Vācijas TTDSG sīkdatņu piekrišana: 2026. gada izdevēju un reklāmdevēju rokasgrāmata par Telekomunikāciju un telemediju datu aizsardzības likumu
Vācija ir lielākais reklāmas tirgus kontinentālajā Eiropā, un tā ir arī viena no stingrākajām attiecībā uz sīkdatnēm. Kopš 2021. gada decembra Vācijas tiesību akti ir pievienojuši īpašu sīkdatņu piekrišanas režīmu — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — papildus GDPR. 2024. gadā likums tika pārdēvēts par TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), lai saskaņotu to ar ES Digitālo pakalpojumu aktu, taču tā saturs un praktiskie pienākumi nav mainījušies. Ja 2026. gadā veiciet digitālo reklāmu, analītiku vai jebkādu trešo pušu izsekošanu Vācijas tirgū, uz jums attiecas TTDSG/TDDDG papildus GDPR, un Vācijas DPA noteikti nav kautrīgi attiecībā uz izpildi. Šī rokasgrāmata izskaidro, ko aptver likums, kā tas atšķiras no GDPR vien un kas jūsu CMP un reklāmu stekam jādara, lai Vācijā paliktu atbilstīgs.
Ko faktiski regulē TTDSG un TDDDG
TTDSG ar neparastu precizitāti transponē ES ePrivacy direktīvu Vācijas tiesību aktos. Kamēr GDPR regulē personas datu apstrādi, TTDSG regulē jebkādu informācijas glabāšanu lietotāja gala iekārtā vai piekļuvi tajā jau glabātajai informācijai — neatkarīgi no tā, vai šī informācija ir personas dati. Vienkāršos vārdos: katra sīkdatne, katrs pikselis, katrs lokālās krātuves ieraksts, katrs pirkstu nospiedumu skripts ir iekļauts darbības jomā, pat ja tas neapkopo nekādus personas datus.
25. pants — Galvenais piekrišanas noteikums
Galvenais noteikums ir TTDSG 25. pants (tagad 25. pants TDDDG). Tas aizliedz glabāt vai piekļūt jebkādai informācijai lietotāja gala iekārtā, ja vien nav izpildīts viens no diviem nosacījumiem:
- Lietotājs ir devis informētu, brīvprātīgu, īpašu un aktīvu piekrišanu pēc tam, kad ir skaidri un visaptveroši informēts, vai
- Glabāšana vai piekļuve ir strikti nepieciešama, lai sniegtu telemediju pakalpojumu, ko lietotājs ir skaidri pieprasījis.
Nav leģitīmo interešu pamata. Nav maigās piekrišanas. Vācijas interpretācija par strikti nepieciešamo ir šaurāka nekā daudzās citās Eiropas jurisdikcijās — tā aptver sesijas sīkdatnes, slodzes balansēšanu un maksājumu apstrādi, bet ne analītiku, ne reklāmu un ne lielāko daļu personalizācijas.
Mijiedarbība ar GDPR
TTDSG neaizstāj GDPR. Tas ir virs tā. Pat ja jūs atrisiniet TTDSG šķērsli par sīkdatnes iestatīšanas darbību, jums joprojām ir nepieciešams GDPR likumīgs pamats jebkādai turpmākai personas datu apstrādei. Tīra Vācijas atbilstības pozīcija prasa iziet abas vārtejas. Izplatīta kļūda ir apkopot piekrišanu saskaņā ar GDPR 6. panta 1. punkta a) apakšpunktu un pieņemt, ka tas aptver arī TTDSG — tā ir, ja vien piekrišana atbilst arī TTDSG specifiskuma prasībām, kas vairākos aspektos ir stingrākas nekā GDPR prasības.
Kā Vācija atšķiras no pārējās ES
Regulatori visā ES nedaudz atšķirīgi interpretē ePrivacy. Vācija atrodas stingrā spektra galā vairākos jautājumos.
Analītikai nepieciešama skaidra piekrišana
Vācijas DPA konsekventi uzskata, ka Google Analytics, Matomo (mākoņa), Adobe Analytics, Mixpanel un līdzīgi rīki prasa iepriekšējas piekrišanas aktivizēšanu. Pašmitināta, anonimizēta analītika ar īsu uzglabāšanas laiku dažkārt var kvalificēties kā strikti nepieciešama, taču prasību latiņa ir augsta un atšķiras atkarībā no DPA. Bavārija, Bādene-Virtemberga, Berlīne un Hamburga katra publicē detalizētus tehniskos norādījumus, un tie nav identiski.
Schrems II un ASV pārsūtīšana
Vācijas DPA ir bijuši vieni no agresīvākajiem Eiropā Schrems II pārsūtīšanas jautājumos. ASV mitināta izsekotāja palaišana — pat ar Data Privacy Framework sertifikāciju — piesaista uzmanību, ja izsekošana ir plaša vai ietver īpašās kategorijas datus. Datenschutzkonferenz (DSK), Vācijas federālo un valsts DPA kopīgā struktūra, ir vairākkārt izdevusi norādījumus, ka telemetrija, kas nosūtīta uz ASV apstrādātājiem bez derīga pārsūtīšanas mehānisma, vienlaikus pārkāpj gan GDPR, gan TTDSG.
Tumšie modeļi ir skaidri aizliegti
Vairāki Vācijas DPA ir izdevuši izpildes norādījumus, ka apstiprinājuma kauns, iepriekš atlasītas izvēles rūtiņas, nevienlīdzīga pogu pamanāmība un piespiedu atklāšanas modeļi nav saderīgi ar derīgu TTDSG piekrišanu. Baneris, kurā „Pieņemt visu” ir vizuāli dominējošs un „Noraidīt visu” ir apslēpts aiz otrā klikšķa, 2026. gadā Vācijas auditā netiks pieņemts.
Praktiskās CMP prasības Vācijas tirgum
Lai apmierinātu TTDSG/TDDDG ražošanas vidē, jūsu piekrišanas pārvaldības platformai un tagu pārvaldniekam ir jāievieš vairākas konkrētas darbības.
Vienāda pamanāmība pieņemšanai un noraidīšanai
Pirmā slāņa banerim ir jāparāda poga Noraidīt visu ar vizuālu līdzvērtību pogai Pieņemt visu. Krāsai, izmēram, pozīcijai un mijiedarbības izmaksām jābūt līdzsvarotām. Daudzi CMP piegādā noklusējuma veidni, kas neatbilst šai prasībai to Vācijas lokalizācijā.
Detalizācija pa pārdevējiem
Vācijas regulatori sagaida, ka lietotāji var piekrist pa pārdevēju vai pa mērķi, nevis tikai ar vienu globālu pārslēgu. IAB TCF v2.2 atbilst šai prasībai, taču tikai tad, ja jūsu pārdevēju saraksts ir aktuāls un mērķi ir skaidri izskaidroti.
Bloķēšana pirms piekrišanas
Neviens trešās puses skripts nedrīkst ielādēties, neviena sīkdatne nedrīkst tikt ierakstīta un neviens pikselis nedrīkst aktivizēties pirms tiek reģistrēta apstiprinoša piekrišana. Tas attiecas uz Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok un katru reklāmu serveri. Paredzamais modelis ir tagu pārvaldības piekrišanas apzinātu režīmu izmantošana — piemēram, Google Tag Manager piekrišanas inicializācija.
Atsaucama ar vienu klikšķi
Vācijas DPA prasa, lai piekrišanas atsaukšana būtu tikpat vienkārša kā tās piešķiršana. Katrā vietnes lapā ir jābūt pieejamam noturīgam, redzamam mehānismam — peldošai atkārtotas atvēršanas pogai, kājenes saitei vai līdzvērtīgam UI nodrošinājumam.
Piekrišanas ieraksti un revīzijas taka
TTDSG pārņem GDPR 7. panta 1. punktu: pārzinis ir jābūt spējai pierādīt, ka piekrišana tika dota. Saglabājiet ierakstus par to, kad, kā un kādiem nolūkiem piekrišana tika piešķirta — ideālā gadījumā vismaz 36 mēnešus, ņemot vērā Vācijas civillikuma noilgumu. Lielākā daļa Google sertificētu CMP to nodrošina pēc noklusējuma.
Mobilās lietotnes un SDK izsekošana
TTDSG attiecas uz mobilajām lietotnēm ar vienādu spēku. Reklāmas identifikators Android ierīcēs, idfa iOS ierīcēs, jebkāda SDK līmeņa pirkstu nospiedumu ņemšana un jebkāda starpaplikāciju sīkdatņu darbība — visi ir pakļauti piekrišanas noteikumam.
Android un iOS paritāte
Praksē izdevēji, kas paļaujas uz iOS App Tracking Transparency uzaicinājumu, nevar pieņemt, ka tas apmierina TTDSG — Apple uzaicinājums ir platformas līmeņa vadība un pats par sevi nav derīga TTDSG piekrišana. Jums ir nepieciešams lietotnes iekšējs CMP slānis, kas apkopo TTDSG atbilstīgu piekrišanu pirms jebkura ne-strikti nepieciešamā SDK inicializācijas.
Lietotnes iekšējās piekrišanas virknes
Mobilās lietotnes reklāmai IAB TCF virkne vai IAB GPP virkne ir jāģenerē un jāizplata katram SDK, kas piedalās solīšanas konvejērā. Bez derīgas piekrišanas virknes katrs solījums ir juridiski pakļauts riskam neatkarīgi no tā, kā SDK konfigurē savu darbību.
Izpildes ainava 2026. gadā
Vācijas DPA ir kļuvuši ievērojami aktīvāki TTDSG izpildē 2024. un 2025. gadā. Bavārijas Landesdatenschutzbeauftragte vien gadā ir uzsākusi simtiem izmeklēšanu, un Berlīnes DPA ir uzlicis naudas sodus, tieši atsaucoties uz sīkdatņu bannera pārkāpumiem.
Līdz šim novērotie naudas sodi
TTDSG pats nosaka maksimālo administratīvo sodu EUR 300 000 par katru pārkāpumu. Taču tā kā jebkurš TTDSG pārkāpums parasti ir arī GDPR pārkāpums, DPA bieži vien ir apvienojuši augstāku GDPR sodu — līdz EUR 20 miljoniem vai 4 procentiem no globālā gada apgrozījuma. Izdevējiem un e-komercijas operatoriem Vācijas tirgū, novērtējot iedarbību, ir jāplāno apvienotā atbildība.
Civiltiesiskā atbildība
Vācija ir viena no nedaudzajām ES jurisdikcijām, kur atsevišķi lietotāji ir veiksmīgi iesūdzējuši tiesā par nemateriālu kaitējumu saskaņā ar GDPR 82. pantu saistībā ar sīkdatņu pārkāpumiem. Sagaidiet, ka masveida patērētāju prasības, ko bieži organizē Verbraucherzentralen un prasītāju advokātu biroji, turpināsies arī 2026. gadā.
Revīzijas kontrolsaraksts Vācijas trafika apstrādei
- CMP pirmajā slānī parāda Pieņemt visu un Noraidīt visu ar vienādu vizuālo pamanāmību
- Pirms piekrišanas netiek ielādētas sīkdatnes, pikseļi vai trešo pušu skripti, ieskaitot analītiku un A/B testēšanu
- Tiek piedāvāta detalizācija pa mērķiem un pa pārdevējiem ar mērķu aprakstiem vienkāršā valodā vācu valodā
- Piekrišanas atsaukšanas mehānisms ir noturīgs un pieejams no katras lapas
- Piekrišanas ieraksti tiek glabāti ar laika zīmogu, piekrišanas versiju un piešķirtajiem mērķiem
- Mobilās lietotnes ievieš TTDSG piekrišanu pirms jebkura ne-strikti nepieciešamā SDK inicializācijas neatkarīgi no iOS ATT uzaicinājuma
- Datu apstrādes papildinājumi un Schrems II pārsūtīšanas novērtējumi ir dokumentēti katram ASV bāzētam pārdevējam
- Tumšo modeļu pārskats ir pabeigts saskaņā ar jaunākajiem DSK norādījumiem
- Privātuma politika nosaukum visus apstrādātājus, atsevišķi identificē likumīgo pamatu saskaņā ar GDPR un piekrišanas pamatu saskaņā ar TTDSG, un ir pieejama vācu valodā
- Pārdevēju saraksts ir sinhronizēts ar IAB TCF v2.2 un tiek atjaunināts, pievienojot jaunus partnerus
2026. gada perspektīva
Pārdēvēšana par TDDDG 2024. gadā nemīkstināja Vācijas izpildi. Ja vien, DPA ir labāk nodrošināti ar resursiem un labāk koordinēti caur DSK nekā pirms diviem gadiem. Trajektorija ir skaidra: piekrišanas prasības palielināsies, tumšo modeļu kontrole intensificēsies un Schrems II pārsūtīšanas novērtējumi kļūs par standarta revīzijas fokusu. Izdevēji un reklāmdevēji, kas darbojas Vācijā un ieguldīja pienācīgā piekrišanas stekā 2024.–2025. gadā, kopumā atrodas labā formā. Tie, kuri Vācijas atbilstību atstāja vēlākam laikam, 2026. gadā nonāk ar zināmām nepilnībām un pieaugošu regulatīvo interesi. Pareizā rīcība ir novērst šīs nepilnības tagad — pirms Landesdatenschutzbeauftragte izmeklēšana uzdod jautājumu jums nepiemērotā laika grafikā.