O que o TTDSG e o TDDDG regulan realmente

O TTDSG transpón a Directiva ePrivacy da UE ao dereito alemán cunha precisión inusual. Mentres o GDPR regula o tratamento de datos persoais, o TTDSG regula calquera almacenamento de información en, ou acceso a información xa almacenada no, equipo terminal dun usuario — independentemente de se esa información é ou non datos persoais. En termos sinxelos: cada cookie, cada píxel, cada escritura de almacenamento local, cada script de toma de impresión dixital está no ámbito de aplicación, mesmo se non recolle ningún dato persoal.

Artigo 25 — A regra central do consentimento

A disposición fundamental é o artigo 25 do TTDSG (agora artigo 25 TDDDG). Prohíbe almacenar ou acceder a calquera información no equipo terminal dun usuario a non ser que se cumpra unha de dúas condicións:

• O usuario deu un consentimento informado, voluntario, específico e activo despois de ser informado de forma clara e completa, ou
• O almacenamento ou o acceso é estritamente necesario para a prestación dun servizo de telemedia expresamente solicitado polo usuario.

Non existe base de interese lexítimo. Non hai opt-in flexible. A interpretación alemá de estritamente necesario é máis estreita que en moitas outras xurisdicións europeas — cobre as cookies de sesión, o equilibrio de carga e o procesamento de pagamentos, pero non a análise, non a publicidade, e non a maior parte da personalización.

Interacción co GDPR

O TTDSG non substitúe ao GDPR. Sitúase enriba del. Aínda que supere o obstáculo do TTDSG para o acto de establecer unha cookie, aínda necesita unha base legal GDPR para calquera tratamento de datos persoais que siga. Unha postura de cumprimento alemá limpa require pasar por ambas portas. Un erro común é recoller o consentimento ao abeiro do artigo 6(1)(a) do GDPR e asumir que iso tamén cobre o TTDSG — así é, sempre que o consentimento tamén satisfaga os requisitos de especificidade do TTDSG, que son máis estritos que os do GDPR en varios aspectos.

Como Alemaña difire do resto da UE

Os reguladores de toda a UE interpretan o ePrivacy de formas lixeiramente diferentes. Alemaña está no extremo estrito do espectro en varios puntos.

Necesítase consentimento explícito para a análise

As DPA alemás sostiveron consistentemente que Google Analytics, Matomo (nube), Adobe Analytics, Mixpanel e ferramentas similares requiren consentimento de opt-in. A análise autoaloxada e anonimizada con retención curta ás veces pode cualificarse como estritamente necesaria, pero o listón é alto e varía segundo a DPA. Baviera, Baden-Württemberg, Berlín e Hamburgo publican cada un orientacións técnicas detalladas, e non son idénticas.

Schrems II e transferencias aos EUA

As DPA alemás foron das máis agresivas de Europa nas cuestións de transferencia de Schrems II. Executar un rastreador aloxado nos EUA — incluso cunha certificación Data Privacy Framework — atrae o escrutinio se o seguimento é invasivo ou implica datos de categoría especial. A Datenschutzkonferenz (DSK), o órgano conxunto das DPA federais e estatais alemás, emitiu orientacións reiteradas de que a telemetría enviada a procesadores dos EUA sen un mecanismo de transferencia válido viola simultaneamente tanto o GDPR como o TTDSG.

Patróns escuros explicitamente prohibidos

Varias DPA alemás emitiron orientacións de aplicación de que a vergoña de confirmación, as caixas de verificación preseleccionadas, a prominencia desigual dos botóns e os patróns de divulgación forzada son incompatibles cun consentimento TTDSG válido. Un banner onde „Aceptar todo” é visualmente dominante e „Rexeitar todo” está enterrado detrás dun segundo clic fallará nunha auditoría alemá en 2026.

Requisitos prácticos do CMP para o mercado alemán

Para satisfacer o TTDSG/TDDDG nun ambiente de produción, a súa plataforma de xestión do consentimento e o seu xestor de etiquetas necesitan aplicar varios comportamentos específicos.

Igual prominencia para aceptar e rexeitar

O banner de primeira capa debe mostrar un botón Rexeitar todo con paridade visual respecto de Aceptar todo. A cor, o tamaño, a posición e o custo de interacción deben estar equilibrados. Moitos CMP envían un modelo predeterminado que non cumpre este listón na súa configuración rexional alemá.

Granularidade por proveedor

Os reguladores alemáns esperan que os usuarios poidan dar o seu consentimento por proveedor ou por finalidade, non só un único conmutador global. IAB TCF v2.2 cumpre esta expectativa, pero só se a súa lista de provedores está actualizada e as finalidades están claramente explicadas.

Bloqueo antes do consentimento

Ningún script de terceiros pode cargarse, non se pode escribir ningunha cookie e ningún píxel pode activarse antes de que se rexistre o consentimento afirmativo. Isto aplícase a Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok e a cada servidor de publicidade. O uso de modos de xestión de etiquetas conscientes do consentimento — como a inicialización do consentimento de Google Tag Manager — é o padrón esperado.

Revogable cun clic

As DPA alemás esixen que retirar o consentimento sexa tan fácil como concedelo. Un mecanismo persistente e visible — un botón flotante de reapertura, un enlace no pé de páxina ou un equivalente de UI — debe estar dispoñible en cada páxina do sitio.

Rexistros de consentimento e pista de auditoría

O TTDSG herda o artigo 7(1) do GDPR: o responsable do tratamento debe poder demostrar que se deu o consentimento. Conserve rexistros de cando, como e para que finalidades se concedeu o consentimento, idealmente durante polo menos 36 meses dada a prescrición civil alemá. A maioría dos CMP certificados por Google xestionan isto por defecto.

Aplicacións móbiles e rastrexo SDK

O TTDSG aplícase ás aplicacións móbiles con igual forza. O identificador de publicidade en Android, o idfa en iOS, calquera toma de impresión dixital a nivel de SDK e calquera comportamento de cookie entre aplicacións están todos suxeitos á regra do consentimento.

Paridade de Android e iOS

Na práctica, os editores que dependen da solicitude de transparencia de seguimento de aplicacións de iOS non poden asumir que satisfai o TTDSG — a solicitude de Apple é un control a nivel de plataforma e non é en si mesmo un consentimento TTDSG válido. Necesita unha capa CMP dentro da aplicación que recolla o consentimento conforme ao TTDSG antes de que se inicialice calquera SDK non estritamente necesario.

Cadeas de consentimento dentro da aplicación

Para a publicidade en aplicacións móbiles, a cadea IAB TCF ou a cadea IAB GPP debe xerarse e propagarse a cada SDK que participe na tubería de poxas. Sen unha cadea de consentimento válida, cada posta está exposta legalmente independentemente de como o SDK configure o seu propio comportamento.

Panorama de aplicación en 2026

As DPA alemás volvéronse significativamente máis activas na aplicación do TTDSG en 2024 e 2025. O Landesdatenschutzbeauftragte de Baviera por si só abriu centos de investigacións por ano, e a DPA de Berlín emitiu multas citando específicamente violacións de banners de cookies.

Multas vistas ata agora

O propio TTDSG establece unha multa administrativa máxima de 300 000 EUR por infracción. Pero como calquera violación do TTDSG é tipicamente tamén unha violación do GDPR, as DPA a miúdo acumularon a penalización GDPR máis alta — ata 20 millóns EUR ou o 4 por cento do volume de negocio anual global. Os editores e os operadores de comercio electrónico no mercado alemán deberían planificar a responsabilidade acumulada ao avaliar a súa exposición.

Responsabilidade civil

Alemaña é unha das poucas xurisdicións da UE onde os usuarios individuais demandaron con éxito por danos non materiais ao abeiro do artigo 82 do GDPR en relación con violacións de cookies. Espera que as reclamacións masivas de consumidores, a miúdo organizadas a través de Verbraucherzentralen e despachos de avogados demandantes, continúen en 2026.

Lista de verificación de auditoría para o tráfico alemán

• O CMP presenta Aceptar todo e Rexeitar todo con igual prominencia visual na primeira capa
• Non se cargan cookies, píxeles nin scripts de terceiros antes do consentimento, incluídas as análises e as probas A/B
• Ofrécese granularidade por finalidade e por proveedor, con descricións de finalidades en linguaxe sinxela en alemán
• O mecanismo de retirada do consentimento é persistente e accesible desde cada páxina
• Os rexistros de consentimento consérvanse co selo de tempo, a versión do consentimento e as finalidades concedidas
• As aplicacións móbiles aplican o consentimento TTDSG antes de inicializar calquera SDK non estritamente necesario, independentemente da solicitude iOS ATT
• Os acordos de tratamento de datos e as avaliacións de transferencia Schrems II están documentados para cada proveedor con sede nos EUA
• A revisión de patróns escuros está completada segundo as últimas orientacións da DSK
• A política de privacidade nomea todos os procesadores, identifica a base legal ao abeiro do GDPR e a base do consentimento ao abeiro do TTDSG por separado, e está dispoñible en alemán
• A lista de provedores está sincronizada con IAB TCF v2.2 e actualizada cando se engaden novos socios

As perspectivas de 2026

O cambio de nome a TDDDG en 2024 non suavizou a aplicación alemá. Se acaso, as DPA están mellor dotadas de recursos e máis coordinadas a través da DSK que hai dous anos. A traxectoria é clara: os listóns do consentimento subirán, o escrutinio sobre os patróns escuros intensificarase e as avaliacións de transferencia Schrems II converteranse nun foco de auditoría estándar. Os editores e anunciantes que operan en Alemaña e que investiron nun stack de consentimento axeitado en 2024-2025 están amplamente en boa forma. Os que deixaron o cumprimento alemán para máis tarde están entrando en 2026 con brechas coñecidas e un interese regulador crecente. O movemento correcto é pechar esas brechas agora — antes de que unha investigación do Landesdatenschutzbeauftragte force a pregunta nun calendario que non controla.