Compliance2026년 4월 26일 | FlexyConsent

독일 TTDSG 쿠키 동의: 통신 및 텔레미디어 데이터 보호법에 관한 2026년 게시자 및 광고주 가이드

독일은 유럽 대륙 최대의 광고 시장이며, 쿠키와 관련해서도 가장 엄격한 국가 중 하나입니다. 2021년 12월부터 독일법은 GDPR 위에 전용 쿠키 동의 제도——Telekommunikation-Telemedien-Datenschutz-Gesetz(TTDSG)——를 추가했습니다. 2024년에는 EU 디지털서비스법에 맞추어 법률 명칭이 TDDDG(Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz)로 변경되었지만, 내용과 실질적인 의무는 변하지 않았습니다. 2026년에 독일 시장에서 디지털 광고, 분석 또는 제3자 추적을 운영하는 경우, GDPR 외에도 TTDSG/TDDDG의 적용을 받으며, 독일 DPA는 집행에 거침이 없습니다. 이 가이드는 법이 무엇을 규율하는지, GDPR과 어떻게 다른지, 독일에서 준수 상태를 유지하기 위해 CMP와 광고 스택이 무엇을 해야 하는지 설명합니다.

TTDSG 및 TDDDG가 실제로 규율하는 것

TTDSG는 EU ePrivacy 지침을 이례적인 정밀도로 독일법에 전환합니다. GDPR이 개인 데이터 처리를 규율하는 반면, TTDSG는 해당 정보가 개인 데이터인지 여부와 관계없이 사용자의 단말 기기에 정보를 저장하거나 이미 저장된 정보에 접근하는 모든 행위를 규율합니다. 쉽게 말해: 모든 쿠키, 모든 픽셀, 모든 로컬 스토리지 쓰기, 모든 핑거프린팅 스크립트가 적용 범위에 포함되며, 개인 데이터를 전혀 수집하지 않더라도 마찬가지입니다.

제25조 — 핵심 동의 규칙

핵심 조항은 TTDSG 제25조(현재 TDDDG 제25조)입니다. 다음 두 조건 중 하나가 충족되지 않으면 사용자의 단말 기기에 정보를 저장하거나 접근하는 것을 금지합니다:

사용자가 명확하고 포괄적인 방식으로 고지받은 후 고지에 기반한, 자발적, 구체적, 적극적 동의를 제공했거나,
저장 또는 접근이 사용자가 명시적으로 요청한 텔레미디어 서비스 제공에 엄격히 필요한 경우.

정당한 이익 근거는 없습니다. 소프트 옵트인도 없습니다. 엄격히 필요에 대한 독일의 해석은 많은 다른 유럽 국가들보다 좁습니다——세션 쿠키, 부하 분산, 결제 처리는 해당되지만 분석, 광고, 대부분의 개인화는 해당되지 않습니다.

GDPR과의 관계

TTDSG는 GDPR을 대체하지 않습니다. 그 위에 얹혀 있습니다. 쿠키 설정 행위에 대해 TTDSG 장벽을 통과하더라도, 그 후 이루어지는 개인 데이터 처리에 대한 GDPR 적법 근거가 여전히 필요합니다. 깔끔한 독일 준수 태세를 갖추려면 두 관문을 모두 통과해야 합니다. 흔한 실수는 GDPR 제6조(1)(a)에 따라 동의를 수집하면서 그것이 TTDSG도 충족한다고 가정하는 것인데——TTDSG 특수성 요건도 충족하는 한 그것은 맞지만, 그 요건은 GDPR보다 여러 면에서 더 엄격합니다.

독일이 EU 나머지 국가들과 다른 점

EU 전역의 규제 기관들은 ePrivacy를 조금씩 다르게 해석합니다. 독일은 여러 측면에서 스펙트럼의 엄격한 쪽에 있습니다.

분석을 위한 명시적 동의 필요

독일 DPA는 Google Analytics, Matomo(클라우드), Adobe Analytics, Mixpanel 및 유사 도구는 옵트인 동의가 필요하다고 일관되게 주장해 왔습니다. 짧은 보존 기간의 자체 호스팅 익명 분석은 때때로 엄격히 필요한 것으로 인정될 수 있지만, 기준이 높고 DPA마다 다릅니다. 바이에른, 바덴-뷔르템베르크, 베를린, 함부르크는 각각 자세한 기술 지침을 발표하며 내용이 동일하지 않습니다.

Schrems II와 미국 이전

독일 DPA는 Schrems II 이전 문제에서 유럽에서 가장 공세적인 기관에 속합니다. 미국에서 호스팅된 트래커를 실행하는 것——Data Privacy Framework 인증이 있더라도——은 추적이 광범위하거나 특수 범주 데이터를 포함할 경우 면밀한 감시를 받습니다. 독일 연방 및 주 DPA의 공동 기구인 Datenschutzkonferenz(DSK)는 유효한 이전 메커니즘 없이 미국 처리자에게 전송된 텔레메트리가 GDPR과 TTDSG 모두를 동시에 위반한다는 반복적인 지침을 발표했습니다.

다크 패턴 명시적 금지

여러 독일 DPA가 확인 수치심, 사전 선택된 체크박스, 불균등한 버튼 부각, 강제 공개 패턴은 유효한 TTDSG 동의와 양립할 수 없다는 집행 지침을 발표했습니다. 「Accept all」이 시각적으로 지배적이고 「Reject all」이 두 번째 클릭 뒤에 숨어 있는 배너는 2026년 독일 감사를 통과하지 못합니다.

독일 시장을 위한 실용적인 CMP 요건

프로덕션 환경에서 TTDSG/TDDDG를 충족하려면 동의 관리 플랫폼과 태그 매니저가 여러 특정 동작을 강제해야 합니다.

수락과 거부의 동등한 부각

첫 번째 레이어 배너는 모두 수락과 시각적으로 동등한 모두 거부 버튼을 표시해야 합니다. 색상, 크기, 위치, 상호작용 비용이 균형을 이루어야 합니다. 많은 CMP가 독일 로케일에서 이 기준을 충족하지 못하는 기본 템플릿을 제공합니다.

공급업체별 세분화

독일 규제 기관은 사용자가 단일 글로벌 토글이 아닌 공급업체별 또는 목적별로 동의할 수 있기를 기대합니다. IAB TCF v2.2가 이 기대를 충족하지만, 공급업체 목록이 최신 상태이고 목적이 명확히 설명된 경우에만 해당됩니다.

동의 전 차단

긍정적 동의가 기록되기 전에 제3자 스크립트가 로드되거나, 쿠키가 작성되거나, 픽셀이 실행되어서는 안 됩니다. 이는 Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok 및 모든 광고 서버에 적용됩니다. Google Tag Manager의 동의 초기화와 같은 태그 관리 동의 인식 모드 사용이 기대되는 패턴입니다.

한 번의 클릭으로 철회 가능

독일 DPA는 동의 철회가 동의 부여만큼 쉬워야 한다고 요구합니다. 플로팅 재열기 버튼, 푸터 링크 또는 이에 상응하는 UI 어포던스와 같이 지속적이고 가시적인 메커니즘이 사이트의 모든 페이지에서 이용 가능해야 합니다.

동의 기록 및 감사 추적

TTDSG는 GDPR 제7조(1)을 상속합니다: 컨트롤러는 동의가 제공되었음을 증명할 수 있어야 합니다. 독일 민사 시효를 고려하여 동의가 언제, 어떻게, 어떤 목적으로 부여되었는지에 대한 기록을 이상적으로 최소 36개월간 보관하세요. 대부분의 Google 인증 CMP는 이것을 기본값으로 처리합니다.

모바일 앱 및 SDK 추적

TTDSG는 동등한 효력으로 모바일 앱에 적용됩니다. Android의 광고 식별자, iOS의 IDFA, SDK 수준의 핑거프린팅, 크로스앱 쿠키 동작은 모두 동의 규칙의 적용을 받습니다.

Android 및 iOS 동등성

실제로 iOS App Tracking Transparency 프롬프트에 의존하는 게시자는 이것이 TTDSG를 충족한다고 가정할 수 없습니다——Apple의 프롬프트는 플랫폼 수준의 제어이며 그 자체로 유효한 TTDSG 동의가 아닙니다. 엄격히 필요하지 않은 SDK가 초기화되기 전에 TTDSG 준수 동의를 수집하는 인앱 CMP 레이어가 필요합니다.

인앱 동의 문자열

모바일 앱 광고의 경우, 입찰 파이프라인에 참여하는 모든 SDK에 IAB TCF 문자열 또는 IAB GPP 문자열이 생성되고 전파되어야 합니다. 유효한 동의 문자열 없이는 SDK가 자체 동작을 어떻게 구성하든 관계없이 모든 입찰이 법적으로 노출됩니다.

2026년 집행 현황

독일 DPA는 2024년과 2025년에 TTDSG 집행에서 상당히 더 적극적으로 변했습니다. 바이에른 Landesdatenschutzbeauftragte 단독으로 연간 수백 건의 조사를 시작했으며, 베를린 DPA는 쿠키 배너 위반을 구체적으로 언급한 벌금을 부과했습니다.

지금까지 부과된 벌금

TTDSG 자체는 위반당 최대 EUR 30만의 행정 벌금을 규정합니다. 그러나 TTDSG 위반은 보통 GDPR 위반이기도 하므로, DPA는 더 높은 GDPR 제재——최대 EUR 2,000만 또는 전 세계 연간 매출의 4퍼센트——를 중첩 적용하는 경우가 많습니다. 독일 시장의 게시자와 전자상거래 사업자는 노출 범위를 산정할 때 중첩 책임을 계획해야 합니다.

민사 책임

독일은 개별 사용자가 쿠키 위반과 관련하여 GDPR 제82조에 따른 비물질적 손해 소송에서 성공한 몇 안 되는 EU 관할권 중 하나입니다. Verbraucherzentralen과 원고 법률 회사를 통해 조직되는 집단 소비자 청구가 2026년에도 계속될 것으로 예상하세요.

독일 트래픽 감사 체크리스트

CMP가 첫 번째 레이어에서 모두 수락과 모두 거부를 동등한 시각적 부각으로 표시
분석 및 A/B 테스트를 포함하여 동의 전에 쿠키, 픽셀 또는 제3자 스크립트가 로드되지 않음
독일어로 평이한 목적 설명과 함께 목적별 및 공급업체별 세분화 제공
동의 철회 메커니즘이 지속적이며 모든 페이지에서 접근 가능
동의 기록이 타임스탬프, 동의 버전, 부여된 목적과 함께 보관됨
모바일 앱이 iOS ATT 프롬프트와 독립적으로 엄격히 필요하지 않은 SDK 초기화 전에 TTDSG 동의 강제
데이터 처리 부록과 Schrems II 이전 평가가 미국 기반 모든 공급업체에 대해 문서화됨
다크 패턴 검토가 최신 DSK 지침에 따라 완료됨
개인정보 처리방침이 모든 처리자를 명시하고, GDPR에 따른 적법 근거와 TTDSG에 따른 동의 근거를 별도로 식별하며, 독일어로 이용 가능
공급업체 목록이 IAB TCF v2.2와 동기화되어 있으며 새 파트너 추가 시 업데이트됨

2026년 전망

2024년 TDDDG로의 명칭 변경은 독일 집행을 완화하지 않았습니다. 오히려 DPA는 2년 전보다 DSK를 통해 더 많은 자원을 갖추고 더 잘 조율되고 있습니다. 궤적은 명확합니다: 동의 기준이 높아지고, 다크 패턴 심사가 강화되며, Schrems II 이전 평가가 표준 감사 초점이 될 것입니다. 2024-2025년에 적절한 동의 스택에 투자한 독일 운영 게시자 및 광고주는 대체로 좋은 상태에 있습니다. 독일 준수를 나중으로 미룬 업체들은 알려진 격차와 높아지는 규제 관심을 안고 2026년에 들어섭니다. 올바른 조치는 지금 그 격차를 해소하는 것입니다——Landesdatenschutzbeauftragte 조사가 통제할 수 없는 일정으로 문제를 강제하기 전에.