Германияның TTDSG Cookie келісімі: Телекоммуникация және Телемедиа деректерін қорғау туралы заңға арналған 2026 жылғы баспагерлер мен жарнама берушілер нұсқаулығы
Германия — континенттік Еуропаның ең ірі жарнама нарығы, сонымен бірге cookie-ге қатысты ең қатаң елдердің бірі. 2021 жылдың желтоқсанынан бастап неміс заңнамасы GDPR-ге арнайы cookie келісімі режимін — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — үстемелеп қосты. 2024 жылы заң ЕО цифрлық қызметтер туралы заңымен үйлестіру мақсатында TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) деп аталуы өзгертілді, бірақ мазмұны мен практикалық міндеттемелері өзгерген жоқ. Егер 2026 жылы Германия нарығында сандық жарнама, аналитика немесе үшінші тарап бақылауын жүргізсеңіз, GDPR-ден бөлек TTDSG/TDDDG-ге де жатасыз, ал Германияның DPA-лары орындауда мүлдем тартынбайды. Бұл нұсқаулық заңның нені қамтитынын, GDPR-дан қалай ерекшеленетінін және Германияда сәйкестікті сақтау үшін CMP мен жарнама стекі не істеуі керек екенін түсіндіреді.
TTDSG және TDDDG шынымен нені реттейді
TTDSG ЕО ePrivacy директивасын неміс заңнамасына ерекше дәлдікпен енгізеді. GDPR жеке деректерді өңдеуді реттейтін болса, TTDSG — сол ақпарат жеке деректер болып табыла ма, жоқ па, соған қарамастан — пайдаланушының терминал жабдығына ақпарат сақтауды немесе бұрыннан сақталған ақпаратқа қол жеткізуді реттейді. Қарапайым тілмен: әрбір cookie, әрбір пиксел, жергілікті сақтауға жазудың кез келген түрі, кез келген саусақ ізі сценарийі — бірде-бір жеке деректер жинамаса да, реттеу аясына кіреді.
25-бап — Негізгі келісім ережесі
Негізгі ереже — TTDSG-нің 25-бабы (қазір TDDDG-нің 25-бабы). Ол екі шарттың бірі орындалмаса, пайдаланушының терминал жабдығына ақпарат сақтауды немесе сол ақпаратқа қол жеткізуді тыйым салады:
- Пайдаланушы анық және жан-жақты хабарлаудан кейін хабардар, еркін, нақты және белсенді келісімін берді, немесе
- Сақтау немесе қол жеткізу пайдаланушы тікелей сұраған телемедиа қызметін ұсыну үшін қатаң қажетті болып табылады.
Заңды мүдде негізі жоқ. Жұмсақ opt-in жоқ. Қатаң қажетті деген ұғымның неміс түсіндірмесі Еуропаның көптеген юрисдикцияларындағыдан тар — ол сессия cookie-лерін, жүктемені теңдестіруді және төлемдерді өңдеуді қамтиды, бірақ аналитиканы, жарнаманы және персонализацияның көп бөлігін қамтымайды.
GDPR-мен өзара байланысы
TTDSG GDPR-дің орнын алмастырмайды. Ол оның үстіне қойылады. Cookie орнату әрекеті үшін TTDSG тосқауылынан өтсеңіз де, одан кейінгі жеке деректерді кез келген өңдеу үшін GDPR-дің заңды негізі әлі де қажет. Таза неміс сәйкестігі позициясы екі қақпадан да өтуді талап етеді. Жиі кездесетін қате — GDPR-дің 6(1)(а)-бабы бойынша келісім жинап, оның TTDSG-ні де жабады деп болжау — бұл дұрыс, егер келісім TTDSG-нің нақтылық талаптарына да сәйкес болса, олар GDPR-ден бірнеше жағынан қатаңырақ.
Германия ЕО-ның басқа елдерінен қалай ерекшеленеді
Бүкіл ЕО-дағы реттеушілер ePrivacy-ді сәл өзгеше түсіндіреді. Германия бірнеше тармақта спектрдің қатаң жағында.
Аналитика үшін ашық келісім қажет
Германияның DPA-лары Google Analytics, Matomo (бұлт), Adobe Analytics, Mixpanel және осыған ұқсас құралдар opt-in келісімін талап етеді деп бірдей ұстанымда. Қысқа сақтау мерзімімен өзін-өзі орналастырған, анонимделген аналитика кейде қатаң қажетті ретінде танылуы мүмкін, бірақ ол жоғары және DPA-ға байланысты өзгереді. Бавария, Баден-Вюртемберг, Берлин және Гамбург әрқайсысы егжей-тегжейлі техникалық нұсқаулар жариялайды, және олар бірдей емес.
Schrems II және АҚШ-қа берулер
Германияның DPA-лары Schrems II беру мәселелерінде Еуропадағы ең белсенді органдардың бірі болып табылады. АҚШ-та орналасқан трекерді іске қосу — тіпті Data Privacy Framework сертификатымен де — бақылауды тартады, егер бақылау кеңінен таралса немесе арнайы санат деректерін қамтыса. Datenschutzkonferenz (DSK), Германияның федералдық және земдік DPA-ларының бірлескен органы, жарамды беру механизмінсіз АҚШ процессорларына жіберілген телеметрия GDPR мен TTDSG-ні бір мезгілде бұзатыны туралы қайталап нұсқаулар берді.
Қара үлгілер тікелей тыйым салынған
Бірнеше неміс DPA-сы растауды ұялту, алдын ала таңдалған ұяшықтар, батырмалардың бірдей емес көрнектілігі және мәжбүрлеп ашу үлгілері жарамды TTDSG келісімімен сыйыспайтыны туралы орындау нұсқаулары шығарды. „Accept all" визуалды тұрғыдан басым болып, „Reject all" екінші клик артына жасырылған банер 2026 жылғы неміс аудитінен өтпейді.
Германия нарығына арналған практикалық CMP талаптары
TTDSG/TDDDG-ні өндірістік ортада орындау үшін келісімді басқару платформасы мен тег-менеджер бірнеше нақты мінез-құлықты орындауы тиіс.
Қабылдау және бас тартудың бірдей көрнектілігі
Бірінші қабаттың банері Барлығын бас тарту батырмасын Барлығын қабылдауға визуалды теңдікпен көрсетуі тиіс. Түс, өлшем, позиция және өзара іс-әрекет шығыны теңдестірілген болуы керек. Көптеген CMP неміс тілі параметрінде осы стандартты қанағаттандырмайтын үнсіз келісім шаблонын жеткізеді.
Жеткізуші бойынша егжей-тегжейлілік
Неміс реттеушілері пайдаланушылардың тек бір жаһандық ауыстырғышпен емес, жеткізуші немесе мақсат бойынша келісім бере алатынын күтеді. IAB TCF v2.2 бұл күтімді қанағаттандырады, бірақ тек жеткізушілер тізімі жаңартылып, мақсаттар ашық түсіндірілсе.
Келісімге дейін блоктау
Оң келісім тіркелмей тұрып, ешбір үшінші тарап сценарийі жүктелмейді, ешбір cookie жазылмайды және ешбір пиксел атылмайды. Бұл Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok және барлық жарнама серверіне қатысты. Тег-басқарудың келісімді білетін режимдерін — мысалы, Google Tag Manager-дің келісімді іске қосуын — пайдалану күтілетін үлгі болып табылады.
Бір клик арқылы кері алу
Германияның DPA-лары келісімді кері алу оны беру сияқты оңай болуын талап етеді. Тұрақты, көрінетін механизм — қалқымалы қайта ашу батырмасы, ықтиярлы сілтеме немесе баламалы UI мүмкіндігі — сайттың әрбір бетінде қолжетімді болуы тиіс.
Келісім жазбалары мен тексеру ізі
TTDSG GDPR-нің 7(1)-бабын мұраға алады: бақылаушы келісімнің берілгенін дәлелдей алуы керек. Неміс азаматтық ескіру мерзімдерін ескере отырып, келісім қашан, қалай және қандай мақсатқа берілгені туралы жазбаларды кемінде 36 ай сақтаңыз. Google-дің сертификатталған CMP-лерінің көпшілігі мұны әдепкі бойынша орындайды.
Мобильді қолданбалар және SDK бақылауы
TTDSG мобильді қолданбаларға бірдей күшпен қолданылады. Android жүйесіндегі жарнамаға арналған идентификатор, iOS жүйесіндегі IDFA, SDK деңгейіндегі кез келген саусақ ізі алу және қолданбааралық кез келген cookie мінез-құлқы — барлығы келісім ережесіне жатады.
Android және iOS теңдігі
Іс жүзінде iOS App Tracking Transparency сұрауына сүйенетін баспагерлер оның TTDSG-ні қанағаттандырады деп болжамауы керек — Apple сұрауы платформа деңгейіндегі басқару болып табылады және өз бетінше жарамды TTDSG келісімі емес. Қатаң қажетті емес SDK іске қосылмай тұрып TTDSG-ге сәйкес келісімді жинайтын қолданба ішіндегі CMP қабаты қажет.
Қолданба ішіндегі келісім жолдары
Мобильді қолданба жарнамасы үшін IAB TCF жолы немесе IAB GPP жолы ұсыным желісіне қатысатын әрбір SDK-ға жасалып, таратылуы тиіс. Жарамды келісім жолынсыз, SDK өз мінез-құлқын қалай конфигурацияласа да, әрбір ұсыным заңды жағынан тәуекелде болады.
2026 жылғы орындау ахуалы
Германияның DPA-лары 2024 және 2025 жылдары TTDSG-ні орындауда едәуір белсенді болды. Тек Бавариядағы Landesdatenschutzbeauftragte жылына жүздеген тергеу ашты, ал Берлиндегі DPA cookie-банер бұзушылықтарын нақты атап өтіп, айыппұлдар шығарды.
Осы уақытқа дейін белгіленген айыппұлдар
TTDSG-нің өзі бір бұзушылық үшін максималды EUR 300 000 әкімшілік айыппұл белгілейді. Бірақ кез келген TTDSG бұзушылығы әдетте GDPR бұзушылығы болып табылатындықтан, DPA-лар жоғарырақ GDPR санкцияны — EUR 20 млн немесе жаһандық жылдық айналымның 4 пайызына дейін — жиі үстемелеп қолданды. Германия нарығындағы баспагерлер мен электрондық сауда операторлары тәуекелді анықтау кезінде жинақталған жауапкершілікті жоспарлауы керек.
Азаматтық жауапкершілік
Германия жеке пайдаланушылардың cookie бұзушылықтарына байланысты GDPR-нің 82-бабы бойынша материалдық емес зиян үшін сәтті сот ісін жүргізгені жекелеген ЕО юрисдикцияларының бірі. Verbraucherzentralen және талапкер заң фирмалары арқылы ұйымдастырылатын жаппай тұтынушы талаптары 2026 жылы да жалғасады деп күтіңіз.
Германиялық трафик үшін аудит тексеру парағы
- CMP бірінші қабатта Барлығын қабылдау және Барлығын бас тартуды бірдей визуалды көрнектілікпен ұсынады
- Аналитика мен A/B тестілеуді қоса алғанда, келісімге дейін cookie-лер, пиксельдер немесе үшінші тарап сценарийлері жүктелмейді
- Мақсат бойынша және жеткізуші бойынша егжей-тегжейлілік неміс тілінде қарапайым мақсат сипаттамаларымен ұсынылады
- Келісімді кері алу механизмі тұрақты және барлық беттен қолжетімді
- Келісім жазбалары уақыт белгісімен, келісім нұсқасымен және берілген мақсаттармен сақталады
- Мобильді қолданбалар iOS ATT сұрауынан тәуелсіз, қатаң қажетті емес кез келген SDK іске қосылмай тұрып TTDSG келісімін орындайды
- Деректерді өңдеу қосымшалары мен Schrems II беру бағалаулары АҚШ-та орналасқан әрбір жеткізуші үшін құжатталған
- Қара үлгілерді қарау соңғы DSK нұсқауларына сәйкес аяқталды
- Құпиялылық саясаты барлық процессорларды атайды, GDPR бойынша заңды негізді және TTDSG бойынша келісім негізін бөлек анықтайды, және неміс тілінде қолжетімді
- Жеткізушілер тізімі IAB TCF v2.2-мен синхрондалған және жаңа серіктестер қосылған кезде жаңартылады
2026 жылдың болашағы
2024 жылы TDDDG деп аталуы өзгертілуі неміс орындауын жұмсартқан жоқ. Керісінше, DPA-лар екі жыл бұрынғыға қарағанда ресурстары жеткілікті және DSK арқылы үйлестіріледі. Даму бағыты анық: келісім кедергілері жоғарылайды, қара үлгілерге қатысты бақылау күшейеді, және Schrems II беру бағалаулары стандартты аудит нысанасына айналады. Германияда жұмыс істейтін және 2024-2025 жылдары тиісті келісім стекіне инвестиция салған баспагерлер мен жарнама берушілер жалпы алғанда жақсы жағдайда. Германиялық сәйкестікті кейінге қалдырғандар белгілі алшақтықтармен және артып келе жатқан реттеушілік назармен 2026 жылға кіреді. Дұрыс қадам — осы алшақтықтарды қазір жою — Landesdatenschutzbeauftragte тергеуі сізде бақылауыңыз жоқ уақыт кестесінде мәселені мәжбүрлеп шешпей тұрып.