missatge iOS ATT
• Els addends de processament de dades i les avaluacions de transferència de Schrems II estan documentats per a cada proveïdor basat als EUA
• La revisió de patrons obscurs s'ha completat contra la darrera guia DSK
• La política de privadesa nombra tots els processadors, identifica la base jurídica sota el GDPR i la base de consentiment sota el TTDSG per separat, i està disponible en alemany
• La llista de proveïdors està sincronitzada amb IAB TCF v2.2 i actualitzada quan s'afegeixen nous socis

La Perspectiva del 2026

El canvi de nom a TDDDG el 2024 no va suavitzar l'aplicació alemanya. Si de cas, les DPA estan millor dotades de recursos i més coordinades a través del DSK del que ho estaven fa dos anys. La trajectòria és clara: les barres de consentiment s'elevaran, l'escrutini dels patrons obscurs s'intensificarà i les avaluacions de transferència de Schrems II es convertiran en un focus d'auditoria estàndard. Els editors i anunciants que operen a Alemanya que van invertir en una pila de consentiment adequada el 2024-2025 estan en bona forma en general. Aquells que van deixar el compliment alemany per a més tard estan entrant al 2026 amb llacunes conegudes i un interès regulador creixent. El moviment correcte és tancar aquestes llacunes ara — abans que una investigació del Landesdatenschutzbeauftragte forci la qüestió en un termini que vosaltres no controleu.