TTDSG و TDDDG واقعاً چه چیزی را تنظیم می‌کنند

TTDSG دستورالعمل ePrivacy EU را با دقت غیرمعمولی به قانون آلمان منتقل می‌کند. در حالی که GDPR پردازش داده‌های شخصی را تنظیم می‌کند، TTDSG هرگونه ذخیره اطلاعات در تجهیزات پایانه کاربر یا دسترسی به اطلاعات از قبل ذخیره‌شده در آن را تنظیم می‌کند — صرف‌نظر از اینکه آن اطلاعات داده شخصی باشد یا نه. به زبان ساده: هر کوکی، هر پیکسل، هر نوشتن ذخیره محلی، هر اسکریپت اثرانگشت در دامنه است، حتی اگر هیچ داده شخصی جمع‌آوری نکند.

بخش ۲۵ — قانون اصلی رضایت

مقرره محوری بخش ۲۵ TTDSG است (اکنون بخش ۲۵ TDDDG). این بخش ذخیره یا دسترسی به هرگونه اطلاعات در تجهیزات پایانه کاربر را ممنوع می‌کند مگر اینکه یکی از دو شرط برآورده شده باشد:

• کاربر پس از آگاهی‌یابی به روشی واضح و جامع، رضایت آگاهانه، داوطلبانه، خاص و فعال داده باشد، یا
• ذخیره یا دسترسی برای ارائه یک سرویس رسانه‌ای تله که کاربر صریحاً درخواست کرده کاملاً ضروری باشد.

هیچ پایه منافع مشروعی وجود ندارد. هیچ opt-in نرمی وجود ندارد. تفسیر آلمانی از کاملاً ضروری از بسیاری از حوزه‌های قضایی اروپایی دیگر محدودتر است — کوکی‌های جلسه، تعادل بار و پردازش پرداخت را پوشش می‌دهد، اما نه تجزیه‌وتحلیل، نه تبلیغات و نه بیشتر شخصی‌سازی.

تعامل با GDPR

TTDSG جایگزین GDPR نمی‌شود. در بالای آن قرار می‌گیرد. حتی اگر از مانع TTDSG برای عمل تنظیم یک کوکی عبور کنید، همچنان به یک پایه قانونی GDPR برای هرگونه پردازش داده شخصی که به دنبال آن انجام می‌شود نیاز دارید. وضعیت انطباق تمیز آلمان نیازمند عبور از هر دو دروازه است. یک اشتباه رایج جمع‌آوری رضایت تحت ماده ۶(۱)(الف) GDPR و فرض اینکه TTDSG را نیز پوشش می‌دهد — این کار را می‌کند، مشروط بر اینکه رضایت همچنین الزامات خاص TTDSG را برآورده کند، که در چندین جهت از GDPR سخت‌گیرانه‌تر هستند.

تفاوت آلمان با بقیه EU

تنظیم‌کنندگان در سراسر EU ePrivacy را به روش‌های کمی متفاوت تفسیر می‌کنند. آلمان در چندین مورد در انتهای سخت‌گیرانه طیف است.

رضایت صریح مورد نیاز برای تجزیه‌وتحلیل

DPA-های آلمان به‌طور مداوم اعلام کرده‌اند که Google Analytics، Matomo (ابری)، Adobe Analytics، Mixpanel و ابزارهای مشابه نیازمند رضایت opt-in هستند. تجزیه‌وتحلیل خود میزبانی‌شده با ناشناس‌سازی و نگهداری کوتاه گاهی می‌تواند به‌عنوان کاملاً ضروری واجد شرایط شود، اما سطح بالا است و بر اساس DPA متفاوت است. باواریا، بادن-وورتمبرگ، برلین و هامبورگ هر کدام راهنمای فنی دقیق منتشر می‌کنند و یکسان نیستند.

Schrems II و انتقال‌های آمریکا

DPA-های آلمان در میان تهاجمی‌ترین‌های اروپا در مسائل انتقال Schrems II بوده‌اند. اجرای یک ردیاب میزبانی‌شده در آمریکا — حتی با گواهی Data Privacy Framework — توجه را جلب می‌کند اگر ردیابی فراگیر باشد یا شامل داده‌های دسته ویژه باشد. Datenschutzkonferenz (DSK)، نهاد مشترک DPA-های فدرال و ایالتی آلمان، به‌طور مکرر راهنمایی صادر کرده که ارسال تلمتری به پردازشگرهای آمریکایی بدون مکانیزم انتقال معتبر هم GDPR و هم TTDSG را به‌طور همزمان نقض می‌کند.

الگوهای تاریک صریحاً ممنوع هستند

چندین DPA آلمانی راهنمای اجرایی صادر کرده‌اند که شرمساری تأییدی، چک‌باکس‌های از پیش انتخاب‌شده، برجستگی نابرابر دکمه و الگوهای افشای اجباری با رضایت معتبر TTDSG ناسازگار هستند. بنری که در آن «پذیرفتن همه» بصری برتر است و «رد همه» پشت یک کلیک دوم دفن شده، در حسابرسی آلمانی ۲۰۲۶ شکست خواهد خورد.

الزامات عملی CMP برای بازار آلمان

برای برآوردن TTDSG/TDDDG در یک محیط تولیدی، پلتفرم مدیریت رضایت و مدیر تگ شما باید چندین رفتار خاص را اعمال کنند.

برجستگی یکسان برای پذیرش و رد

بنر لایه اول باید دکمه رد همه را با تساوی بصری با پذیرفتن همه نشان دهد. رنگ، اندازه، موقعیت و هزینه تعامل باید متعادل باشند. بسیاری از CMP-ها یک قالب پیش‌فرض ارسال می‌کنند که این سطح را در محلی آلمانی خود برآورده نمی‌کند.

دانه‌بندی هر فروشنده

تنظیم‌کنندگان آلمانی انتظار دارند که کاربران بتوانند بر اساس هر فروشنده یا هر هدف رضایت دهند، نه فقط یک تغییر دهنده جهانی واحد. IAB TCF v2.2 این انتظار را برآورده می‌کند، اما تنها اگر لیست فروشنده شما به‌روز باشد و اهداف به‌وضوح توضیح داده شده باشند.

مسدودسازی قبل از رضایت

هیچ اسکریپت شخص ثالثی نباید بارگذاری شود، هیچ کوکی‌ای نباید نوشته شود و هیچ پیکسلی نباید قبل از ثبت رضایت تأییدی فعال شود. این به Google Analytics، Meta Pixel، LinkedIn Insight Tag، Hotjar، Criteo، TikTok و هر سرور تبلیغاتی اعمال می‌شود. استفاده از حالت‌های آگاه از رضایت مدیریت تگ — مانند مقداردهی اولیه رضایت Google Tag Manager — الگوی مورد انتظار است.

قابل لغو با یک کلیک

DPA-های آلمانی نیاز دارند که لغو رضایت به اندازه اعطای آن آسان باشد. یک مکانیزم پایدار و قابل مشاهده — یک دکمه بازگشایی شناور، یک لینک پانویس یا یک مقاومت UI معادل — باید در هر صفحه از سایت در دسترس باشد.

سوابق رضایت و مسیر حسابرسی

TTDSG ماده ۷(۱) GDPR را به ارث می‌برد: کنترل‌کننده باید بتواند نشان دهد که رضایت داده شده است. سوابق زمان، نحوه و اهدافی که رضایت برای آنها داده شده را حفظ کنید، در حالت ایده‌آل برای حداقل ۳۶ ماه با توجه به مرور زمان مدنی آلمان. اکثر CMP-های تأییدشده توسط Google این را به‌طور پیش‌فرض مدیریت می‌کنند.

برنامه‌های موبایل و ردیابی SDK

TTDSG با نیروی مساوی برای برنامه‌های موبایل اعمال می‌شود. شناسه تبلیغات در اندروید، idfa در iOS، هرگونه اثرانگشت در سطح SDK و هرگونه رفتار کوکی بین برنامه‌ای همه مشمول قانون رضایت هستند.

تساوی اندروید و iOS

در عمل، ناشرانی که به دستور iOS App Tracking Transparency متکی هستند نمی‌توانند فرض کنند که TTDSG را برآورده می‌کند — دستور Apple یک کنترل سطح پلتفرم است و به خودی خود یک رضایت معتبر TTDSG نیست. شما به یک لایه CMP درون برنامه‌ای نیاز دارید که رضایت سازگار با TTDSG را قبل از مقداردهی اولیه هر SDK غیر کاملاً ضروری جمع‌آوری کند.

رشته‌های رضایت درون برنامه‌ای

برای تبلیغات برنامه موبایل، رشته IAB TCF یا رشته IAB GPP باید تولید شده و به هر SDK که در خط لوله مزایده شرکت می‌کند منتشر شود. بدون یک رشته رضایت معتبر، هر مزایده‌ای صرف‌نظر از اینکه SDK رفتار خود را چگونه پیکربندی می‌کند، از نظر قانونی در معرض است.

چشم‌انداز اجرا در ۲۰۲۶

DPA-های آلمانی در سال‌های ۲۰۲۴ و ۲۰۲۵ به‌طور قابل توجهی در اجرای TTDSG فعال‌تر شده‌اند. Landesdatenschutzbeauftragte باواریا به تنهایی صدها تحقیق در سال باز کرده، و DPA برلین جریمه‌هایی خاصاً با استناد به نقض‌های بنر کوکی صادر کرده است.

جریمه‌های مشاهده‌شده تاکنون

خود TTDSG حداکثر جریمه اداری ۳۰۰،۰۰۰ یورو در هر نقض را تعیین می‌کند. اما چون هر نقض TTDSG معمولاً یک نقض GDPR نیز هست، DPA-ها اغلب جریمه بالاتر GDPR — تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه جهانی — را روی هم انباشته‌اند. ناشران و اپراتورهای تجارت الکترونیک در بازار آلمانی باید هنگام تعیین دامنه قرار گرفتن در معرض، مسئولیت انباشته را برنامه‌ریزی کنند.

مسئولیت مدنی

آلمان یکی از معدود حوزه‌های قضایی EU است که در آن کاربران فردی با موفقیت برای خسارات غیرمادی تحت ماده ۸۲ GDPR در رابطه با نقض‌های کوکی شکایت کرده‌اند. انتظار داشته باشید که ادعاهای انبوه مصرف‌کننده، که اغلب از طریق Verbraucherzentralen و شرکت‌های حقوقی خواهان سازماندهی می‌شوند، در سال ۲۰۲۶ ادامه یابند.

چک‌لیست حسابرسی برای ترافیک آلمانی

• CMP پذیرفتن همه و رد همه را با برجستگی بصری یکسان در لایه اول ارائه می‌دهد
• هیچ کوکی، پیکسل یا اسکریپت شخص ثالثی قبل از رضایت بارگذاری نمی‌شود، از جمله تجزیه‌وتحلیل و تست A/B
• دانه‌بندی هر هدف و هر فروشنده با توضیحات هدف به زبان ساده آلمانی ارائه می‌شود
• مکانیزم لغو رضایت پایدار است و از هر صفحه قابل دسترسی است
• سوابق رضایت با تاریخ، نسخه رضایت و اهداف اعطاشده حفظ می‌شوند
• برنامه‌های موبایل رضایت TTDSG را قبل از مقداردهی اولیه هر SDK غیر کاملاً ضروری اعمال می‌کنند، مستقل از دستور ATT iOS
• ضمیمه‌های پردازش داده و ارزیابی‌های انتقال Schrems II برای هر فروشنده مستقر در آمریکا مستند شده‌اند
• بررسی الگوی تاریک در برابر آخرین راهنمای DSK تکمیل شده است
• سیاست حریم خصوصی همه پردازنده‌ها را نام می‌برد، پایه قانونی تحت GDPR و پایه رضایت تحت TTDSG را جداگانه شناسایی می‌کند و به زبان آلمانی موجود است
• لیست فروشنده با IAB TCF v2.2 همگام‌سازی شده و با اضافه شدن شرکای جدید به‌روزرسانی می‌شود

چشم‌انداز ۲۰۲۶

تغییر نام به TDDDG در سال ۲۰۲۴ اجرای آلمانی را نرم نکرد. اگر چیزی باشد، DPA-ها از طریق DSK بهتر از دو سال پیش مجهز و هماهنگ هستند. مسیر مشخص است: سطوح رضایت بالاتر خواهند رفت، بررسی الگوی تاریک تشدید خواهد شد و ارزیابی‌های انتقال Schrems II تبدیل به تمرکز استاندارد حسابرسی خواهند شد. ناشران و تبلیغ‌کنندگانی که در آلمان فعالیت می‌کنند و در ۲۰۲۴-۲۰۲۵ در یک پشته رضایت مناسب سرمایه‌گذاری کردند، به‌طور کلی در وضعیت خوبی هستند. آنهایی که انطباق آلمانی را برای بعد گذاشتند، با شکاف‌های شناخته‌شده و علاقه‌مندی نظارتی رو به رشد وارد سال ۲۰۲۶ می‌شوند. اقدام درست این است که این شکاف‌ها را اکنون ببندید — قبل از اینکه یک تحقیق Landesdatenschutzbeauftragte سؤال را در یک برنامه زمانی که شما کنترل نمی‌کنید مطرح کند.