Saksamaa TTDSG küpsiste nõusolek: 2026. aasta kirjastajate ja reklaamijate juhend telekommunikatsiooni- ja telemeditsiiниandmekaitse seaduse kohta
Saksamaa on mandri-Euroopa suurim reklaamiturg ning ühtlasi üks rangemaid küpsiste osas. Alates detsembrist 2021 on Saksamaa seadus lisanud GDPR-i peale eraldiseisva küpsiste nõusolekurežiimi — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). 2024. aastal nimetati seadus ümber TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), et see vastaks EL-i digiteenuste määrusele, kuid sisu ja praktilised kohustused ei ole muutunud. Kui tegutsete 2026. aastal Saksamaa turul digitaalreklaami, analüütika või kolmandate osapoolte jälgimisega, kuulute TTDSG/TDDDG kohaldamisalasse lisaks GDPR-ile ning Saksamaa andmekaitseasutused ei karda jõustamist. See juhend selgitab, mida seadus reguleerib, kuidas see erineb ainult GDPR-ist ning mida teie CMP ja reklaamipinn peavad tegema, et Saksamaal nõuetele vastavaks jääda.
Mida TTDSG ja TDDDG tegelikult reguleerivad
TTDSG võtab EL-i ePrivacy direktiivi üle Saksamaa seadusesse ebatavalise täpsusega. Kui GDPR reguleerib isikuandmete töötlemist, siis TTDSG reguleerib igasugust teabe salvestamist kasutaja terminalseadmesse või juurdepääsu sellesse juba salvestatud teabele — olenemata sellest, kas see teave on isikuandmed. Lihtsas keeles: iga küpsis, iga piksel, iga kohalik salvestamise kiri, iga sõrmejälgede skript on rakendamisalas, isegi kui see ei kogu ühtegi isikuandmeid.
Paragrahv 25 — põhinõusoleku reegel
Põhisäte on TTDSG paragrahv 25 (nüüd TDDDG paragrahv 25). See keelab teabe salvestamise või sellele juurdepääsu kasutaja terminalseadmes, välja arvatud juhul, kui on täidetud üks kahest tingimusest:
- Kasutaja on andnud teadliku, vabatahtliku, konkreetse ja aktiivse nõusoleku pärast selget ja terviklikku teavitamist, või
- Salvestamine või juurdepääs on rangelt vajalik kasutaja poolt selgesõnaliselt soovitud telemeditsiiniteeenuse osutamiseks.
Õigustatud huvi alust ei ole. Pehmet opt-in-i ei ole. Saksamaa tõlgendus rangelt vajalikust on kitsam kui paljudes teistes Euroopa jurisdiktsioonides — see hõlmab seansiküpsiseid, koormuse tasakaalustamist ja maksete töötlemist, kuid mitte analüütikat, mitte reklaami ega enamikku personaliseerimist.
Koostoime GDPR-iga
TTDSG ei asenda GDPR-i. See asub selle peal. Isegi kui läbite TTDSG tõkke küpsise seadmise toimingu jaoks, vajate endiselt GDPR-i seaduslikku alust sellele järgneva isikuandmete töötlemise jaoks. Puhas Saksamaa vastavushoiak nõuab mõlemast väravast läbimist. Levinud viga on koguda nõusolek GDPR-i artikli 6 lõike 1 punkti a alusel ja eeldada, et see katab ka TTDSG-d — see teeb seda, tingimusel et nõusolek vastab ka TTDSG spetsiifilisuse nõuetele, mis on mitmes osas rangemad kui GDPR-i omad.
Kuidas Saksamaa erineb ülejäänud EL-ist
EL-i regulaatorid tõlgendavad ePrivacy-d pisut erinevalt. Saksamaa on mitmes osas range spektri otsas.
Analüütika jaoks on nõutav selge nõusolek
Saksamaa andmekaitseasutused on järjekindlalt leidnud, et Google Analytics, Matomo (pilv), Adobe Analytics, Mixpanel ja sarnased tööriistad nõuavad opt-in nõusolekut. Ise majutatud, anonüümistatud analüütika lühikese säilitamisajaga saab mõnikord olla rangelt vajalik, kuid latt on kõrge ja varieerub andmekaitseasutuse kaupa. Baieri, Baden-Württembergi, Berliini ja Hamburgi andmekaitseasutused avaldavad kõik üksikasjalikke tehnilisi juhiseid ja need ei ole identsed.
Schrems II ja USA edastused
Saksamaa andmekaitseasutused on Euroopas Schrems II ülekandeküsimustes olnud kõige agressiivsemad. USA-s majutatud jälgimise käitamine — isegi Data Privacy Framework sertifikaadiga — tõmbab tähelepanu, kui jälgimine on laialdane või hõlmab eriliiki andmeid. Datenschutzkonferenz (DSK), Saksamaa föderaalse ja riigi andmekaitseasutuste ühiskogu, on andnud korduvalt juhiseid, et telemetria saatmine USA töötlejatele ilma kehtiva ülekandemehhanismita rikub samaaegselt nii GDPR-i kui ka TTDSG-d.
Tumedad mustrid on selgesõnaliselt keelatud
Mitmed Saksamaa andmekaitseasutused on andnud täitmise juhiseid, et kinnitushäbi, eelvalitud märkeruudud, ebavõrdne nuppude esiletõstmine ja sunnitava-avalikustamise mustrid on kokkusobimatud kehtiva TTDSG nõusolekuga. Bänner, kus „Nõustu kõigega” on visuaalselt domineeriv ja „Lükka kõik tagasi” on maetud teise kliki taha, ei läbi Saksamaa auditit 2026. aastal.
Praktilised CMP nõuded Saksamaa turule
TTDSG/TDDDG täitmiseks tootmiskeskkonnas peavad teie nõusolekuhaldusplatvorm ja siltide haldur jõustama mitu konkreetset käitumist.
Võrdne esiletõstmine aktsepteerimiseks ja tagasilükkamiseks
Esimese kihi bänner peab näitama Lükka kõik tagasi nuppu visuaalse pariteediega Nõustu kõigega nupuga. Värvus, suurus, asukoht ja interaktsionikulu peavad olema tasakaalus. Paljud CMP-d tarnivad vaikemalliga, mis ei vasta sellele nõudele nende Saksamaa lokalisatsioonis.
Müüjapõhine täpsus
Saksamaa regulaatorid eeldavad, et kasutajad saavad nõusoleku anda müüjapõhiselt või eesmärgipõhiselt, mitte ainult ühe globaalse lülitiga. IAB TCF v2.2 vastab sellele ootusele, kuid ainult siis, kui teie müüjate nimekiri on ajakohane ja eesmärgid on selgelt selgitatud.
Blokeerimine enne nõusolekut
Ükski kolmanda osapoole skript ei tohi laadida, ühtegi küpsist ei tohi kirjutada ja ükski piksel ei tohi aktiveeruda enne kinnitava nõusoleku salvestamist. See kehtib Google Analyticsi, Meta Pixeli, LinkedIn Insight Tagi, Hotjari, Criteo, TikToki ja iga reklaamiserveri suhtes. Siltide haldamise nõusolekuteadlike režiimide — näiteks Google Tag Manageri nõusoleku initsialiseerimine — kasutamine on oodatud muster.
Tühistatav ühe klikiga
Saksamaa andmekaitseasutused nõuavad, et nõusoleku tagasivõtmine oleks sama lihtne kui selle andmine. Püsiv, nähtav mehhanism — ujuv taasavamise nupp, jaluse link või samaväärne UI-funktsionaalsus — peab olema kättesaadav igal saidi lehel.
Nõusolekukirjed ja auditi jälg
TTDSG pärib GDPR-i artikli 7 lõike 1: vastutav töötleja peab suutma tõendada, et nõusolek anti. Säilitage kirjeid selle kohta, millal, kuidas ja millistel eesmärkidel nõusolek anti, ideaaljuhul vähemalt 36 kuud, arvestades Saksamaa tsiviilõiguse aegumistähtaega. Enamik Google'i sertifitseeritud CMP-sid käsitleb seda vaikimisi.
Mobiilirakendused ja SDK jälgimine
TTDSG kehtib mobiilirakenduste suhtes võrdse jõuga. Androidil reklaami identifikaator, iOS-il idfa, igasugune SDK-taseme sõrmejälgede tegemine ja igasugune rakenduste vaheline küpsiste käitumine on kõik nõusolekureegli kohaldamisalas.
Androidi ja iOS-i pariteeet
Praktikas ei saa kirjastajad, kes toetuvad iOS-i rakenduse jälgimise läbipaistvuse viipale, eeldada, et see rahuldab TTDSG-d — Apple'i viip on platvormi taseme kontroll ega ole iseenesest kehtiv TTDSG nõusolek. Vajate rakendusesisest CMP kihti, mis kogub TTDSG-nõuetele vastavat nõusolekut enne mis tahes rangelt mittevajaliku SDK initsialimist.
Rakendusesisesed nõusoleku stringid
Mobiilirakenduste reklaami jaoks peab IAB TCF string või IAB GPP string olema genereeritud ja edastatud igale SDK-le, mis osaleb pakkumiste torustikus. Ilma kehtiva nõusoleku stringita on iga pakkumine õiguslikult avatud, olenemata sellest, kuidas SDK ise oma käitumist seadistab.
Jõustamismaastik 2026. aastal
Saksamaa andmekaitseasutused on muutunud TTDSG jõustamisel 2024. ja 2025. aastal oluliselt aktiivsemaks. Baieri Landesdatenschutzbeauftragte on üksi avanud sadu uurimisi aastas ning Berliini andmekaitseasutus on määranud trahve, mis on konkreetselt seotud küpsiste bännerite rikkumistega.
Seni nähtud trahvid
TTDSG ise määrab maksimaalseks halduskaristuseks 300 000 eurot rikkumise kohta. Kuid kuna iga TTDSG rikkumine on tavaliselt ka GDPR rikkumine, on andmekaitseasutused sageli kumuleerinud kõrgema GDPR karistuse — kuni 20 miljonit eurot või 4 protsenti globaalsest aastakäibest. Saksamaa turu kirjastajad ja e-kaubanduse ettevõtjad peaksid kokkupuute ulatuse määramisel arvestama kumuleeruva vastutusega.
Tsiviilvastutus
Saksamaa on üks väheseid EL-i jurisdiktsioone, kus üksikisikud on edukalt haganud mittemateriaalsete kahjude eest GDPR-i artikli 82 alusel seoses küpsiste rikkumistega. Eeldage, et massilised tarbijakaebused, sageli korraldatud Verbraucherzentraleni ja hageja advokaadibüroode kaudu, jätkuvad 2026. aastal.
Auditi kontrollnimekiri Saksamaa liikluse jaoks
- CMP esitleb Nõustu kõigega ja Lükka kõik tagasi võrdse visuaalse esiletõstmisega esimesel kihil
- Ükski küpsis, piksel ega kolmanda osapoole skript ei laadi enne nõusolekut, sealhulgas analüütika ja A/B testimine
- Eesmärgipõhist ja müüjapõhist täpsust pakutakse, koos selgelt formuleeritud eesmärgi kirjeldustega saksa keeles
- Nõusoleku tagasivõtmise mehhanism on püsiv ja kättesaadav igalt lehelt
- Nõusolekukirjed säilitatakse koos ajatempli, nõusoleku versiooni ja antud eesmärkidega
- Mobiilirakendused jõustavad TTDSG nõusoleku enne mis tahes rangelt mittevajaliku SDK initsialimist, sõltumatult iOS-i ATT viipast
- Andmetöötluslepingud ja Schrems II ülekandehinnangud on dokumenteeritud iga USA-põhise müüja jaoks
- Tumeda mustri ülevaade on lõpetatud vastavalt viimastele DSK juhistele
- Privaatsuspoliitika nimetab kõik töötlejad, tuvastab GDPR-i alusel seadusliku aluse ja TTDSG-s alusel nõusoleku aluse eraldi ning on saadaval saksa keeles
- Müüjate nimekiri on sünkroniseeritud IAB TCF v2.2-ga ja uuendatakse uute partnerite lisamisel
2026. aasta väljavaade
TDDDG-ks ümbernimetamine 2024. aastal ei pehmendanud Saksamaa jõustamist. Kui midagi, siis on andmekaitseasutused DSK kaudu paremini varustatud ja koordineeritud kui kaks aastat tagasi. Trajektoor on selge: nõusoleku latt tõuseb, tumedate mustrite kontroll süveneb ning Schrems II ülekandehinnangud muutuvad standardseks auditi fookuseks. Kirjastajad ja reklaamijad, kes tegutsevad Saksamaal ja investeerisid korralikku nõusolekupinku 2024–2025, on üldiselt heas seisus. Need, kes jätsid Saksamaa vastavuse hilisemaks, sisenevad 2026. aastasse teadaolevate lünkade ja kasvava regulatoorse huviga. Õige samm on need lüngad nüüd sulgeda — enne kui Landesdatenschutzbeauftragte uurimine sunnib küsimust teile sobimatule ajakavale.