Τι Ρυθμίζουν Πραγματικά το TTDSG και το TDDDG

Το TTDSG μεταφέρει την Οδηγία ePrivacy της ΕΕ στο γερμανικό δίκαιο με ασυνήθιστη ακρίβεια. Ενώ το GDPR ρυθμίζει την επεξεργασία προσωπικών δεδομένων, το TTDSG ρυθμίζει οποιαδήποτε αποθήκευση πληροφοριών σε ή πρόσβαση σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό ενός χρήστη — ανεξάρτητα από το εάν αυτές οι πληροφορίες αποτελούν προσωπικά δεδομένα. Με απλά λόγια: κάθε cookie, κάθε pixel, κάθε εγγραφή local storage, κάθε σενάριο fingerprinting εμπίπτει στο πεδίο εφαρμογής, ακόμα και αν δεν συλλέγει καθόλου προσωπικά δεδομένα.

Άρθρο 25 — Ο Βασικός Κανόνας Συναίνεσης

Η καίρια διάταξη είναι το Άρθρο 25 του TTDSG (τώρα Άρθρο 25 TDDDG). Απαγορεύει την αποθήκευση ή πρόσβαση σε οποιεσδήποτε πληροφορίες στον τερματικό εξοπλισμό χρήστη εκτός εάν πληρούται μία από δύο προϋποθέσεις:

• Ο χρήστης έχει δώσει ενημερωμένη, εθελοντική, συγκεκριμένη και ενεργή συναίνεση αφού έχει ενημερωθεί με σαφή και ολοκληρωμένο τρόπο, ή
• η αποθήκευση ή η πρόσβαση είναι απολύτως απαραίτητη για την παροχή μιας υπηρεσίας τηλεμέσων που ο χρήστης έχει ρητά ζητήσει.

Δεν υπάρχει βάση έννομου συμφέροντος. Δεν υπάρχει ήπια συγκατάθεση. Η γερμανική ερμηνεία του απολύτως απαραίτητου είναι στενότερη από πολλές άλλες ευρωπαϊκές δικαιοδοσίες — καλύπτει session cookies, εξισορρόπηση φορτίου και επεξεργασία πληρωμών, αλλά όχι αναλυτικά στοιχεία, όχι διαφήμιση και όχι την περισσότερη εξατομίκευση.

Αλληλεπίδραση με το GDPR

Το TTDSG δεν αντικαθιστά το GDPR. Κάθεται πάνω από αυτό. Ακόμα και αν ξεπεράσετε το εμπόδιο TTDSG για την πράξη ορισμού ενός cookie, χρειάζεστε ακόμη μία νόμιμη βάση GDPR για οποιαδήποτε επακόλουθη επεξεργασία προσωπικών δεδομένων. Μια καθαρή στάση συμμόρφωσης στη Γερμανία απαιτεί να περάσετε και τις δύο πύλες. Ένα συνηθισμένο λάθος είναι η συλλογή συναίνεσης βάσει Άρθρου 6(1)(α) του GDPR και η υπόθεση ότι αυτό καλύπτει και το TTDSG — το κάνει, εφόσον η συναίνεση πληροί επίσης τις απαιτήσεις ειδικότητας του TTDSG, οι οποίες είναι αυστηρότερες από εκείνες του GDPR σε αρκετές πτυχές.

Πώς Διαφέρει η Γερμανία από την Υπόλοιπη ΕΕ

Οι ρυθμιστές σε όλη την ΕΕ ερμηνεύουν το ePrivacy με ελαφρώς διαφορετικούς τρόπους. Η Γερμανία βρίσκεται στο αυστηρό άκρο του φάσματος σε αρκετά σημεία.

Απαιτείται Ρητή Συναίνεση για Αναλυτικά Στοιχεία

Οι γερμανικές DPA έχουν διαρκώς διατηρήσει ότι Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel και παρόμοια εργαλεία απαιτούν συναίνεση opt-in. Τα αυτο-φιλοξενούμενα, ανωνυμοποιημένα αναλυτικά με σύντομη διατήρηση μπορούν μερικές φορές να πληρούν τις προϋποθέσεις για το απολύτως απαραίτητο, αλλά ο πήχης είναι ψηλός και ποικίλλει ανά DPA. Η Βαυαρία, το Βάδεν-Βυρτεμβέργη, το Βερολίνο και το Αμβούργο δημοσιεύουν λεπτομερείς τεχνικές οδηγίες, και δεν είναι ταυτόσημες.

Schrems II και Μεταφορές στις ΗΠΑ

Οι γερμανικές DPA ήταν μεταξύ των πιο επιθετικών στην Ευρώπη στα ζητήματα μεταφοράς Schrems II. Η εκτέλεση ενός tracker φιλοξενούμενου στις ΗΠΑ — ακόμα και με πιστοποίηση Data Privacy Framework — προκαλεί έλεγχο εάν η παρακολούθηση είναι διάχυτη ή αφορά δεδομένα ειδικής κατηγορίας. Η Datenschutzkonferenz (DSK), το κοινό όργανο των γερμανικών ομοσπονδιακών και κρατιδιακών DPA, έχει εκδώσει επανειλημμένη καθοδήγηση ότι η τηλεμετρία που αποστέλλεται σε αμερικανικούς επεξεργαστές χωρίς έγκυρο μηχανισμό μεταφοράς παραβιάζει ταυτόχρονα το GDPR και το TTDSG.

Σκοτεινά Μοτίβα Ρητά Απαγορευμένα

Αρκετές γερμανικές DPA έχουν εκδώσει οδηγίες εφαρμογής ότι η ντροπή επιβεβαίωσης, τα προεπιλεγμένα πλαίσια ελέγχου, η άνιση οπτική εμφάνιση κουμπιών και τα μοτίβα αναγκαστικής αποκάλυψης είναι ασυμβίβαστα με έγκυρη συναίνεση TTDSG. Ένα banner όπου το „Αποδοχή όλων“ είναι οπτικά κυρίαρχο και το „Απόρριψη όλων“ είναι θαμμένο πίσω από ένα δεύτερο κλικ θα αποτύχει σε γερμανικό έλεγχο το 2026.

Πρακτικές Απαιτήσεις CMP για τη Γερμανική Αγορά

Για να ικανοποιήσετε το TTDSG/TDDDG σε περιβάλλον παραγωγής, η πλατφόρμα διαχείρισης συναίνεσης και ο διαχειριστής ετικετών σας πρέπει να επιβάλλουν αρκετές συγκεκριμένες συμπεριφορές.

Ίση Εμφάνιση για Αποδοχή και Απόρριψη

Το banner πρώτου επιπέδου πρέπει να εμφανίζει ένα κουμπί Απόρριψη Όλων με οπτική ισοτιμία προς το Αποδοχή Όλων. Χρώμα, μέγεθος, θέση και κόστος αλληλεπίδρασης πρέπει να είναι ισορροπημένα. Πολλά CMP αποστέλλουν ένα προεπιλεγμένο πρότυπο που δεν πληροί αυτό το επίπεδο στην τοπικοποίησή τους για τη Γερμανία.

Κοκκώδης Ανάλυση ανά Προμηθευτή

Οι γερμανοί ρυθμιστές αναμένουν από τους χρήστες να μπορούν να δίνουν συναίνεση σε ανά προμηθευτή ή ανά σκοπό βάση, όχι απλώς έναν ενιαίο παγκόσμιο διακόπτη. Το IAB TCF v2.2 ικανοποιεί αυτή την προσδοκία, αλλά μόνο εάν η λίστα προμηθευτών σας είναι ενημερωμένη και οι σκοποί εξηγούνται απλά.

Αποκλεισμός Πριν τη Συναίνεση

Κανένα σενάριο τρίτου δεν μπορεί να φορτωθεί, κανένα cookie δεν μπορεί να γραφτεί και κανένα pixel δεν μπορεί να ενεργοποιηθεί πριν καταγραφεί καταφατική συναίνεση. Αυτό ισχύει για Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok και κάθε διαφημιστικό διακομιστή. Η χρήση λειτουργιών διαχείρισης ετικετών με επίγνωση συναίνεσης — όπως η αρχικοποίηση συναίνεσης του Google Tag Manager — είναι το αναμενόμενο μοτίβο.

Ανακλητή με Ένα Κλικ

Οι γερμανικές DPA απαιτούν η ανάκληση συναίνεσης να είναι εξίσου εύκολη με τη χορήγησή της. Ένας μόνιμος, ορατός μηχανισμός — ένα κυμαινόμενο κουμπί επαναλειτουργίας, ένας σύνδεσμος στο υποσέλιδο ή ισοδύναμο στοιχείο UI — πρέπει να είναι διαθέσιμο σε κάθε σελίδα του ιστότοπου.

Αρχεία Συναίνεσης και Ίχνος Ελέγχου

Το TTDSG κληρονομεί το Άρθρο 7(1) του GDPR: ο υπεύθυνος επεξεργασίας πρέπει να μπορεί να αποδείξει ότι δόθηκε συναίνεση. Διατηρήστε αρχεία για το πότε, πώς και για ποιους σκοπούς δόθηκε συναίνεση, ιδανικά για τουλάχιστον 36 μήνες δεδομένης της γερμανικής αστικής παραγραφής. Τα περισσότερα CMP πιστοποιημένα από την Google χειρίζονται αυτό από προεπιλογή.

Εφαρμογές Κινητών και Παρακολούθηση SDK

Το TTDSG ισχύει για εφαρμογές κινητών με ίση ισχύ. Το αναγνωριστικό για διαφήμιση στο Android, το idfa στο iOS, οποιοδήποτε fingerprinting σε επίπεδο SDK και οποιαδήποτε συμπεριφορά cross-app cookies υπόκεινται στον κανόνα συναίνεσης.

Ισοτιμία Android και iOS

Στην πράξη, οι εκδότες που βασίζονται στο πρόγραμμα iOS App Tracking Transparency δεν μπορούν να υποθέσουν ότι ικανοποιεί το TTDSG — η προτροπή της Apple είναι ένας έλεγχος σε επίπεδο πλατφόρμας και δεν αποτελεί από μόνη της έγκυρη συναίνεση TTDSG. Χρειάζεστε ένα επίπεδο CMP εντός της εφαρμογής που συλλέγει συναίνεση συμβατή με το TTDSG πριν από την αρχικοποίηση οποιουδήποτε SDK που δεν είναι απολύτως απαραίτητο.

Συμβολοσειρές Συναίνεσης εντός Εφαρμογής

Για διαφήμιση σε εφαρμογές κινητών, η συμβολοσειρά IAB TCF ή η συμβολοσειρά IAB GPP πρέπει να δημιουργηθεί και να διαδοθεί σε κάθε SDK που συμμετέχει στη διοχέτευση υποβολής προσφοράς. Χωρίς έγκυρη συμβολοσειρά συναίνεσης, κάθε προσφορά εκτίθεται νομικά ανεξάρτητα από το πώς το SDK ρυθμίζει τη δική του συμπεριφορά.

Το Τοπίο Εφαρμογής το 2026

Οι γερμανικές DPA έχουν γίνει σημαντικά πιο ενεργές στην εφαρμογή TTDSG το 2024 και 2025. Ο Landesdatenschutzbeauftragte της Βαυαρίας μόνος έχει ανοίξει εκατοντάδες έρευνες ανά έτος, και η DPA του Βερολίνου έχει επιβάλλει πρόστιμα αναφέροντας συγκεκριμένα παραβάσεις banner cookies.

Πρόστιμα που Έχουν Παρατηρηθεί Μέχρι Στιγμής

Το ίδιο το TTDSG ορίζει μέγιστο διοικητικό πρόστιμο 300.000 EUR ανά παράβαση. Αλλά επειδή κάθε παράβαση TTDSG είναι συνήθως και παράβαση GDPR, οι DPA συχνά έχουν συσσωρεύσει την υψηλότερη κύρωση GDPR — έως 20 εκατ. EUR ή 4 τοις εκατό του παγκόσμιου ετήσιου κύκλου εργασιών. Εκδότες και φορείς εκμετάλλευσης ηλεκτρονικού εμπορίου στη γερμανική αγορά θα πρέπει να προγραμματίσουν για σωρευτική ευθύνη κατά τη διαμόρφωση της έκθεσής τους.

Αστική Ευθύνη

Η Γερμανία είναι μία από τις λίγες δικαιοδοσίες ΕΕ όπου μεμονωμένοι χρήστες έχουν μηνύσει επιτυχώς για μη υλικές ζημίες βάσει Άρθρου 82 GDPR σε σχέση με παραβάσεις cookies. Αναμείνετε μαζικές καταναλωτικές αξιώσεις, συχνά οργανωμένες μέσω Verbraucherzentralen και δικηγορικών εταιρειών εναγόντων, να συνεχιστούν το 2026.

Λίστα Ελέγχου Ελέγχου για Γερμανική Κίνηση

• Το CMP παρουσιάζει Αποδοχή Όλων και Απόρριψη Όλων με ίση οπτική εμφάνιση στο πρώτο επίπεδο
• Κανένα cookie, pixel ή σενάρια τρίτων δεν φορτώνονται πριν τη συναίνεση, συμπεριλαμβανομένων αναλυτικών και δοκιμών A/B
• Προσφέρεται κοκκώδης ανάλυση ανά σκοπό και ανά προμηθευτή, με περιγραφές σκοπών σε απλή γλώσσα στα γερμανικά
• Ο μηχανισμός ανάκλησης συναίνεσης είναι μόνιμος και προσβάσιμος από κάθε σελίδα
• Τα αρχεία συναίνεσης διατηρούνται με χρονική σφραγίδα, έκδοση συναίνεσης και χορηγηθέντες σκοπούς
• Οι εφαρμογές κινητών επιβάλλουν συναίνεση TTDSG πριν από την αρχικοποίηση οποιουδήποτε SDK που δεν είναι απολύτως απαραίτητο, ανεξάρτητα από την προτροπή iOS ATT
• Τα Παραρτήματα Επεξεργασίας Δεδομένων και οι αξιολογήσεις μεταφοράς Schrems II τεκμηριώνονται για κάθε προμηθευτή με έδρα στις ΗΠΑ
• Η αναθεώρηση σκοτεινών μοτίβων ολοκληρώθηκε σύμφωνα με τις τελευταίες οδηγίες DSK
• Η πολιτική απορρήτου κατονομάζει όλους τους επεξεργαστές, αναγνωρίζει τη νόμιμη βάση βάσει GDPR και τη βάση συναίνεσης βάσει TTDSG ξεχωριστά και είναι διαθέσιμη στα γερμανικά
• Η λίστα προμηθευτών συγχρονίζεται με IAB TCF v2.2 και ενημερώνεται όταν προστίθενται νέοι εταίροι

Η Προοπτική του 2026

Η μετονομασία σε TDDDG το 2024 δεν μάλάκωσε τη γερμανική εφαρμογή. Αν κάτι, οι DPA είναι καλύτερα στελεχωμένες και πιο συντονισμένες μέσω του DSK από ό,τι ήταν δύο χρόνια πριν. Η τροχιά είναι σαφής: οι απαιτήσεις συναίνεσης θα αυξηθούν, ο έλεγχος σκοτεινών μοτίβων θα εντατικοποιηθεί και οι αξιολογήσεις μεταφοράς Schrems II θα γίνουν τυπική εστίαση ελέγχου. Εκδότες και διαφημιστές που δραστηριοποιούνται στη Γερμανία και επένδυσαν σε μια κατάλληλη στοίβα συναίνεσης το 2024–2025 βρίσκονται γενικά σε καλή κατάσταση. Εκείνοι που άφησαν τη γερμανική συμμόρφωση για αργότερα εισέρχονται στο 2026 με γνωστά κενά και αυξανόμενο ρυθμιστικό ενδιαφέρον. Η σωστή κίνηση είναι να κλείσετε αυτά τα κενά τώρα — πριν μια έρευνα του Landesdatenschutzbeauftragte αναγκάσει το ζήτημα σε χρονοδιάγραμμα που δεν ελέγχετε.