Německý TTDSG a souhlas s cookies: Průvodce pro vydavatele a inzerenty na rok 2026 k zákonu o ochraně dat v oblasti telekomunikací a telemédií
Německo je největším reklamním trhem v kontinentální Evropě a zároveň jedním z nejpřísnějších, pokud jde o cookies. Od prosince 2021 přidalo německé právo na vrchol GDPR vyhrazený režim souhlasu s cookies — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). V roce 2024 byl zákon přejmenován na TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), aby byl v souladu se zákonem EU o digitálních službách, ale jeho obsah a praktické povinnosti se nezměnily. Pokud v roce 2026 provozujete digitální reklamu, analytiku nebo jakékoli sledování třetích stran na německém trhu, podléháte TTDSG/TDDDG navíc k GDPR, přičemž německé DPA nejsou v prosazování práva vůbec ostýchavé. Tato příručka vysvětluje, co zákon pokrývá, jak se liší od samotného GDPR a co musí váš CMP a reklamní stack dělat, aby byl v Německu v souladu s předpisy.
Co TTDSG a TDDDG ve skutečnosti regulují
TTDSG transponuje směrnici EU o ePrivacy do německého práva s nezvyklou přesností. Zatímco GDPR reguluje zpracování osobních údajů, TTDSG reguluje jakékoli ukládání informací do nebo přístup k informacím již uloženým v koncovém zařízení uživatele — bez ohledu na to, zda jsou tyto informace osobními údaji. Jednoduše řečeno: každý cookie, každý pixel, každý zápis do lokálního úložiště, každý skript pro snímání otisků — i když nesbírají žádné osobní údaje — spadají do oblasti působnosti.
Oddíl 25 — Základní pravidlo souhlasu
Stěžejním ustanovením je Oddíl 25 TTDSG (nyní Oddíl 25 TDDDG). Zakazuje ukládání nebo přístup k jakýmkoli informacím v koncovém zařízení uživatele, pokud není splněna jedna ze dvou podmínek:
- Uživatel udělil informovaný, dobrovolný, konkrétní a aktivní souhlas poté, co byl jasným a komplexním způsobem informován, nebo
- Ukládání nebo přístup je nezbytně nutný pro poskytnutí telemediální služby, kterou uživatel výslovně požadoval.
Neexistuje žádný základ oprávněného zájmu. Neexistuje žádný měkký opt-in. Německý výklad pojmu nezbytně nutný je užší než v mnoha jiných evropských jurisdikcích — zahrnuje session cookies, vyrovnávání zátěže a zpracování plateb, ale ne analytiku, ne reklamu a ne většinu personalizace.
Interakce s GDPR
TTDSG nenahrazuje GDPR. Sedí na vrcholu GDPR. I když překonáte překážku TTDSG pro akt nastavení cookie, stále potřebujete právní základ GDPR pro veškeré následné zpracování osobních údajů. Čistý německý postoj k souladu vyžaduje průchod oběma bránami. Běžnou chybou je sbírat souhlas podle článku 6 odst. 1 písm. a) GDPR a předpokládat, že to pokrývá i TTDSG — pokrývá, za předpokladu, že souhlas splňuje také požadavky specifičnosti TTDSG, které jsou v několika ohledech přísnější než GDPR.
Jak se Německo liší od zbytku EU
Regulátoři napříč EU vykládají ePrivacy mírně odlišnými způsoby. Německo se nachází na přísném konci spektra v několika ohledech.
Pro analytiku se vyžaduje explicitní souhlas
Německé DPA důsledně zastávaly názor, že Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel a podobné nástroje vyžadují souhlas opt-in. Vlastní hostovaná, anonymizovaná analytika s krátkým uchováváním může někdy splňovat podmínky pro nezbytně nutnou, ale laťka je vysoká a liší se podle DPA. Bavorsko, Bádensko-Württembersko, Berlín a Hamburk každý zveřejňují podrobné technické pokyny a nejsou totožné.
Schrems II a přenosy do USA
Německé DPA patřily k nejagresivnějším v Evropě, pokud jde o otázky přenosů Schrems II. Provozování trackeru hostovaného v USA — i s certifikací Data Privacy Framework — přitahuje pozornost, pokud je sledování rozsáhlé nebo zahrnuje data zvláštní kategorie. Datenschutzkonferenz (DSK), společný orgán německých federálních a zemských DPA, opakovaně vydával pokyny, že telemetrie odesílaná americkým zpracovatelům bez platného mechanismu přenosu porušuje GDPR i TTDSG současně.
Temné vzory jsou výslovně zakázány
Několik německých DPA vydalo pokyny k prosazování, že manipulativní odmítání, předem zaškrtnutá políčka, nerovná vizuální prominentnost tlačítek a vzory vynuceného zveřejnění jsou neslučitelné s platným souhlasem TTDSG. Banner, kde „Přijmout vše“ je vizuálně dominantní a „Odmítnout vše“ je skryto za druhým kliknutím, neuspěje v německém auditu v roce 2026.
Praktické požadavky CMP pro německý trh
Pro splnění TTDSG/TDDDG v produkčním prostředí musí vaše platforma pro správu souhlasů a správce tagů vynucovat několik specifických chování.
Stejná prominentnost pro přijetí a odmítnutí
Banner první vrstvy musí zobrazovat tlačítko Odmítnout vše s vizuální paritou vůči Přijmout vše. Barva, velikost, poloha a náklady na interakci musí být vyváženy. Mnoho CMP dodává výchozí šablonu, která tuto laťku v německém jazyce nesplňuje.
Granularita na úrovni dodavatele
Němečtí regulátoři očekávají, že uživatelé budou moci udělovat souhlas na základě jednotlivých dodavatelů nebo účelů, nikoli jen jediným globálním přepínačem. IAB TCF v2.2 splňuje toto očekávání, ale pouze pokud je váš seznam dodavatelů aktuální a účely jsou srozumitelně vysvětleny.
Blokování před souhlasem
Žádný skript třetí strany se nesmí načíst, žádný cookie nesmí být zapsán a žádný pixel nesmí vystřelit před zaznamenáním kladného souhlasu. To platí pro Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok a každý reklamní server. Používání režimů správy tagů s ohledem na souhlas — jako je inicializace souhlasu Google Tag Manager — je očekávaným vzorem.
Odvolatelný jedním kliknutím
Německé DPA vyžadují, aby odvolání souhlasu bylo stejně snadné jako jeho udělení. Na každé stránce webu musí být k dispozici trvalý, viditelný mechanismus — plovoucí tlačítko pro znovuotevření, odkaz v patičce nebo ekvivalentní prvek UI.
Záznamy souhlasů a auditní stopa
TTDSG dědí článek 7 odst. 1 GDPR: správce musí být schopen prokázat, že byl souhlas udělen. Uchovávejte záznamy o tom, kdy, jak a pro jaké účely byl souhlas udělen, ideálně po dobu alespoň 36 měsíců vzhledem k německé promlčecí lhůtě občanského práva. Většina CMP certifikovaných Googlem to zvládá standardně.
Mobilní aplikace a sledování SDK
TTDSG se na mobilní aplikace vztahuje se stejnou silou. Identifikátor pro reklamu v systému Android, idfa v systému iOS, jakýkoli fingerprinting na úrovni SDK a jakékoli chování cookies napříč aplikacemi podléhají pravidlu souhlasu.
Parita Android a iOS
V praxi vydavatelé, kteří se spoléhají na výzvu iOS App Tracking Transparency, nemohou předpokládat, že splňuje TTDSG — výzva Applu je ovládací prvek na úrovni platformy a sama o sobě není platným souhlasem TTDSG. Potřebujete vrstvu CMP v aplikaci, která shromažďuje souhlas v souladu s TTDSG ještě předtím, než se inicializuje jakékoli SDK, které není nezbytně nutné.
Řetězce souhlasů v aplikaci
Pro reklamu v mobilních aplikacích musí být řetězec IAB TCF nebo řetězec IAB GPP vygenerován a rozšířen do každého SDK, které se účastní nabídkového řetězce. Bez platného řetězce souhlasů je každá nabídka právně vystavena bez ohledu na to, jak si SDK konfiguruje vlastní chování.
Prostředí prosazování v roce 2026
Německé DPA se v prosazování TTDSG v letech 2024 a 2025 staly výrazně aktivnějšími. Samotný Landesdatenschutzbeauftragte Bavorska zahájil stovky vyšetřování ročně a berlínská DPA vydala pokuty specificky odkazující na porušení bannerů s cookies.
Dosud uložené pokuty
TTDSG sám stanovuje maximální správní pokutu 300 000 EUR za porušení. Ale protože každé porušení TTDSG je obvykle také porušením GDPR, DPA často nakupily vyšší sankci GDPR — až 20 milionů EUR nebo 4 procenta celosvětového ročního obratu. Vydavatelé a provozovatelé e-commerce na německém trhu by měli plánovat kumulovanou odpovědnost při zjišťování expozice.
Občanskoprávní odpovědnost
Německo je jednou z mála jurisdikcí EU, kde jednotliví uživatelé úspěšně žalovali o nemateriální škody podle článku 82 GDPR v souvislosti s porušeními cookies. Očekávejte, že hromadné spotřebitelské nároky, často organizované prostřednictvím Verbraucherzentralen a žalobcovských advokátních kanceláří, budou pokračovat v roce 2026.
Kontrolní seznam auditu pro německý provoz
- CMP zobrazuje Přijmout vše a Odmítnout vše se stejnou vizuální prominentností v první vrstvě
- Před souhlasem se nenačítají žádné cookies, pixely ani skripty třetích stran, včetně analytiky a A/B testování
- Je nabízena granularita na základě účelu a dodavatele s popisem účelů v jednoduchém jazyce v němčině
- Mechanismus odvolání souhlasu je trvalý a dostupný z každé stránky
- Záznamy souhlasů jsou uchovávány s časovým razítkem, verzí souhlasu a udělenými účely
- Mobilní aplikace vynucují souhlas TTDSG před inicializací jakéhokoli SDK, které není nezbytně nutné, nezávisle na výzvě iOS ATT
- Dodatky ke zpracování dat a posouzení přenosů Schrems II jsou zdokumentovány pro každého dodavatele se sídlem v USA
- Přezkum temných vzorů byl dokončen v souladu s nejnovějšími pokyny DSK
- Zásady ochrany osobních údajů jmenují všechny zpracovatele, identifikují právní základ pod GDPR a základ souhlasu pod TTDSG zvlášť a jsou k dispozici v němčině
- Seznam dodavatelů je synchronizován s IAB TCF v2.2 a aktualizován při přidávání nových partnerů
Výhled pro rok 2026
Přejmenování na TDDDG v roce 2024 německé prosazování nezmírnilo. Pokud vůbec, DPA jsou lépe vybaveny a více koordinovány prostřednictvím DSK než před dvěma lety. Trajektorie je jasná: laťky souhlasu porostou, kontrola temných vzorů se zostří a posouzení přenosů Schrems II se stanou standardním zaměřením auditu. Vydavatelé a inzerenti působící v Německu, kteří investovali do řádného zásobníku souhlasů v letech 2024–2025, jsou celkově v dobré kondici. Ti, kteří nechali německý soulad na později, vstupují do roku 2026 se známými mezerami a rostoucím regulačním zájmem. Správným krokem je tyto mezery uzavřít nyní — než vyšetřování Landesdatenschutzbeauftragte si otázku vynutí podle časového plánu, který nekontrolujete.