TTDSG Kexísamþykki í Þýskalandi: Leiðbeiningar 2026 fyrir útgefendur og auglýsendur um lög um gagnavernd í fjarskiptum og fjölmiðlum
Þýskaland er stærsta auglýsingamarkaður meginlandsEvrópu og er einnig eitt strangt hvað varðar kex. Síðan í desember 2021 hefur þýsk löggjöf bætt sérstöku kexisamþykkiskerfi — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — ofan á GDPR. Árið 2024 var lögin endurnefnd TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) til að samræmast reglugerð ESB um stafrænar þjónustur, en efni þess og hagnýtar skyldur hafa ekki breyst. Ef þú rekur stafrænar auglýsingar, greiningar eða hvers kyns þriðja aðila rakningu á þýska markaðinn árið 2026 ertu undir TTDSG/TDDDG auk GDPR, og þýskar DPA eru langt frá því að vera feimnar við framfylgni. Þessi leiðarvísir útskýrir hvað lögin ná yfir, hvernig þau eru frábrugðin GDPR einu saman og hvað CMP þitt og auglýsingabúnaður þarf að gera til að vera í samræmi í Þýskalandi.
Hvað TTDSG og TDDDG Stjórna Raunverulega
TTDSG innleiðir ePrivacy-tilskipun ESB í þýsk lög með óvenjulegri nákvæmni. Þar sem GDPR stjórnar vinnslu persónuupplýsinga, stjórnar TTDSG hvers kyns geymslu upplýsinga í, eða aðgang að upplýsingum sem þegar eru geymdar á, endabúnaði notanda — óháð því hvort þær upplýsingar eru persónuupplýsingar. Í einföldum orðum: sérhver kex, sérhver pixill, sérhver skrif í staðbundna geymslu, sérhvert fingrafarsforrit er í gildissviði, jafnvel ef það safnar engum persónuupplýsingum.
Grein 25 — Kjarnaregla samþykkis
Lykilákvæðið er grein 25 TTDSG (nú grein 25 TDDDG). Hún bannar geymslu eða aðgang að upplýsingum á endabúnaði notanda nema eitt af tveimur skilyrðum sé uppfyllt:
- Notandinn hefur gefið upplýst, frjálslegt, sértækt og virkt samþykki eftir að hafa verið upplýstur á skýran og ítarlegan hátt, eða
- Geymslunni eða aðganginum er brýnt nauðsynlegt til að veita fjölmiðlaþjónustu sem notandinn hefur sérstaklega óskað eftir.
Það er engin lögmæt hagsmunagrundvöllur. Það er engin mjúk innskráning. Þýsk túlkun á brýnt nauðsynlegt er þrengri en í mörgum öðrum evrópskum lögsögu — hún nær yfir setu-kex, álagsdreifingu og greiðsluvinnslu, en ekki greiningar, ekki auglýsingar og ekki flestar persónusniðsaðgerðir.
Samspil við GDPR
TTDSG kemur ekki í stað GDPR. Það situr ofan á því. Jafnvel þótt þú komist yfir TTDSG-þröskuldinn fyrir athöfnina að stilla kex, þarftu enn lögmætan grundvöll GDPR fyrir hvers kyns vinnslu persónuupplýsinga sem á eftir kemur. Hreinn þýskur samræmisstaður krefst þess að fara í gegnum báðar hlið. Algeng mistök eru að safna samþykki undir grein 6(1)(a) GDPR og gera ráð fyrir að það nái einnig yfir TTDSG — það gerir það, að því tilskildu að samþykkið uppfylli einnig sérhæfniskröfur TTDSG, sem eru strangari en GDPR að ýmsu leyti.
Hvernig Þýskaland Er Frábrugðið Öðrum ESB-ríkjum
Eftirlitsaðilar um alla ESB túlka ePrivacy á lítið eitt mismunandi hátt. Þýskaland er við stranga endann á litrófi í nokkrum hlutum.
Skýrt samþykki krafist fyrir greiningar
Þýskar DPA hafa stöðugt haldið því fram að Google Analytics, Matomo (ský), Adobe Analytics, Mixpanel og svipuð verkfæri krefjast opt-in samþykkis. Sjálfhýstar, nafnlægar greiningar með stuttri geymslu geta stundum talist brýnt nauðsynlegar, en þröskuldurinn er hár og er breytilegur eftir DPA. Bæjaralandi, Baden-Württemberg, Berlín og Hamborg birta hvort um sig nákvæmar tæknilegar leiðbeiningar, og þær eru ekki eins.
Schrems II og Bandaríkaflutningar
Þýskar DPA hafa verið meðal þeirra ágengastu í Evrópu varðandi Schrems II flutningamál. Rekstur bandarískt hýsðs rakningsaðila — jafnvel með Data Privacy Framework vottun — vekur athygli ef rakningin er víðtæk eða felur í sér gögn í sérstakri flokki. Datenschutzkonferenz (DSK), sameiginlegt líkami þýskra sambandsríkis- og ríkisDPA, hefur gefið út endurteknar leiðbeiningar um að stjarnfræðileg gögn send til bandarísks vinnsluaðila án gildrar flutningsmekanismar brjóti gegn GDPR og TTDSG samtímis.
Dökk mynstur beinlínis bönnuð
Nokkrar þýskar DPA hafa gefið út framkvæmdaleiðbeiningar um að staðfestingarskömmun, forstigvald gátreitir, ójafn áhersla á hnappa og þvingað-uppljóstrunarmynstur séu ósamræmanlegar gildrar TTDSG samþykki. Borði þar sem „Accept all" er sjónrænt ráðandi og „Reject all" er falinn á bak við annan smelli mun bilast í þýskri endurskoðun árið 2026.
Hagnýtar CMP-Kröfur fyrir Þýska Markaðinn
Til að uppfylla TTDSG/TDDDG í framleiðsluumhverfi þarf samþykkistjórnunarvettvangur þinn og tag-stjórnandi að framfylgja nokkrum sérstökum hegðunum.
Jöfn áhersla á samþykki og synjun
Fyrsta lags borðinn verður að sýna hnapp Hafna Öllu með sjónrænum jafngildi gagnvart Samþykkja Allt. Litur, stærð, staðsetning og samspilskostnaður verða að vera í jafnvægi. Margar CMP senda sjálfgefna sniðmát sem uppfyllir ekki þetta skilyrði á þýsku staðbundinguna sína.
Nákvæmni á Söluaðila
Þýskir eftirlitsaðilar búast við að notendur geti samþykkt á grunni söluaðila eða tilgangs, ekki bara einn altækan rofann. IAB TCF v2.2 uppfyllir þessa væntingu, en aðeins ef söluaðilalisti þinn er uppfærður og tilgangarnir eru skýrt útskýrðir.
Lokun Fyrir Samþykki
Engin þriðja aðila skrifta má hlaðast, ekkert kex má vera skrifað og enginn pixill má kveikja áður en jákvætt samþykki er skráð. Þetta á við um Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok og hvern auglýsingaþjón. Notkun á samþykki-meðvitaðar stillingar tag-stjórnunar — eins og samþykkisupphaf Google Tag Manager — er hin væntanlega mynstur.
Afturkallanleg með Einum Smelli
Þýskar DPA krefjast þess að afturköllun samþykkis sé jafn auðveld og veiting þess. Viðvarandi, sýnileg mekanisma — fljótandi enduropen-hnappur, neðanmálstenging eða jafngildir UI þæginlegar — verður að vera tiltæk á hverri síðu vefsvæðisins.
Samþykkingarfærslur og Endurskoðunarslóð
TTDSG erfir grein 7(1) GDPR: stjórnandinn verður að geta sýnt fram á að samþykki hafi verið veitt. Geyma skrár um hvenær, hvernig og í hvaða tilgangi samþykki var veitt, helst í að minnsta kosti 36 mánuði með tilliti til þýskra lögskyldra fyrnigartímamarka. Flestar Google-vottuðar CMP sjá um þetta sjálfkrafa.
Farsímaforrit og SDK Rakning
TTDSG á við um farsímaforrit með jafnri þyngd. Auðkenni-fyrir-auglýsingar á Android, IDFA á iOS, hvers kyns SDK-stigs fingrafar og hvers kyns krossforrita kexhegðun eru öll háð samþykkisreglunni.
Android og iOS jafngildi
Í reynd geta útgefendur sem treysta á iOS App Tracking Transparency áskorunina ekki gert ráð fyrir að hún uppfylli TTDSG — áskorun Apple er stjórn á vettvangssamstigi og er ekki gilt TTDSG samþykki í sjálfu sér. Þú þarft CMP-lag í forriti sem safnar TTDSG-samræmdu samþykki áður en nokkur ekki-brýnt-nauðsynlegt SDK hefst.
Samþykki-strengir Í Forriti
Fyrir auglýsingar í farsímaforritum verður IAB TCF-strengurinn eða IAB GPP-strengurinn að vera búinn til og dreift til hvers SDK sem tekur þátt í tilboðsleiðslunni. Án gilds samþykki-strengs er hvert tilboð löglega útsett óháð því hvernig SDK stillir eigin hegðun sína.
Framkvæmdalandslag árið 2026
Þýskar DPA hafa orðið verulega virkari í framkvæmd TTDSG árið 2024 og 2025. Landesdatenschutzbeauftragte Bæjaralands eins og hefur opnað hundruðir rannsókna á ári, og Berlín DPA hefur gefið út sektir sem sérstaklega vitna í brot á kex-borðum.
Sektir Séðar Hingað til
TTDSG sjálfar setur hámarks stjórnsýsluda sekt að upphæð EUR 300.000 á brot. En vegna þess að hvert TTDSG-brot er venjulega einnig GDPR-brot hafa DPA oft staflað hærri GDPR-refsina — allt að EUR 20 milljónum eða 4 prósentum af árlegu veltu á heimsvísu. Útgefendur og netverslunararekendur á þýska markaðnum ættu að skipuleggja staflað ábyrgð þegar þeir afmarka útsetningu.
Borgarleg ábyrgð
Þýskaland er eitt af fáum ESB-lögsögu þar sem einstakir notendur hafa höfðað mál á árangursríkan hátt vegna óefnislegs tjóns samkvæmt grein 82 GDPR í tengslum við kexbrot. Búast við fjöldaneytendakröfum, oft skipulagðar í gegnum Verbraucherzentralen og lögmannsstofur stefnanda, að halda áfram árið 2026.
Endurskoðunarlisti fyrir Þýskan Umferð
- CMP kynnir Samþykkja Allt og Hafna Öllu með jafnri sjónrænum áberandi á fyrsta lagi
- Engin kex, pixlar eða þriðja aðila skriftur hlaðast fyrir samþykki, þar með talið greiningar og A/B-prófanir
- Nákvæmni á tilgangi og söluaðila er boðið upp á, með skýrum tilgangslýsingum á þýsku
- Mekanisma til að draga til baka samþykki er viðvarandi og aðgengileg af hverri síðu
- Samþykkingarskrár eru geymdar með tímastimpli, samþykkisútgáfu og veittum tilgangi
- Farsímaforrit framfylgja TTDSG samþykki áður en hvers kyns ekki-brýnt-nauðsynlegt SDK hefst, óháð iOS ATT áskoruninni
- Gagnameðferðarviðbætur og Schrems II flutningsmat eru skjalfestar fyrir hvern bandarískan söluaðila
- Endurskoðun á dökkum mynstrum er lokið samkvæmt nýjustu DSK leiðbeiningum
- Persónuverndarstefna nefnir alla vinnsluaðila, auðkennir lögmætan grundvöll undir GDPR og samþykkisgrundvöll undir TTDSG sérstaklega og er tiltæk á þýsku
- Söluaðilalisti er samstilltur við IAB TCF v2.2 og uppfærður þegar nýjum samstarfsaðilum er bætt við
Horfur 2026
Endurnefning í TDDDG árið 2024 mýkti ekki þýska framkvæmd. Ef eitthvað, eru DPA betur í búnaðar og betur samræmdar í gegnum DSK en þær voru fyrir tveimur árum. Brautin er skýr: samþykkisstangir verða hærri, gaumur á dökk mynstur mun þéttast og Schrems II flutningmat verður staðlað endurskoðunarfókus. Útgefendur og auglýsendur sem starfa í Þýskalandi sem fjárfestu í réttum samþykki-búnaði 2024-2025 eru að mestu í góðu ástandi. Þeir sem skildu þýska samræmi eftir síðar eru að fara inn í 2026 með þekktar eyður og vaxandi eftirlitsáhuga. Rétta skrefið er að loka þessum eyðum núna — áður en Landesdatenschutzbeauftragte rannsókn þvingar spurninguna á tímalínu sem þú stjórnar ekki.