Tysklands TTDSG Cookie-samtykke: 2026-guiden for utgivere og annonsører til loven om databeskyttelse for telekommunikasjon og telemedier
Tyskland er det største annonsemarkedet i det kontinentale Europa, og det er også et av de strengeste når det gjelder informasjonskapsler. Siden desember 2021 har tysk lov lagt til et dedikert samtykkeregime for informasjonskapsler — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — oppå GDPR. I 2024 ble loven omdøpt til TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) for å samsvare med EUs digitale tjenesteloven, men innholdet og de praktiske forpliktelsene har ikke endret seg. Hvis du driver digital annonsering, analyse eller tredjepartssporing inn i det tyske markedet i 2026, er du underlagt TTDSG/TDDDG i tillegg til GDPR, og de tyske DPA-ene er langt fra sjenerte når det gjelder håndhevelse. Denne guiden forklarer hva loven dekker, hvordan den skiller seg fra GDPR alene, og hva din CMP og annonsestakk må gjøre for å forbli etterlevende i Tyskland.
Hva TTDSG og TDDDG Faktisk Regulerer
TTDSG transponerer EUs ePrivacy-direktiv til tysk lov med uvanlig presisjon. Der GDPR regulerer behandling av personopplysninger, regulerer TTDSG enhver lagring av informasjon i, eller tilgang til informasjon som allerede er lagret på, en brukers terminalutstyr — uavhengig av om den informasjonen er personopplysninger. I klartekst: hver informasjonskapsel, hver piksel, hver skriving til lokal lagring, hvert fingeravtrykksscript er innenfor virkeområdet, selv om det samler inn null personopplysninger.
Paragraf 25 — Kjernesamtykkeregelen
Den sentrale bestemmelsen er Paragraf 25 i TTDSG (nå Paragraf 25 TDDDG). Den forbyr lagring eller tilgang til informasjon på en brukers terminalutstyr med mindre en av to betingelser er oppfylt:
- Brukeren har gitt informert, frivillig, spesifikt og aktivt samtykke etter å ha blitt informert på en klar og utfyllende måte, eller
- Lagringen eller tilgangen er strengt nødvendig for å levere en telemedietjeneste som brukeren uttrykkelig har bedt om.
Det er ingen basis for berettiget interesse. Det er ingen myk opt-in. Den tyske tolkningen av strengt nødvendig er smalere enn mange andre europeiske jurisdiksjoner — det dekker sesjonsinfokapsler, lastbalansering og betalingsbehandling, men ikke analyse, ikke annonsering og ikke de fleste personaliseringstiltak.
Samspill med GDPR
TTDSG erstatter ikke GDPR. Det ligger oppå det. Selv om du passerer TTDSG-hinderet for å sette en informasjonskapsel, trenger du fortsatt et lovlig grunnlag etter GDPR for enhver behandling av personopplysninger som følger. En ren tysk etterlevelsesposisjon krever å passere begge portene. En vanlig feil er å samle inn samtykke under GDPR artikkel 6(1)(a) og anta at det dekker TTDSG også — det gjør det, forutsatt at samtykket også oppfyller TTDSGs spesifisitetskrav, som er strengere enn GDPRs på flere punkter.
Hvordan Tyskland Skiller Seg fra Resten av EU
Regulatorer over hele EU tolker ePrivacy på litt forskjellige måter. Tyskland er i den strenge enden av spekteret på flere punkter.
Eksplisitt Samtykke Påkrevd for Analyse
Tyske DPA-er har konsekvent fastslått at Google Analytics, Matomo (sky), Adobe Analytics, Mixpanel og lignende verktøy krever opt-in-samtykke. Selvhostede, anonymiserte analyser med kort oppbevaringstid kan noen ganger kvalifisere som strengt nødvendig, men standarden er høy og varierer etter DPA. Bayern, Baden-Württemberg, Berlin og Hamburg publiserer hver detaljert teknisk veiledning, og de er ikke identiske.
Schrems II og Overføringer til USA
Tyske DPA-er har vært blant de mest aggressive i Europa på Schrems II-overføringsspørsmål. Å kjøre en USA-hostet sporingsenhet — selv med en Data Privacy Framework-sertifisering — tiltrekker seg gransking hvis sporingen er gjennomgripende eller involverer data i spesielle kategorier. Datenschutzkonferenz (DSK), det felles organet av tyske føderale og delstats-DPA-er, har gjentatte ganger utstedt veiledning om at telemetri sendt til amerikanske behandlere uten en gyldig overføringsmekanisme bryter med både GDPR og TTDSG samtidig.
Mørke Mønstre Eksplisitt Forbudt
Flere tyske DPA-er har utstedt håndhevelsesveiledning om at bekreftelseskrenking, forhåndsavmerkede avmerkingsbokser, ulik knappefremtredenhet og tvungne-avsløring-mønstre er uforenlige med gyldig TTDSG-samtykke. Et banner der „Godta alle” er visuelt dominerende og „Avvis alle” er skjult bak et andre klikk, vil ikke bestå en tysk revisjon i 2026.
Praktiske CMP-krav for det Tyske Markedet
For å tilfredsstille TTDSG/TDDDG i et produksjonsmiljø må plattformen for samtykkehåndtering og tagbehandleren din håndheve flere spesifikke atferder.
Lik Fremtredenhet for Godta og Avvis
Banneret i første lag må vise en knapp for Avvis alle med visuell paritet til Godta alle. Farge, størrelse, posisjon og interaksjonskostnad må være balansert. Mange CMPs leverer en standardmal som ikke oppfyller dette kravet i sin tyske lokale versjon.
Granularitet per Leverandør
Tyske regulatorer forventer at brukere kan gi samtykke på per-leverandør- eller per-formålbasis, ikke bare en enkelt global bryter. IAB TCF v2.2 oppfyller denne forventningen, men bare hvis leverandørlisten din er oppdatert og formålene er tydelig forklart.
Blokkering Før Samtykke
Ingen tredjepartsskript kan lastes, ingen informasjonskapsel kan skrives og ingen piksel kan utløses før bekreftet samtykke er registrert. Dette gjelder Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok og enhver annonseserver. Bruken av samtykkebevisste modi for tagbehandling — som Google Tag Managers samtykkeinitialisering — er det forventede mønsteret.
Tilbakekallbart med Ett Klikk
Tyske DPA-er krever at tilbaketrekking av samtykke er like enkelt som å gi det. En vedvarende, synlig mekanisme — en flytende gjenåpningsknapp, en bunntekstkoblin eller en tilsvarende UI-mulighet — må være tilgjengelig på hver side av nettstedet.
Samtykkeregistre og Revisjonsspor
TTDSG arver GDPR artikkel 7(1): behandlingsansvarlig må kunne dokumentere at samtykke ble gitt. Bevar registre over når, hvordan og for hvilke formål samtykke ble gitt, ideelt sett i minst 36 måneder gitt den tyske sivilrettslige foreldelsesfristen. De fleste Google-sertifiserte CMPs håndterer dette som standard.
Mobilapper og SDK-sporing
TTDSG gjelder for mobilapper med like stor kraft. Identifikatoren-for-annonsering på Android, idfa på iOS, enhver SDK-nivå fingeravtrykkstagning og enhver kryssapp-informasjonskapselatferd er alle underlagt samtykkeregelen.
Android og iOS Paritet
I praksis kan utgivere som er avhengige av iOS App Tracking Transparency-oppfordringen ikke anta at den tilfredsstiller TTDSG — Apples oppfordring er en kontroll på plattformnivå og er ikke et gyldig TTDSG-samtykke i seg selv. Du trenger et CMP-lag i appen som samler inn TTDSG-kompatibelt samtykke før noen ikke-strengt-nødvendig SDK initialiseres.
Samtykkestrenger I Appen
For mobilappreklame må IAB TCF-strengen eller IAB GPP-strengen genereres og spres til hver SDK som deltar i budpipelinen. Uten en gyldig samtykkestreng er hvert bud juridisk eksponert uavhengig av hvordan SDK konfigurerer sin egen atferd.
Håndhevelseslandskapet i 2026
Tyske DPA-er har blitt betydelig mer aktive med TTDSG-håndhevelse i 2024 og 2025. Landesdatenschutzbeauftragte i Bayern alene har åpnet hundrevis av undersøkelser per år, og Berlin-DPA har utstedt bøter som spesifikt nevner brudd på informasjonskapsel-bannere.
Bøter Sett Hittil
TTDSG selv setter en maksimal administrativ bot på EUR 300 000 per brudd. Men fordi ethvert TTDSG-brudd vanligvis også er et GDPR-brudd, har DPA-er ofte stablet den høyere GDPR-straffen — opptil EUR 20 millioner eller 4 prosent av den globale årlige omsetningen. Utgivere og e-handelsoperatører i det tyske markedet bør planlegge for stablet ansvar når de beregner eksponering.
Sivilrettslig Ansvar
Tyskland er en av de få EU-jurisdiksjonene der individuelle brukere har saksøkt med suksess for ikke-materielle skader under GDPR artikkel 82 i forbindelse med informasjonskapsbrudd. Forvent at massesøksmål fra forbrukere, ofte organisert gjennom Verbraucherzentralen og saksøkende advokatfirmaer, vil fortsette i 2026.
Revisjonscheckliste for Tysk Trafikk
- CMP presenterer Godta alle og Avvis alle med lik visuell fremtredenhet på første lag
- Ingen informasjonskapsler, piksler eller tredjepartsskript lastes før samtykke, inkludert analyse og A/B-testing
- Per-formål og per-leverandør granularitet tilbys, med formålsbeskrivelser på enkelt språk på tysk
- Tilbaketrekking av samtykke-mekanismen er vedvarende og tilgjengelig fra alle sider
- Samtykkeregistre oppbevares med tidsstempel, samtykkeversjon og innvilgede formål
- Mobilapper håndhever TTDSG-samtykke før initialisering av enhver ikke-strengt-nødvendig SDK, uavhengig av iOS ATT-oppfordringen
- Databehandlingstillegg og Schrems II-overføringsvurderinger er dokumentert for hver amerikanskbasert leverandør
- Gjennomgang av mørke mønstre er fullført mot den nyeste DSK-veiledningen
- Personvernpolicyen navngir alle behandlere, identifiserer rettslig grunnlag under GDPR og samtykkebasisen under TTDSG separat, og er tilgjengelig på tysk
- Leverandørlisten er synkronisert med IAB TCF v2.2 og oppdatert når nye partnere legges til
Utsikten for 2026
Omdøpingen til TDDDG i 2024 myknet ikke tysk håndhevelse. Om noe er DPA-ene bedre ressursert og mer koordinert gjennom DSK enn de var for to år siden. Banen er klar: samtykkekravene vil øke, granskingen av mørke mønstre vil intensiveres og Schrems II-overføringsvurderinger vil bli et standard revisjonsfokus. Utgivere og annonsører som opererer i Tyskland og som investerte i en ordentlig samtykkestakk i 2024-2025 er i store trekk i god form. De som la tysk etterlevelse til senere, går inn i 2026 med kjente mangler og økende regulatorisk interesse. Det riktige trekket er å lukke de manglene nå — før en Landesdatenschutzbeauftragte-undersøkelse tvinger spørsmålet på en tidslinje du ikke kontrollerer.