TTDSG privola za kolačiće u Njemačkoj: Vodič za 2026. godinu za izdavače i oglašivače o Zakonu o zaštiti podataka u telekomunikacijama i telemedijima
Njemačka je najveće reklamno tržište kontinentalne Europe, a ujedno je i jedno od najstrožih kada je riječ o kolačićima. Od prosinca 2021. njemački zakon je dodao posvećeni režim privole za kolačiće — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — povrh GDPR-a. Godine 2024. zakon je preimenovan u TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) kako bi se uskladio s EU Zakonom o digitalnim uslugama, ali se sadržaj i njegova praktična obveza nisu promijenili. Ako provodite digitalno oglašavanje, analitiku ili bilo kakvo praćenje trećih strana na njemačkom tržištu u 2026. godini, podlijažete TTDSG/TDDDG-u uz GDPR, a njemačka tijela za zaštitu podataka nisu sramežljiva kad je u pitanju provedba. Ovaj vodič objašnjava što zakon obuhvaća, kako se razlikuje od samog GDPR-a te što vaša CMP i oglasnički skup trebaju učiniti kako bi ostali usklađeni u Njemačkoj.
Što TTDSG i TDDDG zapravo reguliraju
TTDSG prenosi EU Direktivu o ePrivacy-u u njemačko pravo s neobičnom preciznošću. Dok GDPR regulira obradu osobnih podataka, TTDSG regulira svako pohranjivanje informacija u, ili pristup informacijama koje su već pohranjene na, terminalnoj opremi korisnika — bez obzira na to jesu li te informacije osobni podaci. Jednostavnim riječima: svaki kolačić, svaki piksel, svaki zapis u lokalnom pohrani, svaka skripta za otiske prstiju je u dosegu, čak i ako ne prikuplja nikakve osobne podatke.
Članak 25 — Osnovno pravilo o privoli
Ključna odredba je Članak 25 TTDSG-a (sada Članak 25 TDDDG-a). Zabranjuje pohranjivanje ili pristup bilo kojim informacijama na terminalnoj opremi korisnika osim ako nije ispunjen jedan od dva uvjeta:
- Korisnik je dao informiranu, dobrovoljnu, specifičnu i aktivnu privolu nakon što je informiran na jasan i sveobuhvatan način, ili
- Pohrana ili pristup apsolutno je nužan za pružanje usluge telemedija koju je korisnik izričito zatražio.
Ne postoji osnova legitimnog interesa. Ne postoji blagi opt-in. Njemačko tumačenje apsolutno nužnog uže je od mnogih drugih europskih nadležnosti — pokriva sesijske kolačiće, uravnoteženje opterećenja i obradu plaćanja, ali ne analitiku, ne oglašavanje, i ne većinu personalizacije.
Interakcija s GDPR-om
TTDSG ne zamjenjuje GDPR. On se nadovezuje na njega. Čak i ako prijeđete prepreku TTDSG-a za čin postavljanja kolačića, i dalje vam treba pravna osnova prema GDPR-u za svaku obradu osobnih podataka koja slijedi. Čista pozicija usklađenosti s Njemačkom zahtijeva prolaz kroz oba prolaza. Uobičajena pogreška je prikupljanje privole prema Članku 6(1)(a) GDPR-a i pretpostavljanje da to pokriva i TTDSG — pokriva, pod uvjetom da privola ispunjava i zahtjeve specifičnosti TTDSG-a, koji su stroži od GDPR-ovih u nekoliko aspekata.
Kako se Njemačka razlikuje od ostatka EU-a
Regulatori diljem EU-a tumače ePrivacy na malo različite načine. Njemačka se nalazi na strogom kraju spektra u nekoliko točaka.
Potrebna eksplicitna privola za analitiku
Njemačka tijela za zaštitu podataka dosljedno su tvrdila da Google Analytics, Matomo (oblak), Adobe Analytics, Mixpanel i slični alati zahtijevaju privolu opt-in. Samostalno hostirana, anonimizirana analitika s kratkim zadržavanjem ponekad može biti kvalificirana kao apsolutno nužna, ali ljestvica je visoka i razlikuje se po tijelu. Bavarska, Baden-Württemberg, Berlin i Hamburg svaki objavljuju detaljne tehničke smjernice, a one nisu identične.
Schrems II i prijenosi u SAD
Njemačka tijela za zaštitu podataka bila su među najagresivnijima u Europi po pitanju prijenosa Schrems II. Pokretanje trackera s hostingom u SAD-u — čak i uz certifikaciju Data Privacy Framework — privlači nadzor ako je praćenje rasprostranjeno ili uključuje posebne kategorije podataka. Datenschutzkonferenz (DSK), zajedničko tijelo njemačkih saveznih i državnih tijela za zaštitu podataka, izdala je ponavljajuće smjernice da telemetrija poslana procesorima u SAD-u bez valjanog mehanizma prijenosa krši i GDPR i TTDSG istovremeno.
Tamni uzorci eksplicitno zabranjeni
Nekoliko njemačkih tijela za zaštitu podataka izdalo je smjernice o provedbi da su sramoćenje potvrdom, unaprijed odabrani potvrdni okviri, nejednaka istaknutost gumba i uzorci prisilnog otkrivanja nespojivi s valjanom privolom prema TTDSG-u. Baner na kojem je „Prihvati sve” vizualno dominantan i „Odbij sve” zakopan iza drugog klika neće proći njemačku reviziju u 2026. godini.
Praktični zahtjevi CMP-a za njemačko tržište
Kako bi zadovoljili TTDSG/TDDDG u produkcijskom okruženju, vaša platforma za upravljanje privolama i upravitelj oznakama trebaju provoditi nekoliko specifičnih ponašanja.
Jednaka istaknutost za prihvaćanje i odbijanje
Baner prvog sloja mora prikazivati gumb Odbij sve s vizualnom paritetom prema Prihvati sve. Boja, veličina, položaj i trošak interakcije moraju biti uravnoteženi. Mnogi CMP-ovi isporučuju zadani predložak koji ne zadovoljava ovu ljestvicu u njihovoj njemačkoj lokalizaciji.
Granularnost po dobavljaču
Njemački regulatori očekuju da korisnici mogu dati privolu po dobavljaču ili po svrsi, a ne samo jednim globalnim preklopnikom. IAB TCF v2.2 ispunjava to očekivanje, ali samo ako je vaš popis dobavljača ažuran i svrhe su jasno objašnjene.
Blokiranje prije privole
Niti jedna skripta treće strane ne smije se učitati, nijedan kolačić se ne smije zapisati i nijedan piksel ne smije se aktivirati prije bilježenja afirmativne privole. To se primjenjuje na Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok i svaki oglasnički server. Korištenje modova svjesnih privole u upravljanju oznakama — kao što je inicijalizacija privole Google Tag Managera — je očekivani uzorak.
Povučivo jednim klikom
Njemačka tijela za zaštitu podataka zahtijevaju da je povlačenje privole jednako jednostavno kao njezino odobravање. Trajni, vidljivi mehanizam — plutajući gumb za ponovni otvor, veza u podnožju ili ekvivalentna UI mogućnost — mora biti dostupan na svakoj stranici web-mjesta.
Zapisi o privoli i revizijski trag
TTDSG nasljeđuje Članak 7(1) GDPR-a: voditelj obrade mora moći dokazati da je privola dana. Čuvajte zapise o tome kada, kako i za koje svrhe je privola dana, idealno najmanje 36 mjeseci s obzirom na njemački građanski zakon o zastari. Većina Google-certificiranih CMP-ova ovo obrađuje prema zadanim postavkama.
Mobilne aplikacije i SDK praćenje
TTDSG se primjenjuje na mobilne aplikacije s jednakom snagom. Identifikator za oglašavanje na Androidu, idfa na iOS-u, svako SDK-razinsko uzimanje otisaka prstiju i svako ponašanje međuaplikacijskih kolačića — sve podliježe pravilu o privoli.
Paritet Androida i iOS-a
U praksi, izdavači koji se oslanjaju na iOS App Tracking Transparency upit ne mogu pretpostaviti da zadovoljava TTDSG — Appleov upit je kontrola na razini platforme i samo po sebi nije valjana privola prema TTDSG-u. Trebate sloj CMP-a unutar aplikacije koji prikuplja privolu usklađenu s TTDSG-om prije inicijalizacije bilo kojeg SDK-a koji nije apsolutno nužan.
Nizovi privole unutar aplikacije
Za oglašavanje u mobilnim aplikacijama, IAB TCF niz ili IAB GPP niz mora biti generiran i propagiran na svaki SDK koji sudjeluje u pipeline-u ponuda. Bez valjanog niza privole, svaka ponuda je pravno izložena bez obzira na to kako SDK konfigurira vlastito ponašanje.
Krajolik provedbe u 2026. godini
Njemačka tijela za zaštitu podataka postala su znatno aktivnija u provedbi TTDSG-a u 2024. i 2025. godini. Landesdatenschutzbeauftragte Bavarske samim je sobom otvorilo stotine istraga godišnje, a Berlinska DPA izdala je novčane kazne posebno navodeći kršenja banera kolačića.
Dosad viđene kazne
Sam TTDSG postavlja maksimalnu administrativnu kaznu od 300.000 EUR po kršenju. No budući da je svako kršenje TTDSG-a obično i kršenje GDPR-a, tijela su često gomilala veću kaznu prema GDPR-u — do 20 milijuna EUR ili 4 posto globalnog godišnjeg prometa. Izdavači i operatori e-commercea na njemačkom tržištu trebaju planirati kumulativnu odgovornost pri određivanju opsega izloženosti.
Civilna odgovornost
Njemačka je jedna od rijetkih nadležnosti EU-a u kojima su pojedinačni korisnici uspješno tužili za nematerijalnu štetu prema Članku 82 GDPR-a u vezi s kršenjima kolačića. Očekujte da će masovne potrošačke tužbe, često organizirane putem Verbraucherzentralen i tužiteljskih odvjetničkih ureda, nastaviti u 2026. godini.
Kontrolni popis revizije za njemački promet
- CMP prikazuje Prihvati sve i Odbij sve s jednakom vizualnom istaknutošću na prvom sloju
- Nijedan kolačić, piksel ili skripta treće strane se ne učitava prije privole, uključujući analitiku i A/B testiranje
- Ponuđena je granularnost po svrsi i po dobavljaču, s opisima svrha na jasnom jeziku na njemačkom
- Mehanizam povlačenja privole je trajan i dostupan sa svake stranice
- Zapisi o privoli čuvaju se s vremenskim žigom, verzijom privole i odobrenim svrhama
- Mobilne aplikacije provode privolu prema TTDSG-u prije inicijalizacije bilo kojeg SDK-a koji nije apsolutno nužan, neovisno o iOS ATT upitu
- Sporazumi o obradi podataka i procjene prijenosa Schrems II dokumentirani su za svakog dobavljača sa sjedištem u SAD-u
- Pregled tamnih uzoraka dovršen je u skladu s najnovijim smjernicama DSK-a
- Politika privatnosti imenuje sve procesore, zasebno identificira pravnu osnovu prema GDPR-u i osnovu privole prema TTDSG-u te je dostupna na njemačkom
- Popis dobavljača sinkroniziran je s IAB TCF v2.2 i ažurira se kada se dodaju novi partneri
Izgled za 2026. godinu
Preimenovanje u TDDDG u 2024. godini nije omekšalo njemačku provedbu. Ako išta, tijela su bolje opremljena resursima i koordiniranija putem DSK-a nego što su bila prije dvije godine. Putanja je jasna: ljestvice privole rast će, nadzor tamnih uzoraka intenzivirati se, a procjene prijenosa Schrems II postat će standardni fokus revizije. Izdavači i oglašivači koji posluju u Njemačkoj i uložili su u odgovarajući skup za privolu u 2024.-2025. uglavnom su u dobroj poziciji. Oni koji su ostavili usklađenost s Njemačkom za kasnije ulaze u 2026. s poznatim nedostacima i rastućim regulatornim interesom. Pravi potez je zatvoriti te nedostatke sada — prije nego što istraga Landesdatenschutzbeauftragte prisili pitanje na vremensku liniju kojom ne upravljate.