Mit szabályoz valójában a TTDSG és TDDDG

A TTDSG az EU ePrivacy-irányelvét szokatlan pontossággal ülteti át a német jogba. Míg a GDPR a személyes adatok kezelését szabályozza, a TTDSG szabályozza az információk felhasználói végberendezésen való tárolását vagy a már tárolt információkhoz való hozzáférést — függetlenül attól, hogy ezek az információk személyes adatok-e. Egyszerűen fogalmazva: minden süti, minden pixel, minden helyi tárolásba írás, minden ujjlenyomat-szkript hatálya alá esik, még akkor is, ha egyáltalán nem gyűjt személyes adatot.

25. §-a — Az alapvető hozzájárulási szabály

A kulcsos rendelkezés a TTDSG 25. §-a (most TDDDG 25. §). Ez megtiltja az információk tárolását vagy a felhasználó végberendezésén lévő információkhoz való hozzáférést, kivéve, ha az alábbi két feltétel egyike teljesül:

• A felhasználó tájékozott, önkéntes, konkrét és aktív hozzájárulást adott, miután világos és átfogó módon tájékoztatták, vagy
• A tárolás vagy hozzáférés szigorúan szükséges ahhoz a telemédiaszolgáltatáshoz, amelyet a felhasználó kifejezetten kért.

Nincs jogos érdek alap. Nincs puha opt-in. A szigorúan szükséges német értelmezése szűkebb, mint sok más európai joghatóságban — lefedi a munkamenet sütiket, a terheléselosztást és a fizetési feldolgozást, de nem az elemzést, nem a hirdetést és nem a legtöbb személyre szabást.

Kapcsolat a GDPR-ral

A TTDSG nem váltja fel a GDPR-t. Felette ül. Még ha teljesíti is a TTDSG feltételeit egy süti beállításakor, még mindig szüksége van GDPR-jogalapra az ezt követő személyes adatkezeléshez. A tiszta németországi megfelelési álláshoz mindkét kapun át kell jutni. Gyakori hiba, hogy a hozzájárulást a GDPR 6. cikk (1) bekezdés a) pontja alapján gyűjtik, és feltételezik, hogy ez lefedi a TTDSG-t is — ez igaz, feltéve, hogy a hozzájárulás megfelel a TTDSG specificitási követelményeinek is, amelyek több tekintetben szigorúbbak a GDPR-nál.

Hogyan különbözik Németország az EU többi részétől

Az EU-ban a szabályozók kissé eltérően értelmezik az ePrivacy-t. Németország több szempontból is a szigorú végén van a spektrumnak.

Explicit hozzájárulás szükséges az elemzéshez

A német adatvédelmi hatóságok következetesen azt az álláspontot képviselik, hogy a Google Analytics, a Matomo (felhő), az Adobe Analytics, a Mixpanel és hasonló eszközök opt-in hozzájárulást igényelnek. Az önállóan üzemeltetett, anonimizált elemzések rövid megőrzési idővel néha minősíthetők szigorúan szükségesnek, de a feltételek magasak és adatvédelmi hatóságonként eltérnek. Bajorország, Baden-Württemberg, Berlin és Hamburg egyenként részletes technikai útmutatókat tesznek közzé, és ezek nem azonosak.

Schrems II és az USA-ba irányuló adattovábbítások

A német adatvédelmi hatóságok az európai hatóságok közül a legagresszívabbak közé tartoznak a Schrems II-vel kapcsolatos adattovábbítási kérdésekben. Egy USA-ban üzemeltetett nyomkövető futtatása — még Data Privacy Framework tanúsítvánnyal is — fokozott figyelmet vonz, ha a nyomkövetés átható vagy különleges kategóriájú adatokat érint. A Datenschutzkonferenz (DSK), a német szövetségi és állami adatvédelmi hatóságok közös testülete, ismételten kiadott útmutatókat arról, hogy az érvényes adattovábbítási mechanizmus nélküli, USA-ban lévő adatfeldolgozóknak küldött telemetria egyszerre sérti a GDPR-t és a TTDSG-t.

Sötét minták kifejezetten tiltottak

Számos német adatvédelmi hatóság végrehajtási útmutatókat adott ki arról, hogy a megerősítési megszégyenítés, az előre kijelölt jelölőnégyzetek, az egyenlőtlen gombkiemelés és a kényszerített-feltárási minták összeegyeztethetetlenek az érvényes TTDSG-hozzájárulással. Egy olyan banner, ahol az „Accept all" vizuálisan domináns és a „Reject all" egy második kattintás mögé van rejtve, nem fog átmenni egy 2026-os német auditot.

Gyakorlati CMP-követelmények a német piachoz

A TTDSG/TDDDG teljesítéséhez termelési környezetben a hozzájáruláskezelő platformnak és a tag managernek számos specifikus viselkedést kell érvényesítenie.

Egyenlő kiemelés az elfogadáshoz és az elutasításhoz

Az első réteg bannernek vizuális egyenértékűséggel kell megjelenítenie a Mindet elutasít gombot a Mindent elfogad gombbal. A szín, a méret, a pozíció és az interakciós költség kiegyensúlyozott kell legyen. Sok CMP olyan alapértelmezett sablont szállít, amely nem felel meg ennek a feltételnek a német területi beállításban.

Szállítónkénti részletesség

A német szabályozók elvárják, hogy a felhasználók szállítónként vagy célonként adhassák meg hozzájárulásukat, ne csak egyetlen globális kapcsolóval. Az IAB TCF v2.2 teljesíti ezt az elvárást, de csak akkor, ha a szállítói lista naprakész és a célok egyértelműen meg vannak magyarázva.

Blokkolás hozzájárulás előtt

Egyetlen harmadik feles szkript sem töltődhet be, egyetlen süti sem írható, és egyetlen pixel sem sülhet el a megerősítő hozzájárulás rögzítése előtt. Ez vonatkozik a Google Analyticsre, a Meta Pixelre, a LinkedIn Insight Tagre, a Hotjarra, a Criteóra, a TikTokra és minden hirdetési szerverre. A tag management hozzájárulás-tudatos módok — mint például a Google Tag Manager hozzájárulás-inicializálása — az elvárt minta.

Egy kattintással visszavonható

A német adatvédelmi hatóságok megkövetelik, hogy a hozzájárulás visszavonása ugyanolyan egyszerű legyen, mint a megadása. Egy tartós, látható mechanizmus — lebegő újranyitó gomb, láblécben lévő link, vagy egyenértékű UI-megszokás — minden oldalon elérhetőnek kell lennie.

Hozzájárulási nyilvántartások és ellenőrzési napló

A TTDSG örökli a GDPR 7. cikk (1) bekezdését: az adatkezelőnek képesnek kell lennie bizonyítani, hogy a hozzájárulás megadásra került. Megőrzi a nyilvántartásokat arról, hogy mikor, hogyan és milyen célokra adtak hozzájárulást, ideálisan legalább 36 hónapig a német polgári jogi elévülési határidőre tekintettel. A legtöbb Google-tanúsított CMP ezt alapértelmezés szerint kezeli.

Mobilalkalmazások és SDK nyomkövetés

A TTDSG egyforma erővel vonatkozik a mobilalkalmazásokra. Az Android-hirdetési azonosító, az iOS IDFA, az SDK szintű ujjlenyomat-vétel és bármilyen alkalmazásközi sütiviselkedés mind a hozzájárulási szabály hatálya alá esik.

Android és iOS paritás

A gyakorlatban azok a kiadók, akik az iOS App Tracking Transparency promptra támaszkodnak, nem feltételezhetik, hogy az kielégíti a TTDSG-t — az Apple promptja egy platform szintű vezérlő, és önmagában nem érvényes TTDSG-hozzájárulás. Szüksége van egy alkalmazáson belüli CMP rétegre, amely TTDSG-megfelelő hozzájárulást gyűjt, mielőtt bármilyen nem szigorúan szükséges SDK inicializálódna.

Alkalmazáson belüli hozzájárulási karakterláncok

A mobilalkalmazás-hirdetéseknél az IAB TCF karakterlánc vagy IAB GPP karakterlánc generálódhat és kell propagálni minden olyan SDK-hoz, amely részt vesz az ajánlati folyamatban. Érvényes hozzájárulási karakterlánc nélkül minden ajánlat jogilag ki van téve, függetlenül attól, hogyan konfigurálja az SDK a saját viselkedését.

Végrehajtási kép 2026-ban

A német adatvédelmi hatóságok 2024-ben és 2025-ben jelentősen aktívabbá váltak a TTDSG végrehajtásában. Egyedül Bajorország Landesdatenschutzbeauftragte-ja évente több száz vizsgálatot nyitott, a berlini adatvédelmi hatóság pedig kifejezetten süti-banner szabálysértésekre hivatkozva szabott ki bírságokat.

Az eddig látott bírságok

Maga a TTDSG maximum 300 000 EUR közigazgatási bírságot állapít meg jogsértésenként. Mivel azonban minden TTDSG-jogsértés általában egyben GDPR-jogsértés is, az adatvédelmi hatóságok gyakran a magasabb GDPR-szankciót alkalmazták — akár 20 millió EUR vagy a globális éves forgalom 4 százaléka. A német piacon tevékenykedő kiadóknak és e-kereskedelmi szereplőknek az összerakott felelősséget kell tervezniük, amikor a kockázatot mérik fel.

Polgári jogi felelősség

Németország azon kevés EU-s joghatóságok egyike, ahol az egyéni felhasználók sikeresen pereltek nem vagyoni kárért a GDPR 82. cikke alapján süti-jogsértésekkel összefüggésben. Számítani kell arra, hogy a tömeges fogyasztói igények — amelyeket gyakran a Verbraucherzentralen és felperesi jogi irodák szerveznek — 2026-ban is folytatódnak.

Ellenőrzési lista a német forgalomhoz

• A CMP az első rétegen egyenlő vizuális kiemeléssel mutatja az Összes elfogadása és az Összes elutasítása gombokat
• Hozzájárulás előtt nem töltődnek be sütik, pixelek vagy harmadik feles szkriptek, beleértve az elemzést és az A/B tesztelést
• Célenként és szállítónként részletesség ajánlott, egyszerű, német nyelvű célleírásokkal
• A hozzájárulás visszavonásának mechanizmusa tartós és minden oldalról elérhető
• A hozzájárulási nyilvántartásokat időbélyeggel, hozzájárulás-verzióval és megadott célokkal tárolják
• A mobilalkalmazások a TTDSG-hozzájárulást az iOS ATT prompttól függetlenül érvényesítik minden nem szigorúan szükséges SDK inicializálása előtt
• Az adatfeldolgozási megállapodások és a Schrems II adattovábbítási értékelések minden USA-alapú szállítóra dokumentáltak
• A sötét minta felülvizsgálat a legfrissebb DSK útmutató alapján megtörtént
• Az adatvédelmi szabályzat felsorolja az összes feldolgozót, külön azonosítja a GDPR szerinti jogalapot és a TTDSG szerinti hozzájárulási alapot, és elérhető németül
• A szállítói lista szinkronizálva van az IAB TCF v2.2-vel, és frissül, amikor új partnereket adnak hozzá

A 2026-os kilátások

A TDDDG-re való átnevezés 2024-ben nem enyhítette a németországi végrehajtást. Ha egyáltalán, az adatvédelmi hatóságok jobban felszereltek és jobban koordináltak a DSK-n keresztül, mint két évvel ezelőtt. A pályán egyértelmű: a hozzájárulási lécek emelkednek, a sötét mintával szembeni vizsgálat intenzívebbé válik, és a Schrems II adattovábbítási értékelések standard auditfókuszpont lesznek. Azok a kiadók és hirdetők, akik Németországban 2024-2025-ben megfelelő hozzájárulási rendszerbe fektettek be, általánosságban jó helyzetben vannak. Akik a németországi megfelelést halasztgatták, azok 2026-ba ismert hiányosságokkal és növekvő szabályozói érdeklődéssel lépnek be. A helyes lépés az, hogy most zárolják ezeket a hiányosságokat — mielőtt egy Landesdatenschutzbeauftragte vizsgálat kényteleníti a kérdést egy olyan ütemterven, amelyet nem Ön irányít.