Apa yang Sebenarnya Dikawal oleh TTDSG dan TDDDG

TTDSG mentransposekan Arahan ePrivacy EU ke dalam undang-undang Jerman dengan ketepatan yang luar biasa. Sementara GDPR mengawal pemprosesan data peribadi, TTDSG mengawal sebarang penyimpanan maklumat dalam, atau akses kepada maklumat yang telah disimpan pada, peralatan terminal pengguna — tanpa mengira sama ada maklumat itu adalah data peribadi. Dalam bahasa mudah: setiap kuki, setiap piksel, setiap penulisan storan setempat, setiap skrip cap jari berada dalam skop, walaupun ia tidak mengumpul sebarang data peribadi.

Seksyen 25 — Peraturan Persetujuan Teras

Peruntukan penting adalah Seksyen 25 TTDSG (kini Seksyen 25 TDDDG). Ia melarang penyimpanan atau akses kepada sebarang maklumat pada peralatan terminal pengguna kecuali salah satu daripada dua syarat dipenuhi:

• Pengguna telah memberikan persetujuan yang bermaklumat, sukarela, spesifik, dan aktif selepas dimaklumkan dengan cara yang jelas dan komprehensif, atau
• Penyimpanan atau akses adalah benar-benar perlu untuk menyediakan perkhidmatan telemedia yang pengguna minta secara nyata.

Tiada asas kepentingan sah. Tiada pilihan masuk lembut. Tafsiran Jerman tentang benar-benar perlu adalah lebih sempit berbanding banyak bidang kuasa Eropah lain — ia meliputi kuki sesi, pengimbangan beban, dan pemprosesan pembayaran, tetapi bukan analitik, bukan pengiklanan, dan bukan kebanyakan pemperibadian.

Interaksi dengan GDPR

TTDSG tidak menggantikan GDPR. Ia berada di atasnya. Walaupun anda melepasi halangan TTDSG untuk tindakan menetapkan kuki, anda masih memerlukan asas sah GDPR untuk sebarang pemprosesan data peribadi yang mengikut. Pendirian pematuhan Jerman yang bersih memerlukan melepasi kedua-dua gerbang. Kesilapan biasa adalah mengumpul persetujuan di bawah Artikel 6(1)(a) GDPR dan menganggap ia meliputi TTDSG juga — ia memang demikian, asalkan persetujuan itu juga memenuhi keperluan kekhususan TTDSG, yang lebih ketat daripada GDPR dalam beberapa aspek.

Bagaimana Jerman Berbeza daripada Seluruh EU

Pengawal selia di seluruh EU mentafsirkan ePrivacy dengan cara yang sedikit berbeza. Jerman berada di hujung ketat spektrum dalam beberapa aspek.

Persetujuan Nyata Diperlukan untuk Analitik

DPA Jerman secara konsisten berpendapat bahawa Google Analytics, Matomo (awan), Adobe Analytics, Mixpanel, dan alat serupa memerlukan persetujuan pilihan masuk. Analitik yang dihoskan sendiri dan dianonimkan dengan pengekalan pendek kadang-kadang boleh memenuhi syarat sebagai benar-benar perlu, tetapi had adalah tinggi dan berbeza mengikut DPA. Bavaria, Baden-Württemberg, Berlin, dan Hamburg masing-masing menerbitkan panduan teknikal terperinci, dan ia tidak serupa.

Schrems II dan Pemindahan AS

DPA Jerman telah menjadi antara yang paling agresif di Eropah dalam isu pemindahan Schrems II. Menjalankan penjejak yang dihoskan di AS — walaupun dengan pensijilan Data Privacy Framework — menarik pengawasan jika penjejakan itu meluas atau melibatkan data kategori khas. Datenschutzkonferenz (DSK), badan bersama DPA persekutuan dan negeri Jerman, telah mengeluarkan panduan berulang bahawa telemetri yang dihantar ke pemproses AS tanpa mekanisme pemindahan yang sah melanggar kedua-dua GDPR dan TTDSG secara serentak.

Corak Gelap Dilarang Secara Nyata

Beberapa DPA Jerman telah mengeluarkan panduan penguatkuasaan bahawa rasa malu pengesahan, kotak semak yang dipilih terlebih dahulu, kenonjolan butang yang tidak seimbang, dan corak pendedahan paksa tidak serasi dengan persetujuan TTDSG yang sah. Sepanduk di mana „Terima semua” secara visual dominan dan „Tolak semua” tersembunyi di sebalik klik kedua akan gagal dalam audit Jerman pada 2026.

Keperluan CMP Praktikal untuk Pasaran Jerman

Untuk memenuhi TTDSG/TDDDG dalam persekitaran pengeluaran, platform pengurusan persetujuan dan pengurus tag anda perlu menguatkuasakan beberapa tingkah laku khusus.

Kenonjolan Sama untuk Terima dan Tolak

Sepanduk lapisan pertama mesti menunjukkan butang Tolak Semua dengan kesetaraan visual kepada Terima Semua. Warna, saiz, kedudukan, dan kos interaksi mesti seimbang. Banyak CMP menghantar templat lalai yang tidak memenuhi had ini dalam lokasi Jerman mereka.

Perincian Per-Vendor

Pengawal selia Jerman mengharapkan pengguna dapat memberikan persetujuan secara per-vendor atau per-tujuan, bukan hanya togol global tunggal. IAB TCF v2.2 memenuhi jangkaan ini, tetapi hanya jika senarai vendor anda terkini dan tujuannya dijelaskan dengan jelas.

Menyekat Sebelum Persetujuan

Tiada skrip pihak ketiga boleh dimuatkan, tiada kuki boleh ditulis, dan tiada piksel boleh diaktifkan sebelum persetujuan afirmatif direkodkan. Ini terpakai untuk Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok, dan setiap pelayan iklan. Penggunaan mod sedar persetujuan pengurusan tag — seperti permulaan persetujuan Google Tag Manager — adalah corak yang dijangkakan.

Boleh Ditarik dengan Satu Klik

DPA Jerman memerlukan penarikan persetujuan semudah pemberiannya. Mekanisme yang kekal dan kelihatan — butang buka semula terapung, pautan pengaki, atau kemudahan UI yang setara — mesti tersedia di setiap halaman tapak.

Rekod Persetujuan dan Jejak Audit

TTDSG mewarisi Artikel 7(1) GDPR: pengawal mesti dapat menunjukkan bahawa persetujuan diberikan. Simpan rekod bila, bagaimana, dan untuk tujuan apa persetujuan diberikan, sebaik-baiknya selama sekurang-kurangnya 36 bulan memandangkan had masa statut sivil Jerman. Kebanyakan CMP yang diperakui Google mengendalikan ini secara lalai.

Aplikasi Mudah Alih dan Penjejakan SDK

TTDSG terpakai untuk aplikasi mudah alih dengan kekuatan yang sama. Pengecam-untuk-pengiklanan di Android, idfa di iOS, sebarang cap jari peringkat SDK, dan sebarang tingkah laku kuki silang-aplikasi semuanya tertakluk kepada peraturan persetujuan.

Pariti Android dan iOS

Dalam praktiknya, penerbit yang bergantung pada gesaan iOS App Tracking Transparency tidak boleh menganggap ia memenuhi TTDSG — gesaan Apple adalah kawalan peringkat platform dan bukan persetujuan TTDSG yang sah dengan sendirinya. Anda memerlukan lapisan CMP dalam aplikasi yang mengumpul persetujuan yang mematuhi TTDSG sebelum sebarang SDK yang tidak benar-benar perlu dimulakan.

Rentetan Persetujuan Dalam Aplikasi

Untuk pengiklanan aplikasi mudah alih, rentetan IAB TCF atau rentetan IAB GPP mesti dijana dan disebarkan ke setiap SDK yang mengambil bahagian dalam saluran bidaan. Tanpa rentetan persetujuan yang sah, setiap bidaan terdedah secara undang-undang tanpa mengira cara SDK mengkonfigurasi tingkah lakunya sendiri.

Landskap Penguatkuasaan pada 2026

DPA Jerman telah menjadi lebih aktif secara ketara dalam penguatkuasaan TTDSG pada 2024 dan 2025. Landesdatenschutzbeauftragte Bavaria sahaja telah membuka ratusan siasatan setahun, dan DPA Berlin telah mengeluarkan denda yang secara khusus menyebut pelanggaran sepanduk kuki.

Denda yang Dilihat Setakat Ini

TTDSG sendiri menetapkan denda pentadbiran maksimum sebesar EUR 300,000 setiap pelanggaran. Tetapi kerana sebarang pelanggaran TTDSG biasanya juga merupakan pelanggaran GDPR, DPA sering menggabungkan penalti GDPR yang lebih tinggi — sehingga EUR 20 juta atau 4 peratus daripada pusing ganti tahunan global. Penerbit dan pengendali e-dagang di pasaran Jerman harus merancang untuk liabiliti bertindan apabila menilai pendedahan.

Liabiliti Sivil

Jerman adalah salah satu daripada sedikit bidang kuasa EU di mana pengguna individu telah berjaya menyaman untuk ganti rugi bukan material di bawah Artikel 82 GDPR berkaitan dengan pelanggaran kuki. Jangkakan tuntutan pengguna beramai-ramai, sering dianjurkan melalui Verbraucherzentralen dan firma undang-undang plaintif, untuk terus berlaku pada 2026.

Senarai Semak Audit untuk Trafik Jerman

• CMP mempersembahkan Terima Semua dan Tolak Semua dengan kenonjolan visual yang sama pada lapisan pertama
• Tiada kuki, piksel, atau skrip pihak ketiga dimuatkan sebelum persetujuan, termasuk analitik dan ujian A/B
• Perincian per-tujuan dan per-vendor ditawarkan, dengan penerangan tujuan dalam bahasa mudah dalam bahasa Jerman
• Mekanisme tarik-persetujuan kekal dan boleh dicapai dari setiap halaman
• Rekod persetujuan disimpan dengan cap masa, versi persetujuan, dan tujuan yang diberikan
• Aplikasi mudah alih menguatkuasakan persetujuan TTDSG sebelum memulakan sebarang SDK yang tidak benar-benar perlu, secara bebas daripada gesaan iOS ATT
• Tambahan Pemprosesan Data dan penilaian pemindahan Schrems II didokumenkan untuk setiap vendor berasaskan AS
• Semakan corak gelap dilengkapkan terhadap panduan DSK terkini
• Dasar privasi menamakan semua pemproses, mengenal pasti asas sah di bawah GDPR dan asas persetujuan di bawah TTDSG secara berasingan, dan tersedia dalam bahasa Jerman
• Senarai vendor disegerakkan dengan IAB TCF v2.2 dan dikemas kini apabila rakan kongsi baharu ditambah

Pandangan 2026

Penjenamaan semula kepada TDDDG pada 2024 tidak melembut penguatkuasaan Jerman. Jika ada pun, DPA lebih baik sumber dan lebih diselaraskan melalui DSK berbanding dua tahun lalu. Trajektori jelas: bar persetujuan akan semakin tinggi, pengawasan corak gelap akan bertambah sengit, dan penilaian pemindahan Schrems II akan menjadi fokus audit standard. Penerbit dan pengiklan yang beroperasi di Jerman yang melabur dalam tindanan persetujuan yang betul pada 2024-2025 secara amnya berada dalam keadaan baik. Mereka yang meninggalkan pematuhan Jerman untuk kemudian memasuki 2026 dengan jurang yang diketahui dan minat kawal selia yang semakin meningkat. Langkah yang betul adalah menutup jurang tersebut sekarang — sebelum siasatan Landesdatenschutzbeauftragte memaksa soalan pada garis masa yang anda tidak kawal.