הסכמה לעוגיות TTDSG בגרמניה: המדריך לשנת 2026 עבור מפרסמים ומשווקים לחוק הגנת הנתונים בתחום התקשורת והמדיה הרב-ערוצית
גרמניה היא השוק הפרסומי הגדול ביותר באירופה היבשתית, והיא גם אחת המחמירות ביותר בכל הנוגע לעוגיות. מאז דצמבר 2021, החוק הגרמני הוסיף משטר הסכמה לעוגיות ייעודי — ה-Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — על גבי ה-GDPR. בשנת 2024 החוק שונה שמו ל-TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) כדי להתאים לחוק השירותים הדיגיטליים של האיחוד האירופי, אך המהות והחובות המעשיות לא השתנו. אם אתה מנהל פרסום דיגיטלי, אנליטיקה, או כל מעקב של צד שלישי בשוק הגרמני בשנת 2026, אתה כפוף ל-TTDSG/TDDDG בנוסף ל-GDPR, ורשויות הגנת הנתונים הגרמניות אינן מהססות לאכוף את החוק. מדריך זה מסביר מה החוק מכסה, כיצד הוא שונה מ-GDPR בלבד, ומה ה-CMP וסט הכלים הפרסומי שלך צריכים לעשות כדי לעמוד בדרישות בגרמניה.
מה TTDSG ו-TDDDG מסדירים בפועל
TTDSG משלב את הנחיית ePrivacy האירופית לתוך החוק הגרמני ברמת דיוק יוצאת דופן. בעוד ה-GDPR מסדיר את עיבוד הנתונים האישיים, ה-TTDSG מסדיר כל אחסון מידע ב- או גישה למידע המאוחסן כבר ב- ציוד הקצה של המשתמש — ללא קשר לשאלה האם המידע הוא נתונים אישיים. בשפה פשוטה: כל עוגייה, כל פיקסל, כל כתיבה לאחסון מקומי, כל סקריפט טביעת אצבע — כולם בתחולה, גם אם אינם אוספים שום נתונים אישיים.
סעיף 25 — כלל ההסכמה המרכזי
ההוראה המרכזית היא סעיף 25 ב-TTDSG (כיום סעיף 25 TDDDG). הוא אוסר על אחסון מידע או גישה אליו בציוד הקצה של המשתמש אלא אם מתקיים אחד משני תנאים:
- המשתמש נתן הסכמה מדעת, מרצון, ספציפית ואקטיבית לאחר שהובא לידיעתו באופן ברור ומקיף, או
- האחסון או הגישה הם הכרחיים לחלוטין לצורך מתן שירות מדיה שהמשתמש ביקש במפורש.
אין בסיס אינטרס לגיטימי. אין הצטרפות מרצון רכה. הפרשנות הגרמנית של הכרחי לחלוטין היא מצומצמת יותר מאשר ביורשדיקציות אירופיות רבות אחרות — היא מכסה עוגיות סשן, איזון עומסים ועיבוד תשלומים, אבל לא אנליטיקה, לא פרסום, ולא רוב ההתאמה האישית.
האינטראקציה עם GDPR
TTDSG אינו מחליף את GDPR. הוא יושב על גביו. אפילו אם עברת את המשוכה של TTDSG לצורך הגדרת עוגייה, עדיין יש צורך בבסיס משפטי של GDPR לכל עיבוד נתונים אישיים שיבוא לאחר מכן. עמדת ציות גרמנית נקייה דורשת מעבר בשתי השערים. טעות נפוצה היא איסוף הסכמה לפי סעיף 6(1)(א) של GDPR ולהניח שהיא מכסה גם את TTDSG — כך הוא אם ההסכמה עומדת גם בדרישות הספציפיות של TTDSG, שמחמירות יותר מאלה של GDPR בכמה היבטים.
כיצד גרמניה שונה משאר האיחוד האירופי
רגולטורים ברחבי האיחוד האירופי מפרשים את ePrivacy בדרכים שונות במעט. גרמניה נמצאת בקצה המחמיר של הספקטרום בכמה סוגיות.
נדרשת הסכמה מפורשת לאנליטיקה
רשויות הגנת הנתונים הגרמניות קבעו באופן עקבי כי Google Analytics, Matomo (ענן), Adobe Analytics, Mixpanel וכלים דומים דורשים הסכמת הצטרפות. אנליטיקה מאוחסנת עצמית ואנונימית עם שמירה קצרה יכולה לעיתים להיחשב כהכרחית לחלוטין, אך הרף גבוה ומשתנה לפי רשות. בווריה, בדן-וורטמברג, ברלין והמבורג מפרסמות כל אחת הנחיות טכניות מפורטות, ואינן זהות.
Schrems II והעברות לארה“ב
רשויות הגנת הנתונים הגרמניות היו בין האגרסיביות ביותר באירופה בנושאי העברת Schrems II. הפעלת עוקב מתארח בארה״ב — אפילו עם אישור Data Privacy Framework — מושכת בדיקה אם המעקב נרחב או כולל נתונים של קטגוריה מיוחדת. ה-Datenschutzkonferenz (DSK), הגוף המשותף של רשויות הגנת הנתונים הפדרליות והמדינות הגרמניות, פרסמה הנחיות חוזרות ונשנות לפיהן שליחת טלמטריה לגורמי עיבוד אמריקאיים ללא מנגנון העברה תקף מפרה בו-זמנית הן את GDPR והן את TTDSG.
דפוסים אפלים אסורים במפורש
מספר רשויות גרמניות להגנת נתונים פרסמו הנחיות אכיפה לפיהן ביוש אישור, תיבות סימון שנבחרו מראש, בולטות לא שווה של כפתורים ודפוסי חשיפה כפויה אינם תואמים הסכמה תקפה לפי TTDSG. באנר שבו „קבל הכל” שולט ויזואלית ו„דחה הכל” קבור מאחורי לחיצה שנייה ייכשל בביקורת גרמנית בשנת 2026.
דרישות CMP מעשיות לשוק הגרמני
כדי לעמוד ב-TTDSG/TDDDG בסביבת ייצור, פלטפורמת ניהול ההסכמות ומנהל התגיות שלך צריכים לאכוף מספר התנהגויות ספציפיות.
בולטות שווה לקבלה ולדחייה
באנר השכבה הראשונה חייב להציג כפתור דחה הכל בשוויון ויזואלי עם קבל הכל. צבע, גודל, מיקום ועלות האינטראקציה חייבים להיות מאוזנים. CMP רבים מסופקים עם תבנית ברירת מחדל שאינה עומדת בסף זה בלוקאל הגרמני שלהם.
פירוט לכל ספק
הרגולטורים הגרמנים מצפים שמשתמשים יוכלו לתת הסכמה על בסיס ספק בספק או מטרה במטרה, לא רק מתג גלובלי יחיד. IAB TCF v2.2 עומד בציפייה זו, אך רק אם רשימת הספקים שלך עדכנית והמטרות מוסברות בבירור.
חסימה לפני הסכמה
שום סקריפט של צד שלישי לא יכול להיטען, שום עוגייה לא יכולה להיכתב, ושום פיקסל לא יכול להופעל לפני שמתועדת הסכמה חיובית. הדבר חל על Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok וכל שרת פרסומות. שימוש במצבים מודעי-הסכמה של ניהול תגיות — כגון אתחול ההסכמה של Google Tag Manager — הוא הדפוס הצפוי.
ניתן לביטול בלחיצה אחת
רשויות הגנת הנתונים הגרמניות דורשות שביטול ההסכמה יהיה קל כמו מתן ההסכמה. מנגנון מתמשך וגלוי — כפתור פתיחה מחדש צף, קישור בתחתית העמוד או ממשק UI מקביל — חייב להיות זמין בכל עמוד של האתר.
רשומות הסכמה ועקבות ביקורת
TTDSG יורש את סעיף 7(1) של GDPR: הגורם השולט חייב להיות מסוגל להוכיח שניתנה הסכמה. שמור רשומות של מתי, כיצד ולאילו מטרות ניתנה ההסכמה, רצוי לפחות 36 חודשים בהתחשב בתקופת ההתיישנות האזרחית הגרמנית. רוב ה-CMP המוסמכים על-ידי Google מטפלים בכך כברירת מחדל.
אפליקציות ניידות ומעקב SDK
TTDSG חל על אפליקציות ניידות בכוח שווה. מזהה הפרסום ב-Android, ה-idfa ב-iOS, כל טביעת אצבע ברמת SDK וכל התנהגות עוגיות בין-אפליקטיבית — כולן כפופות לכלל ההסכמה.
שוויון בין Android ל-iOS
בפועל, מפרסמים המסתמכים על תיבת הדו-שיח של iOS App Tracking Transparency אינם יכולים להניח שהיא עומדת בדרישות TTDSG — תיבת הדו-שיח של Apple היא בקרה ברמת הפלטפורמה ואינה הסכמה תקפה ל-TTDSG כשלעצמה. יש צורך בשכבת CMP בתוך האפליקציה שאוספת הסכמה תואמת-TTDSG לפני שמאוחל כל SDK שאינו הכרחי לחלוטין.
מחרוזות הסכמה בתוך האפליקציה
לפרסום באפליקציות ניידות, מחרוזת ה-IAB TCF או מחרוזת ה-IAB GPP חייבות להיות מגויסות ומופצות לכל SDK המשתתף בצינור ההצעות. ללא מחרוזת הסכמה תקפה, כל הצעה חשופה מבחינה משפטית ללא קשר לאופן שבו ה-SDK מגדיר את התנהגותו.
נוף האכיפה בשנת 2026
רשויות הגנת הנתונים הגרמניות הפכו פעילות הרבה יותר באכיפת TTDSG בשנים 2024 ו-2025. ה-Landesdatenschutzbeauftragte של בווריה לבדו פתח מאות חקירות בשנה, ורשות הגנת הנתונים של ברלין הוציאה קנסות שציינו במפורש הפרות של באנרי עוגיות.
קנסות שנראו עד כה
TTDSG עצמו קובע קנס מנהלי מרבי של 300,000 EUR לכל הפרה. אך מאחר שכל הפרת TTDSG היא בדרך כלל גם הפרת GDPR, רשויות הגנת הנתונים צברו לעיתים קרובות את עונש GDPR הגבוה יותר — עד 20 מיליון EUR או 4 אחוזים מהמחזור השנתי העולמי. מפרסמים ומפעילי מסחר אלקטרוני בשוק הגרמני צריכים לתכנן לאחריות מצטברת בעת קביעת היקף החשיפה.
אחריות אזרחית
גרמניה היא אחת מהמספר המצומצם של יורשדיקציות באיחוד האירופי שבהן משתמשים פרטיים תבעו בהצלחה פיצויים לא-חומריים לפי סעיף 82 של GDPR בקשר להפרות עוגיות. צפה שתביעות צרכנים המוניות, המאורגנות לעיתים קרובות באמצעות Verbraucherzentralen ומשרדי עורכי-דין של תובעים, ימשיכו בשנת 2026.
רשימת תיוג ביקורת לתנועה גרמנית
- CMP מציג קבל הכל ודחה הכל עם בולטות ויזואלית שווה בשכבה הראשונה
- שום עוגיות, פיקסלים או סקריפטים של צד שלישי אינם נטענים לפני ההסכמה, כולל אנליטיקה ובדיקות A/B
- פירוט לכל מטרה ולכל ספק מוצע, עם תיאורי מטרות בשפה פשוטה בגרמנית
- מנגנון ביטול ההסכמה הוא מתמשך ונגיש מכל עמוד
- רשומות ההסכמה נשמרות עם חותמת זמן, גרסת ההסכמה והמטרות שניתנו
- אפליקציות ניידות מאכפות הסכמת TTDSG לפני אתחול כל SDK שאינו הכרחי לחלוטין, ובאופן עצמאי מתיבת הדו-שיח iOS ATT
- הסכמי עיבוד נתונים והערכות העברה של Schrems II מתועדות לכל ספק מבוסס בארה״ב
- סקירת דפוסים אפלים הושלמה בהתאם להנחיות DSK העדכניות ביותר
- מדיניות הפרטיות שמה לכל המעבדים, מזהה את הבסיס המשפטי לפי GDPR ואת בסיס ההסכמה לפי TTDSG בנפרד, וזמינה בגרמנית
- רשימת הספקים מסונכרנת עם IAB TCF v2.2 ומתעדכנת עם הוספת שותפים חדשים
התחזית ל-2026
שינוי השם ל-TDDDG בשנת 2024 לא ריכך את האכיפה הגרמנית. אם בכלל, רשויות הגנת הנתונים מאורגנות ומשאביות יותר דרך ה-DSK ממה שהיו לפני שנתיים. המסלול ברור: רפי ההסכמה יעלו, הבדיקה של דפוסים אפלים תתעצם, והערכות העברה של Schrems II יהפכו למוקד ביקורת סטנדרטי. מפרסמים ומשווקים הפועלים בגרמניה שהשקיעו בסט כלי הסכמה נאותים בשנים 2024-2025 נמצאים באופן רחב במצב טוב. אלה שהשאירו את הציות הגרמני לאחר כך נכנסים לשנת 2026 עם פערים ידועים ועניין רגולטורי גובר. הצעד הנכון הוא לסגור את הפערים האלה עכשיו — לפני שחקירה של Landesdatenschutzbeauftragte תכפה את השאלה על ציר זמן שאינך שולט בו.