Apa yang Sebenarnya Diatur oleh TTDSG dan TDDDG

TTDSG mentransposisi Direktif ePrivacy EU ke dalam hukum Jerman dengan presisi yang tidak biasa. Di mana GDPR mengatur pemrosesan data pribadi, TTDSG mengatur penyimpanan informasi di, atau akses ke informasi yang sudah tersimpan di, perangkat terminal pengguna — terlepas dari apakah informasi tersebut merupakan data pribadi. Dalam istilah sederhana: setiap cookie, setiap piksel, setiap penulisan penyimpanan lokal, setiap skrip sidik jari berada dalam cakupan, bahkan jika tidak mengumpulkan data pribadi sama sekali.

Pasal 25 — Aturan Persetujuan Inti

Ketentuan terpenting adalah Pasal 25 TTDSG (sekarang Pasal 25 TDDDG). Ini melarang penyimpanan atau pengaksesan informasi apa pun di perangkat terminal pengguna kecuali salah satu dari dua kondisi terpenuhi:

• Pengguna telah memberikan persetujuan yang terinformasi, sukarela, spesifik, dan aktif setelah diberitahu dengan cara yang jelas dan komprehensif, atau
• Penyimpanan atau akses tersebut sangat diperlukan untuk menyediakan layanan telemedia yang secara eksplisit diminta oleh pengguna.

Tidak ada dasar kepentingan yang sah. Tidak ada opt-in lunak. Interpretasi Jerman tentang sangat diperlukan lebih sempit dari banyak yurisdiksi Eropa lainnya — ini mencakup cookie sesi, penyeimbangan beban, dan pemrosesan pembayaran, tetapi bukan analitik, bukan iklan, dan bukan sebagian besar personalisasi.

Interaksi dengan GDPR

TTDSG tidak menggantikan GDPR. Ini berada di atasnya. Bahkan jika Anda melewati rintangan TTDSG untuk tindakan menetapkan cookie, Anda masih memerlukan dasar hukum GDPR untuk pemrosesan data pribadi apa pun yang mengikutinya. Posisi kepatuhan Jerman yang bersih memerlukan melewati kedua gerbang tersebut. Kesalahan umum adalah mengumpulkan persetujuan di bawah Pasal 6(1)(a) GDPR dan mengasumsikan bahwa ini juga mencakup TTDSG — hal ini benar, asalkan persetujuan juga memenuhi persyaratan spesifisitas TTDSG, yang lebih ketat dari GDPR dalam beberapa hal.

Bagaimana Jerman Berbeda dari Sisa EU

Regulator di seluruh EU menafsirkan ePrivacy dengan cara yang sedikit berbeda. Jerman berada di ujung yang ketat dari spektrum dalam beberapa hal.

Persetujuan Eksplisit Diperlukan untuk Analitik

DPA Jerman secara konsisten menyatakan bahwa Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel, dan alat serupa memerlukan persetujuan opt-in. Analitik yang dihosting sendiri dan dianonimkan dengan retensi singkat terkadang dapat memenuhi syarat sebagai sangat diperlukan, tetapi standarnya tinggi dan bervariasi menurut DPA. Bavaria, Baden-Württemberg, Berlin, dan Hamburg masing-masing menerbitkan panduan teknis terperinci, dan tidak semuanya identik.

Schrems II dan Transfer AS

DPA Jerman termasuk yang paling agresif di Eropa dalam masalah transfer Schrems II. Menjalankan pelacak yang dihosting di AS — bahkan dengan sertifikasi Data Privacy Framework — menarik pengawasan ketat jika pelacakannya meresap atau melibatkan data kategori khusus. Datenschutzkonferenz (DSK), badan gabungan DPA federal dan negara bagian Jerman, telah mengeluarkan panduan berulang bahwa telemetri yang dikirim ke prosesor AS tanpa mekanisme transfer yang valid melanggar GDPR dan TTDSG secara bersamaan.

Pola Gelap Secara Eksplisit Dilarang

Beberapa DPA Jerman telah mengeluarkan panduan penegakan bahwa pemaluan konfirmasi, kotak centang yang dipilih sebelumnya, dominasi tombol yang tidak setara, dan pola pengungkapan paksa tidak sesuai dengan persetujuan TTDSG yang valid. Banner di mana „Accept all" secara visual dominan dan „Reject all" tersembunyi di balik klik kedua akan gagal dalam audit Jerman tahun 2026.

Persyaratan CMP Praktis untuk Pasar Jerman

Untuk memenuhi TTDSG/TDDDG dalam lingkungan produksi, platform manajemen persetujuan dan manajer tag Anda perlu menerapkan beberapa perilaku spesifik.

Kesetaraan Visual untuk Terima dan Tolak

Banner lapisan pertama harus menampilkan tombol Tolak Semua dengan paritas visual terhadap Terima Semua. Warna, ukuran, posisi, dan biaya interaksi harus seimbang. Banyak CMP mengirimkan templat default yang tidak memenuhi standar ini di lokal Jerman mereka.

Perincian Per-Vendor

Regulator Jerman mengharapkan pengguna dapat memberikan persetujuan berdasarkan per-vendor atau per-tujuan, bukan hanya satu toggle global. IAB TCF v2.2 memenuhi harapan ini, tetapi hanya jika daftar vendor Anda terkini dan tujuannya dijelaskan dengan jelas.

Pemblokiran Sebelum Persetujuan

Tidak ada skrip pihak ketiga yang boleh dimuat, tidak ada cookie yang boleh ditulis, dan tidak ada piksel yang boleh dinyalakan sebelum persetujuan afirmatif dicatat. Ini berlaku untuk Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok, dan setiap server iklan. Penggunaan mode consent-aware manajemen tag — seperti inisialisasi persetujuan Google Tag Manager — adalah pola yang diharapkan.

Dapat Ditarik dengan Satu Klik

DPA Jerman mengharuskan penarikan persetujuan semudah memberikannya. Mekanisme yang persisten dan terlihat — tombol buka kembali yang mengambang, tautan footer, atau UI yang setara — harus tersedia di setiap halaman situs.

Catatan Persetujuan dan Jejak Audit

TTDSG mewarisi Pasal 7(1) GDPR: pengontrol harus dapat menunjukkan bahwa persetujuan diberikan. Pertahankan catatan kapan, bagaimana, dan untuk tujuan apa persetujuan diberikan, idealnya selama setidaknya 36 bulan mengingat batas waktu undang-undang perdata Jerman. Sebagian besar CMP bersertifikat Google menangani ini secara default.

Aplikasi Mobile dan Pelacakan SDK

TTDSG berlaku untuk aplikasi mobile dengan kekuatan yang sama. Identifier-for-advertising di Android, IDFA di iOS, sidik jari tingkat SDK apa pun, dan perilaku cookie lintas aplikasi apa pun semuanya tunduk pada aturan persetujuan.

Paritas Android dan iOS

Dalam praktiknya, penerbit yang mengandalkan prompt iOS App Tracking Transparency tidak dapat mengasumsikan bahwa ini memenuhi TTDSG — prompt Apple adalah kontrol tingkat platform dan bukan persetujuan TTDSG yang valid dengan sendirinya. Anda memerlukan lapisan CMP dalam aplikasi yang mengumpulkan persetujuan yang sesuai TTDSG sebelum SDK yang tidak benar-benar diperlukan diinisialisasi.

String Persetujuan Dalam Aplikasi

Untuk iklan aplikasi mobile, string IAB TCF atau string IAB GPP harus dibuat dan disebarluaskan ke setiap SDK yang berpartisipasi dalam pipeline penawaran. Tanpa string persetujuan yang valid, setiap tawaran terpapar secara hukum terlepas dari bagaimana SDK mengonfigurasi perilakunya sendiri.

Lanskap Penegakan pada Tahun 2026

DPA Jerman telah menjadi jauh lebih aktif dalam penegakan TTDSG pada tahun 2024 dan 2025. Landesdatenschutzbeauftragte Bavaria saja telah membuka ratusan penyelidikan per tahun, dan DPA Berlin telah mengeluarkan denda yang secara khusus menyebut pelanggaran banner cookie.

Denda yang Terlihat Sejauh Ini

TTDSG sendiri menetapkan denda administratif maksimum EUR 300.000 per pelanggaran. Tetapi karena setiap pelanggaran TTDSG biasanya juga merupakan pelanggaran GDPR, DPA sering menumpuk hukuman GDPR yang lebih tinggi — hingga EUR 20 juta atau 4 persen dari omset tahunan global. Penerbit dan operator e-commerce di pasar Jerman harus merencanakan kewajiban yang ditumpuk saat menentukan cakupan eksposur.

Kewajiban Perdata

Jerman adalah salah satu dari sedikit yurisdiksi EU di mana pengguna individu telah berhasil menggugat ganti rugi non-material berdasarkan Pasal 82 GDPR terkait pelanggaran cookie. Harapkan klaim konsumen massal, sering diorganisir melalui Verbraucherzentralen dan firma hukum penggugat, untuk berlanjut pada tahun 2026.

Daftar Periksa Audit untuk Lalu Lintas Jerman

• CMP menyajikan Terima Semua dan Tolak Semua dengan keunggulan visual yang setara di lapisan pertama
• Tidak ada cookie, piksel, atau skrip pihak ketiga yang dimuat sebelum persetujuan, termasuk analitik dan pengujian A/B
• Perincian per-tujuan dan per-vendor ditawarkan, dengan deskripsi tujuan dalam bahasa yang mudah dipahami dalam bahasa Jerman
• Mekanisme penarikan persetujuan bersifat persisten dan dapat diakses dari setiap halaman
• Catatan persetujuan disimpan dengan cap waktu, versi persetujuan, dan tujuan yang diberikan
• Aplikasi mobile menegakkan persetujuan TTDSG sebelum menginisialisasi SDK yang tidak benar-benar diperlukan, secara independen dari prompt iOS ATT
• Addendum Pemrosesan Data dan penilaian transfer Schrems II didokumentasikan untuk setiap vendor berbasis AS
• Tinjauan pola gelap diselesaikan berdasarkan panduan DSK terbaru
• Kebijakan privasi menyebutkan semua prosesor, mengidentifikasi dasar hukum di bawah GDPR dan dasar persetujuan di bawah TTDSG secara terpisah, dan tersedia dalam bahasa Jerman
• Daftar vendor disinkronkan dengan IAB TCF v2.2 dan diperbarui ketika mitra baru ditambahkan

Pandangan 2026

Penggantian nama menjadi TDDDG pada tahun 2024 tidak melemahkan penegakan Jerman. Jika ada, DPA lebih memiliki sumber daya dan lebih terkoordinasi melalui DSK daripada dua tahun yang lalu. Trajektorinya jelas: standar persetujuan akan semakin tinggi, pengawasan pola gelap akan semakin intensif, dan penilaian transfer Schrems II akan menjadi fokus audit standar. Penerbit dan pengiklan yang beroperasi di Jerman yang berinvestasi dalam tumpukan persetujuan yang tepat pada tahun 2024-2025 secara umum berada dalam kondisi yang baik. Mereka yang menunda kepatuhan Jerman untuk nanti memasuki tahun 2026 dengan kesenjangan yang diketahui dan meningkatnya perhatian regulasi. Langkah yang tepat adalah menutup kesenjangan tersebut sekarang — sebelum penyelidikan Landesdatenschutzbeauftragte memaksa pertanyaan dalam jadwal yang tidak Anda kendalikan.