Wat de TTDSG en TDDDG Feitelijk Regelen

De TTDSG transponeert de EU-ePrivacyrichtlijn in Duits recht met ongebruikelijke precisie. Waar de GDPR de verwerking van persoonsgegevens regelt, regelt de TTDSG elke opslag van informatie in, of toegang tot informatie die al is opgeslagen op, de eindapparatuur van een gebruiker — ongeacht of die informatie persoonsgegevens zijn. In eenvoudige bewoording: elke cookie, elke pixel, elke schrijfhandeling naar lokale opslag, elk fingerprintingscript valt binnen het toepassingsgebied, ook als er nul persoonsgegevens worden verzameld.

Artikel 25 — De Centrale Toestemmingsregel

De cruciale bepaling is Artikel 25 van de TTDSG (nu Artikel 25 TDDDG). Dit verbiedt het opslaan van of toegang tot informatie op de eindapparatuur van een gebruiker, tenzij aan een van twee voorwaarden is voldaan:

• De gebruiker heeft geïnformeerde, vrijwillige, specifieke en actieve toestemming gegeven nadat hij op een duidelijke en uitgebreide manier is geïnformeerd, of
• De opslag of toegang is strikt noodzakelijk voor het leveren van een telematicadienst die de gebruiker uitdrukkelijk heeft gevraagd.

Er is geen basis van gerechtvaardigd belang. Er is geen zachte opt-in. De Duitse interpretatie van strikt noodzakelijk is enger dan in veel andere Europese rechtsgebieden — het omvat sessiecookies, taakverdeling en betalingsverwerking, maar niet analyses, niet reclame en niet de meeste personalisatie.

Interactie met de GDPR

De TTDSG vervangt de GDPR niet. Het staat er bovenop. Zelfs als u de TTDSG-drempel voor het plaatsen van een cookie haalt, heeft u nog steeds een rechtmatige grondslag van de GDPR nodig voor eventuele verwerking van persoonsgegevens die volgt. Een correcte naleving in Duitsland vereist het doorlopen van beide poorten. Een veelgemaakte fout is het verzamelen van toestemming op grond van Artikel 6(1)(a) GDPR en ervan uitgaan dat dit ook de TTDSG dekt — dat doet het, mits de toestemming ook voldoet aan de specificiteitsvereisten van de TTDSG, die op meerdere punten strenger zijn dan de GDPR.

Hoe Duitsland Verschilt van de Rest van de EU

Toezichthouders in de EU interpreteren ePrivacy op enigszins verschillende manieren. Duitsland bevindt zich aan het strikte einde van het spectrum op meerdere fronten.

Expliciete Toestemming Vereist voor Analyses

Duitse DPA's hebben consequent geoordeeld dat Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel en vergelijkbare tools opt-in toestemming vereisen. Zelfgehoste, geanonimiseerde analyses met een korte bewaartermijn kunnen soms kwalificeren als strikt noodzakelijk, maar de lat ligt hoog en verschilt per DPA. Beieren, Baden-Württemberg, Berlijn en Hamburg publiceren elk gedetailleerde technische richtlijnen, en deze zijn niet identiek.

Schrems II en Overdrachten naar de VS

Duitse DPA's zijn een van de meest agressieve in Europa geweest op het gebied van Schrems II-overdrachtsoverwegingen. Het uitvoeren van een in de VS gehoste tracker — zelfs met een Data Privacy Framework-certificering — trekt de aandacht als de tracking invasief is of speciale categoriegegevens betreft. De Datenschutzkonferenz (DSK), het gezamenlijk orgaan van de Duitse federale en deelstaat-DPA's, heeft herhaaldelijk richtlijnen uitgevaardigd dat telemetrie die wordt verzonden naar Amerikaanse verwerkers zonder een geldig overdrachtsmechanisme tegelijk zowel de GDPR als de TTDSG schendt.

Dark Patterns Uitdrukkelijk Verboden

Meerdere Duitse DPA's hebben handhavingsrichtlijnen uitgevaardigd dat confirmation shaming, vooraf aangevinkte selectievakjes, ongelijke visuele nadruk op knoppen en gedwongen-openbaarmakingspatronen onverenigbaar zijn met geldige TTDSG-toestemming. Een banner waarbij „Alles accepteren” visueel dominant is en „Alles weigeren” achter een tweede klik is verborgen, zal in 2026 een Duitse audit niet doorstaan.

Praktische CMP-vereisten voor de Duitse Markt

Om te voldoen aan de TTDSG/TDDDG in een productieomgeving moet uw platform voor toestemmingsbeheer en tagbeheerder verschillende specifieke gedragingen afdwingen.

Gelijke Prominentie voor Accepteren en Weigeren

De eerste-laagbanner moet een knop Alles weigeren tonen met visuele gelijkwaardigheid aan Alles accepteren. Kleur, grootte, positie en interactiekosten moeten gebalanceerd zijn. Veel CMP's leveren een standaardsjabloon dat in hun Duitse taalversie niet aan deze norm voldoet.

Granulariteit per Leverancier

Duitse toezichthouders verwachten dat gebruikers toestemming kunnen geven op per-leverancier- of per-doelbasis, niet slechts één globale schakelaar. IAB TCF v2.2 voldoet aan deze verwachting, maar alleen als uw leverancierslijst actueel is en de doeleinden duidelijk worden uitgelegd.

Blokkeren Vóór Toestemming

Geen enkel script van derden mag worden geladen, geen cookie mag worden geschreven en geen pixel mag worden geactiveerd vóór het vastleggen van bevestigende toestemming. Dit geldt voor Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok en elke advertentieserver. Het gebruik van toestemmingsbewuste modi voor tagbeheer — zoals de toestemmingsinitialisatie van Google Tag Manager — is het verwachte patroon.

Intrekbaar met Één Klik

Duitse DPA's vereisen dat het intrekken van toestemming even eenvoudig is als het verlenen ervan. Een blijvend, zichtbaar mechanisme — een zwevende heropen-knop, een voettekstlink of een gelijkwaardige UI-mogelijkheid — moet op elke pagina van de site beschikbaar zijn.

Toestemmingsregistraties en Auditspoor

De TTDSG erft Artikel 7(1) GDPR: de verwerkingsverantwoordelijke moet kunnen aantonen dat toestemming is gegeven. Bewaar registraties van wanneer, hoe en voor welke doeleinden toestemming is verleend, bij voorkeur gedurende ten minste 36 maanden gezien de civielrechtelijke verjaringstermijn in Duitsland. De meeste Google-gecertificeerde CMP's regelen dit standaard.

Mobiele Apps en SDK-tracking

De TTDSG is met gelijke kracht van toepassing op mobiele apps. De advertentie-identifier op Android, de idfa op iOS, elke vingerafdruk op SDK-niveau en elk cookie-gedrag over apps heen vallen allemaal onder de toestemmingsregel.

Pariteit Android en iOS

In de praktijk kunnen uitgevers die vertrouwen op de iOS App Tracking Transparency-prompt niet aannemen dat dit aan de TTDSG voldoet — Apple's prompt is een platformniveaubeheersing en is op zichzelf geen geldige TTDSG-toestemming. U heeft een in-app CMP-laag nodig die TTDSG-conforme toestemming verzamelt voordat een niet-strikt-noodzakelijke SDK wordt geïnitialiseerd.

Toestemmingsstrings In-App

Voor advertenties in mobiele apps moet de IAB TCF-string of IAB GPP-string worden gegenereerd en doorgegeven aan elke SDK die deelneemt aan de biedpijplijn. Zonder een geldige toestemmingsstring is elk bod juridisch blootgesteld, ongeacht hoe de SDK zijn eigen gedrag configureert.

Handhavingslandschap in 2026

Duitse DPA's zijn in 2024 en 2025 aanzienlijk actiever geworden op het gebied van TTDSG-handhaving. De Landesdatenschutzbeauftragte van Beieren alleen al heeft honderden onderzoeken per jaar geopend, en de DPA van Berlijn heeft boetes opgelegd die specifiek cookiebannerovertredingen vermelden.

Tot Nu Toe Geziene Boetes

De TTDSG zelf stelt een maximale bestuurlijke boete van EUR 300.000 per overtreding. Maar omdat een TTDSG-overtreding doorgaans ook een GDPR-overtreding is, hebben DPA's vaak de hogere GDPR-straf opgelegd — tot EUR 20 miljoen of 4 procent van de wereldwijde jaarlijkse omzet. Uitgevers en e-commerceoperators op de Duitse markt dienen rekening te houden met gestapelde aansprakelijkheid bij het inschatten van de blootstelling.

Burgerrechtelijke Aansprakelijkheid

Duitsland is een van de weinige EU-rechtsgebieden waar individuele gebruikers met succes hebben geprocedeerd voor immateriële schade onder Artikel 82 GDPR in verband met cookieovertredingen. Verwacht dat massale consumentenclaims, vaak georganiseerd via Verbraucherzentralen en eisende advocatenkantoren, in 2026 zullen doorgaan.

Auditchecklist voor Duits Verkeer

• CMP toont Alles accepteren en Alles weigeren met gelijke visuele prominentie op de eerste laag
• Geen cookies, pixels of scripts van derden worden geladen vóór toestemming, inclusief analyses en A/B-testen
• Per-doel- en per-leveranciergranulariteit wordt aangeboden, met doelomschrijvingen in eenvoudige taal in het Duits
• Het mechanisme voor het intrekken van toestemming is blijvend en bereikbaar vanaf elke pagina
• Toestemmingsregistraties worden bewaard met tijdstempel, toestemmingsversie en verleende doeleinden
• Mobiele apps dwingen TTDSG-toestemming af vóór het initialiseren van een niet-strikt-noodzakelijke SDK, onafhankelijk van de iOS ATT-prompt
• Gegevensverwerkingsovereenkomsten en Schrems II-overdrachtsevaluaties zijn gedocumenteerd voor elke Amerikaanse leverancier
• Dark-patternbeoordeling is voltooid op basis van de laatste DSK-richtlijnen
• Privacybeleid noemt alle verwerkers, identificeert de rechtmatige grondslag onder de GDPR en de toestemmingsgrondslag onder de TTDSG afzonderlijk, en is beschikbaar in het Duits
• Leverancierslijst is gesynchroniseerd met IAB TCF v2.2 en wordt bijgewerkt wanneer nieuwe partners worden toegevoegd

De Vooruitzichten voor 2026

De herbenoeming naar TDDDG in 2024 heeft de Duitse handhaving niet verzacht. Zo mogelijk zijn DPA's beter uitgerust en beter gecoördineerd via de DSK dan twee jaar geleden. De richting is duidelijk: de toestemmingseisen worden hoger, de controle op dark patterns wordt intensiever en Schrems II-overdrachtsbeoordelingen worden een standaard auditfocus. Uitgevers en adverteerders die in Duitsland actief zijn en in 2024-2025 hebben geïnvesteerd in een goede toestemmingsstack, staan er over het algemeen goed voor. Degenen die de naleving van de Duitse regelgeving voor later hebben bewaard, beginnen 2026 met bekende tekortkomingen en toenemende regelgevende aandacht. De juiste stap is om die tekortkomingen nu te dichten — voordat een onderzoek van de Landesdatenschutzbeauftragte de vraag dwingt op een tijdlijn die u niet beheert.