Tysklands TTDSG Cookie-samtykke: 2026-guiden for udgivere og annoncører til telekommunikations- og telemediets databeskyttelseslov
Tyskland er det største reklamemarked i kontinentale Europa og er samtidig et af de strengeste, når det gælder cookies. Siden december 2021 har tysk lovgivning lagt et dedikeret cookie-samtykkeregime — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — oven på GDPR. I 2024 blev loven omdøbt til TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) for at tilpasse sig EU's lov om digitale tjenester, men indholdet og de praktiske forpligtelser er ikke ændret. Hvis du driver digital annoncering, analyse eller tredjepartssporing på det tyske marked i 2026, er du underlagt TTDSG/TDDDG ud over GDPR, og de tyske DPA'er er langt fra tilbageholdende med håndhævelse. Denne guide forklarer, hvad loven dækker, hvordan den adskiller sig fra GDPR alene, og hvad din CMP og dit reklamemiljø skal gøre for at forblive compliant i Tyskland.
Hvad TTDSG og TDDDG faktisk regulerer
TTDSG gennemfører EU's ePrivacy-direktiv i tysk lovgivning med usædvanlig præcision. Hvor GDPR regulerer behandling af personoplysninger, regulerer TTDSG enhver lagring af oplysninger i eller adgang til oplysninger, der allerede er lagret på en brugers terminaludstyr — uanset om disse oplysninger er personoplysninger. I klart sprog: enhver cookie, enhver pixel, enhver local storage-skrivning, ethvert fingerprinting-script er inden for anvendelsesområdet, selv hvis det indsamler nul personoplysninger.
§ 25 — Den grundlæggende samtykkeregel
Den afgørende bestemmelse er § 25 i TTDSG (nu § 25 TDDDG). Den forbyder lagring af eller adgang til oplysninger på en brugers terminaludstyr, medmindre en af to betingelser er opfyldt:
- Brugeren har givet informeret, frivilligt, specifikt og aktivt samtykke efter at være informeret på en klar og udtømmende måde, eller
- Lagringen eller adgangen er strengt nødvendig for at levere en telemeditjeneste, som brugeren udtrykkeligt har anmodet om.
Der er ingen hjemmel i legitim interesse. Der er ingen blød opt-in. Den tyske fortolkning af strengt nødvendig er snævrere end mange andre europæiske jurisdiktioner — den dækker session cookies, belastningsfordeling og betalingsbehandling, men ikke analyse, ikke annoncering og ikke de fleste former for personalisering.
Samspil med GDPR
TTDSG erstatter ikke GDPR. Den sidder oven på den. Selv hvis du passerer TTDSG-hindringen for handlingen at sætte en cookie, har du stadig brug for et GDPR-retsgrundlag for enhver efterfølgende behandling af personoplysninger. En ren tysk compliance-holdning kræver, at du passerer begge porte. En almindelig fejl er at indsamle samtykke under GDPR's artikel 6, stk. 1, litra a), og antage, at det også dækker TTDSG — det gør det, forudsat at samtykket også opfylder TTDSG's specificitetskrav, som er strengere end GDPR's på flere punkter.
Hvordan Tyskland adskiller sig fra resten af EU
Regulatorer i EU fortolker ePrivacy på lidt forskellige måder. Tyskland befinder sig i den strenge ende af spektret på adskillige punkter.
Eksplicit samtykke påkrævet for analyse
Tyske DPA'er har konsekvent fastslået, at Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel og lignende værktøjer kræver opt-in-samtykke. Selvhostet, anonymiseret analyse med kort opbevaringsperiode kan nogle gange kvalificere sig som strengt nødvendig, men barren er høj og varierer efter DPA. Bayern, Baden-Württemberg, Berlin og Hamburg udgiver hver detaljeret teknisk vejledning, og de er ikke identiske.
Schrems II og overførsler til USA
Tyske DPA'er har været blandt de mest aggressive i Europa på Schrems II-overførselsproblemet. At drive en US-hostet tracker — selv med en Data Privacy Framework-certificering — tiltrækker kontrol, hvis sporingen er gennemgående eller involverer data i særlige kategorier. Datenschutzkonferenz (DSK), det fælles organ for tyske føderale og statslige DPA'er, har gentagne gange udstedt vejledning om, at telemetri sendt til amerikanske databehandlere uden en gyldig overførselsmekanisme krænker både GDPR og TTDSG samtidigt.
Mørke mønstre eksplicit forbudt
Adskillige tyske DPA'er har udstedt håndhævelsesvejledning om, at bekræftelsesmæssig skam, forudvalgte afkrydsningsfelter, ulige knapfremtræden og mønstre for tvungen afsløring er uforenelige med gyldigt TTDSG-samtykke. Et banner, hvor „Accepter alt“ er visuelt dominerende, og „Afvis alt“ er begravet bag et andet klik, vil fejle en tysk revision i 2026.
Praktiske CMP-krav til det tyske marked
For at opfylde TTDSG/TDDDG i et produktionsmiljø skal din samtykkestyringplatform og tag manager håndhæve adskillige specifikke adfærdsmønstre.
Lige fremtræden for Accepter og Afvis
Det første-lags-banner skal vise en Afvis alle-knap med visuel paritet til Accepter alle. Farve, størrelse, position og interaktionsomkostning skal være afbalancerede. Mange CMP'er leverer en standardskabelon, der ikke lever op til dette i deres tyske lokalisering.
Granularitet per leverandør
Tyske regulatorer forventer, at brugere kan give samtykke på leverandør- eller formålsbasis, ikke bare en enkelt global kontakt. IAB TCF v2.2 opfylder denne forventning, men kun hvis din leverandørliste er aktuel, og formålene er tydeligt forklaret.
Blokering før samtykke
Intet tredjepartsscript må indlæses, ingen cookie må skrives, og ingen pixel må affyres, før bekræftende samtykke er registreret. Dette gælder Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok og enhver annonceserver. Brug af samtykkebevidste tag management-tilstande — såsom Google Tag Managers samtykkeinitialiserering — er det forventede mønster.
Tilbagetrækkelig med ét klik
Tyske DPA'er kræver, at tilbagetrækning af samtykke er lige så nemt som at give det. En vedvarende, synlig mekanisme — en flydende genåbningsknap, et sidefodslink eller tilsvarende UI-element — skal være tilgængelig på hver side af webstedet.
Samtykkeregistreringer og revisionsspor
TTDSG arver GDPR's artikel 7, stk. 1: den dataansvarlige skal kunne godtgøre, at der er givet samtykke. Gem registreringer over, hvornår, hvordan og til hvilke formål samtykke er givet, ideelt set i mindst 36 måneder i betragtning af den tyske civile forældelsesfrist. De fleste Google-certificerede CMP'er håndterer dette som standard.
Mobilapps og SDK-sporing
TTDSG gælder for mobilapps med samme kraft. Reklame-identifikatoren på Android, idfa på iOS, enhver SDK-niveau fingerprinting og enhver on-tværs-app cookie-adfærd er alle underlagt samtykkereglen.
Android og iOS paritet
I praksis kan udgivere, der er afhængige af iOS App Tracking Transparency-prompten, ikke antage, at den opfylder TTDSG — Apples prompt er en kontrol på platformsniveau og er ikke i sig selv et gyldigt TTDSG-samtykke. Du har brug for et in-app CMP-lag, der indsamler TTDSG-kompatibelt samtykke, inden nogen ikke-strengt-nødvendigt SDK initialiseres.
In-app samtykkestrenge
For mobilapp-annoncering skal IAB TCF-strengen eller IAB GPP-strengen genereres og udbredes til hvert SDK, der deltager i budpipelinen. Uden en gyldig samtykkestreng er hvert bud juridisk eksponeret uanset, hvordan SDK'et konfigurerer sin egen adfærd.
Håndhævelseslandskabet i 2026
Tyske DPA'er er blevet markant mere aktive i TTDSG-håndhævelse i 2024 og 2025. Landesdatenschutzbeauftragte alene i Bayern har åbnet hundredvis af undersøgelser om året, og Berlin DPA har udstedt bøder med specifik reference til cookie-bannerovertrædelser.
Bøder set hidtil
TTDSG selv fastsætter en maksimal administrativ bøde på 300.000 EUR pr. overtrædelse. Men fordi enhver TTDSG-overtrædelse typisk også er en GDPR-overtrædelse, har DPA'er ofte stablet den højere GDPR-sanktion oven på — op til 20 millioner EUR eller 4 procent af den globale årlige omsætning. Udgivere og e-handelsoperatører på det tyske marked bør planlægge for stablet ansvar ved fastlæggelse af eksponering.
Civilretligt ansvar
Tyskland er en af de få EU-jurisdiktioner, hvor individuelle brugere med succes har sagsøgt for ikke-materielle skader under GDPR's artikel 82 i forbindelse med cookie-overtrædelser. Forvent masseforbrugerkrav, ofte organiseret gennem Verbraucherzentralen og sagsøgende advokatfirmaer, til at fortsætte i 2026.
Revisionscheckliste for tysk trafik
- CMP præsenterer Accepter alle og Afvis alle med lige visuel fremtræden på det første lag
- Ingen cookies, pixels eller tredjepartsscripts indlæses før samtykke, herunder analyse og A/B-test
- Granularitet per formål og per leverandør tilbydes med klart sproglige formålsbeskrivelser på tysk
- Tilbagetrækningsmekanisme er vedvarende og tilgængelig fra hver side
- Samtykkeregistreringer bevares med tidsstempel, samtykkeversion og tildelte formål
- Mobilapps håndhæver TTDSG-samtykke inden initialisering af ikke-strengt-nødvendige SDK'er, uafhængigt af iOS ATT-prompten
- Databehandlingstillæg og Schrems II-overførselsvurderinger er dokumenteret for hver US-baseret leverandør
- Mørke mønstre-gennemgangen er gennemført mod den seneste DSK-vejledning
- Privatlivspolitikken navngiver alle databehandlere, identificerer retsgrundlag under GDPR og samtykkegrundlag under TTDSG separat og er tilgængelig på tysk
- Leverandørlisten er synkroniseret med IAB TCF v2.2 og opdateret, når nye partnere tilføjes
Udsigterne for 2026
Omdøbningen til TDDDG i 2024 blødgjorde ikke den tyske håndhævelse. Hvis noget, er DPA'er bedre ressourcemæssigt og mere koordinerede gennem DSK end for to år siden. Trajektorien er klar: samtykkekrav vil blive højere, mørke mønstre-kontrol vil intensiveres, og Schrems II-overførselsvurderinger vil blive et standard revisionsfokus. Udgivere og annoncører, der opererer i Tyskland, og som investerede i en ordentlig samtykke-stak i 2024–2025, er generelt i god form. Dem, der lod tysk compliance vente, træder ind i 2026 med kendte huller og stigende regulatorisk interesse. Det rigtige skridt er at lukke disse huller nu — inden en Landesdatenschutzbeauftragte-undersøgelse tvinger spørgsmålet på en tidslinje, du ikke kontrollerer.