Vokietijos TTDSG slapukų sutikimas: 2026 m. leidėjų ir reklamuotojų vadovas pagal Telekomunikacijų ir telematikos duomenų apsaugos įstatymą
Vokietija yra didžiausia reklamos rinka žemyninėje Europoje ir viena griežčiausių slapukų atžvilgiu. Nuo 2021 m. gruodžio mėn. Vokietijos teisė papildė GDPR specialiu slapukų sutikimo režimu — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). 2024 m. įstatymas buvo pervadintas į TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) siekiant suderinti su ES Skaitmeninių paslaugų aktu, tačiau jo turinys ir praktinės pareigos nepasikeitė. Jei 2026 m. vykdote skaitmeninę reklamą, analitiką ar bet kokią trečiųjų šalių sekimą Vokietijos rinkoje, jums taikomas TTDSG/TDDDG be GDPR, o Vokietijos DPĮ tikrai nevengia vykdymo. Šis vadovas paaiškina, ką reguliuoja įstatymas, kuo jis skiriasi nuo vien GDPR ir ką jūsų CMP bei reklamų paketas turi daryti, kad išliktų atitiktis Vokietijoje.
Ką iš tiesų reguliuoja TTDSG ir TDDDG
TTDSG neįprastu tikslumu perkelia ES ePrivacy direktyvą į Vokietijos teisę. GDPR reguliuoja asmens duomenų tvarkymą, o TTDSG reguliuoja bet kokį informacijos saugojimą naudotojo galutiniame įrenginyje arba prieigą prie jame jau saugomos informacijos — neatsižvelgiant į tai, ar ta informacija yra asmens duomenys. Paprastai tariant: kiekvienas slapukas, kiekvienas pikselis, kiekvienas vietos saugyklos įrašas, kiekvienas pirštų atspaudų scenarijus patenka į reguliavimo sritį, net jei nerenkami jokie asmens duomenys.
25 straipsnis — Pagrindinė sutikimo taisyklė
Pagrindinė nuostata yra TTDSG 25 straipsnis (dabar TDDDG 25 straipsnis). Jis draudžia saugoti ar pasiekti bet kokią informaciją naudotojo galutiniame įrenginyje, nebent įvykdyta viena iš dviejų sąlygų:
- Naudotojas davė informuotą, savanorišką, konkretų ir aktyvų sutikimą po to, kai buvo aiškiai ir išsamiai informuotas, arba
- Saugojimas ar prieiga yra griežtai būtini norint teikti telematikos paslaugą, kurios naudotojas tiesiogiai paprašė.
Nėra teisėto intereso pagrindo. Nėra minkšto įsijungimo. Vokietijos griežtai būtino interpretacija yra siauresnė nei daugelyje kitų Europos jurisdikcijų — ji apima seanso slapukus, apkrovos balansavimą ir mokėjimų tvarkymą, bet ne analitiką, ne reklamą ir ne daugumą personalizacijos funkcijų.
Sąveika su GDPR
TTDSG nepakeičia GDPR. Jis yra virš jo. Net jei įveikiate TTDSG kliūtį dėl slapuko nustatymo veiksmo, jums vis tiek reikia GDPR teisinio pagrindo bet kokiam po to vykdomam asmens duomenų tvarkymui. Švariai Vokietijos atitikties pozicijai reikia praeiti abu vartus. Dažna klaida — rinkti sutikimą pagal GDPR 6 straipsnio 1 dalies a punktą ir manyti, kad tai apima ir TTDSG — taip ir yra, jei sutikimas taip pat atitinka TTDSG specifiškumo reikalavimus, kurie kai kuriais aspektais yra griežtesni nei GDPR.
Kuo Vokietija skiriasi nuo likusios ES
Reguliuotojai visoje ES interpretuoja ePrivacy šiek tiek skirtingai. Vokietija yra griežtojo spektro gale keliais atžvilgiais.
Analitikai reikalingas aiškus sutikimas
Vokietijos DPĮ nuosekliai laikosi pozicijos, kad „Google Analytics\", „Matomo\" (debesija), „Adobe Analytics\", „Mixpanel\" ir panašūs įrankiai reikalauja įsijungimo sutikimo. Savarankiškai talpinamos, anonimintos analizė su trumpu saugojimo laikotarpiu kartais gali priskiriama prie griežtai būtinų, tačiau kartelė yra aukšta ir skiriasi priklausomai nuo DPĮ. Bavarija, Badenas-Viurtembergas, Berlynas ir Hamburgas kiekvienas skelbia išsamias technines gaires, kurios nėra identiškos.
Schrems II ir pervedimai į JAV
Vokietijos DPĮ buvo vieni agresyviausių Europoje Schrems II pervedimų klausimais. JAV laikomo sekimo įrankio naudojimas — net su Data Privacy Framework sertifikavimu — sulaukia tikrinimo, jei sekimas yra paplitęs ar apima ypatingų kategorijų duomenis. Datenschutzkonferenz (DSK), Vokietijos federalinių ir žemių DPĮ jungtinis organas, ne kartą paskelbė rekomendacijas, kad telemetrija siunčiama JAV tvarkytojams be galiojančio pervedimo mechanizmo vienu metu pažeidžia tiek GDPR, tiek TTDSG.
Tamsos modeliai aiškiai draudžiami
Kelios Vokietijos DPĮ paskelbė vykdymo rekomendacijas, kad patvirtinimo gėdinimas, iš anksto pažymėti žymimieji langeliai, nevienoda mygtukų reikšmingumas ir priverstinio atskleidimo modeliai nesuderinami su galiojančiu TTDSG sutikimu. Reklamjuostė, kurioje „Accept all\" vizualiai dominuoja, o „Reject all\" paslėptas po antro paspaudimo, 2026 m. nepraeis Vokietijos audito.
Praktiniai CMP reikalavimai Vokietijos rinkai
Norint patenkinti TTDSG/TDDDG gamybos aplinkoje, jūsų sutikimo valdymo platforma ir žymų tvarkyklė turi vykdyti kelis konkrečius veiksmus.
Lygus priimti ir atmesti reikšmingumas
Pirmojo sluoksnio reklamjuostė turi rodyti mygtuką Atmesti viską su vizualine lygybe su Priimti viską. Spalva, dydis, padėtis ir sąveikos kaina turi būti subalansuoti. Daugelis CMP pateikia numatytąjį šabloną, kuris jų Vokietijos lokalėje neatitinka šios kartelės.
Tiekėjų detalumas
Vokietijos reguliuotojai tikisi, kad naudotojai galės duoti sutikimą kiekvieno tiekėjo ar tikslo pagrindu, o ne tik vienu bendruoju perjungikliu. IAB TCF v2.2 atitinka šį lūkestį, bet tik jei jūsų tiekėjų sąrašas yra aktualus ir tikslai yra aiškiai paaiškinti.
Blokavimas prieš sutikimą
Joks trečiosios šalies scenarijus negali būti įkeltas, joks slapukas negali būti įrašytas ir joks pikselis negali suveikti prieš užregistruojant teigiamą sutikimą. Tai taikoma „Google Analytics\", „Meta Pixel\", „LinkedIn Insight Tag\", „Hotjar\", „Criteo\", „TikTok\" ir kiekvienam reklamų serveriui. Sutikimą numatančių žymų valdymo režimų — tokių kaip „Google Tag Manager\" sutikimo inicijavimas — naudojimas yra laukiamas modelis.
Atšaukiamas vienu paspaudimu
Vokietijos DPĮ reikalauja, kad sutikimo atšaukimas būtų toks pat paprastas kaip jo suteikimas. Pastovi, matoma priemonė — plaukiojantis iš naujo atidarymo mygtukas, poraštės nuoroda ar lygiavertė UI galimybė — turi būti prieinama kiekviename svetainės puslapyje.
Sutikimo įrašai ir audito pėdsakai
TTDSG paveldima GDPR 7 straipsnio 1 dalis: duomenų valdytojas turi sugebėti įrodyti, kad sutikimas buvo duotas. Saugokite įrašus apie tai, kada, kaip ir kokiais tikslais buvo duotas sutikimas, pageidautina bent 36 mėnesius atsižvelgiant į Vokietijos civilines senaties nuostatas. Dauguma Google sertifikuotų CMP tai tvarko pagal numatytuosius nustatymus.
Mobiliosios programėlės ir SDK sekimas
TTDSG taikomas mobiliosioms programėlėms su vienoda jėga. „Android\" reklamos identifikatorius, iOS IDFA, bet koks SDK lygio pirštų atspaudų paėmimas ir bet koks kelių programėlių slapukų elgesys — visi patenka į sutikimo taisyklę.
Android ir iOS lygiavertiškumas
Praktiškai leidėjai, besinaudojantys iOS „App Tracking Transparency\" raginimo sistema, negali manyti, kad ji tenkina TTDSG — „Apple\" raginimas yra platformos lygio valdiklis, o ne savaime galiojantis TTDSG sutikimas. Jums reikia programėlės vidinio CMP sluoksnio, kuris renka TTDSG atitinkantį sutikimą prieš inicijuojant bet kokį ne griežtai būtiną SDK.
Programėlės vidaus sutikimo eilutės
Mobiliosios programėlės reklamai IAB TCF eilutė arba IAB GPP eilutė turi būti sugeneruota ir perduota kiekvienam SDK, dalyvaujančiam pasiūlymų konveijeryje. Be galiojančios sutikimo eilutės kiekvienas pasiūlymas yra teisiškai pažeidžiamas, nepriklausomai nuo to, kaip SDK konfigūruoja savo elgesį.
Vykdymo aplinka 2026 m.
Vokietijos DPĮ tapo žymiai aktyvesnės TTDSG vykdyme 2024 ir 2025 m. Vien Bavarijos Landesdatenschutzbeauftragte kasmet pradėjo šimtus tyrimų, o Berlyno DPĮ skyrė baudas konkrečiai nurodydamas slapukų reklamjuosčių pažeidimus.
Iki šiol matytos baudos
Pats TTDSG nustato maksimalią administracinę baudą — 300 000 EUR už pažeidimą. Tačiau kadangi bet koks TTDSG pažeidimas paprastai taip pat yra GDPR pažeidimas, DPĮ dažnai taikė aukštesnę GDPR sankciją — iki 20 mln. EUR arba 4 procentų pasaulinės metinės apyvartos. Vokietijos rinkos leidėjai ir el. prekybos operatoriai planuodami ekspozicijos mastą turėtų numatyti sukauptą atsakomybę.
Civilinė atsakomybė
Vokietija yra viena iš nedaugelio ES jurisdikcijų, kur atskiri naudotojai sėkmingai ieškovavo dėl neturtinės žalos pagal GDPR 82 straipsnį, susijusio su slapukų pažeidimais. Tikėtina, kad masiniai vartotojų reikalavimai, dažnai organizuojami per Verbraucherzentralen ir ieškovų teisines bendroves, 2026 m. tęsis.
Vokiečių srauto audito kontrolinis sąrašas
- CMP pirmame sluoksnyje su vienodu vizualiniu reikšmingumu pateikia Priimti viską ir Atmesti viską
- Prieš sutikimą neįkeliami jokie slapukai, pikseliai ar trečiųjų šalių scenarijai, įskaitant analitiką ir A/B testavimą
- Siūlomas tikslo ir tiekėjo detalumas su paprastomis tikslo aprašymais vokiečių kalba
- Sutikimo atšaukimo mechanizmas yra pastovus ir pasiekiamas iš kiekvieno puslapio
- Sutikimo įrašai saugomi su laiko žyma, sutikimo versija ir suteiktais tikslais
- Mobiliosios programėlės vykdo TTDSG sutikimą prieš inicijuodamos bet kokį ne griežtai būtiną SDK, nepriklausomai nuo iOS ATT raginimo
- Duomenų tvarkymo priedai ir Schrems II pervedimo vertinimai dokumentuoti kiekvienam JAV pagrindu veikiančiam tiekėjui
- Tamsiųjų modelių peržiūra baigta pagal naujausias DSK rekomendacijas
- Privatumo politika įvardija visus tvarkytojus, atskirai nurodo teisinio pagrindo pagal GDPR ir sutikimo pagrindo pagal TTDSG, ir prieinama vokiečių kalba
- Tiekėjų sąrašas sinchronizuotas su IAB TCF v2.2 ir atnaujinamas pridedant naujus partnerius
2026 m. perspektyvos
2024 m. pervardijimas į TDDDG nesuminkštino Vokietijos vykdymo. Jei ką, DPĮ yra geriau aprūpintos ir geriau koordinuojamos per DSK nei prieš dvejus metus. Trajektorija aiški: sutikimo kartelė kils, tamsiųjų modelių tikrinimas intensyvės, o Schrems II pervedimo vertinimai taps standartiniu audito dėmesio centru. Leidėjai ir reklamuotojai, veikiantys Vokietijoje ir 2024–2025 m. investavę į tinkamą sutikimo paketą, apskritai yra geros formos. Tie, kurie Vokietijos atitiktį paliko vėlesniam laikui, į 2026 m. žingsniuoja su žinomomis spragomis ir augančiu reguliavimo dėmesiu. Teisingas žingsnis — užpildyti tas spragas dabar — kol Landesdatenschutzbeauftragte tyrimas neprimeta klausimo jums nekontroliuojamu grafiku.