Co Faktycznie Regulują TTDSG i TDDDG

TTDSG transponuje unijną dyrektywę ePrivacy do prawa niemieckiego z niezwykłą precyzją. Podczas gdy GDPR reguluje przetwarzanie danych osobowych, TTDSG reguluje wszelkie przechowywanie informacji w urządzeniu końcowym użytkownika lub dostęp do informacji już tam przechowywanych — niezależnie od tego, czy informacje te stanowią dane osobowe. Mówiąc wprost: każdy plik cookie, każdy piksel, każdy zapis do lokalnego magazynu, każdy skrypt do pobierania odcisków palców wchodzi w zakres, nawet jeśli nie zbiera żadnych danych osobowych.

Paragraf 25 — Kluczowa Reguła Zgody

Kluczowym przepisem jest paragraf 25 TTDSG (obecnie paragraf 25 TDDDG). Zabrania on przechowywania lub uzyskiwania dostępu do jakichkolwiek informacji na urządzeniu końcowym użytkownika, chyba że spełniony jest jeden z dwóch warunków:

• Użytkownik wyraził świadomą, dobrowolną, konkretną i aktywną zgodę po poinformowaniu go w jasny i wyczerpujący sposób, lub
• Przechowywanie lub dostęp jest ściśle niezbędny do świadczenia usługi telemedialnej, o którą użytkownik wyraźnie wnioskował.

Nie ma podstawy uzasadnionego interesu. Nie ma miękkiego opt-in. Niemiecka interpretacja pojęcia ściśle niezbędny jest węższa niż w wielu innych europejskich jurysdykcjach — obejmuje pliki cookie sesji, równoważenie obciążenia i przetwarzanie płatności, ale nie analitykę, nie reklamę i nie większość personalizacji.

Interakcja z GDPR

TTDSG nie zastępuje GDPR. Nakłada się na nie. Nawet jeśli przejdziesz przez próg TTDSG dotyczący ustawiania pliku cookie, nadal potrzebujesz prawnej podstawy GDPR dla każdego kolejnego przetwarzania danych osobowych. Czysta zgodność z przepisami w Niemczech wymaga przejścia przez obie bramki. Częstym błędem jest zbieranie zgody na podstawie art. 6 ust. 1 lit. a) GDPR i zakładanie, że obejmuje to również TTDSG — tak jest, pod warunkiem że zgoda spełnia również wymogi szczegółowości TTDSG, które są surowsze niż GDPR pod kilkoma względami.

Jak Niemcy Różnią Się od Reszty UE

Regulatorzy w całej UE interpretują ePrivacy w nieco różny sposób. Niemcy znajdują się na surowym końcu spektrum pod kilkoma względami.

Wymagana Wyraźna Zgoda na Analitykę

Niemieckie DPA konsekwentnie twierdziły, że Google Analytics, Matomo (chmura), Adobe Analytics, Mixpanel i podobne narzędzia wymagają zgody opt-in. Samodzielnie hostowana, zanonimizowana analityka z krótkim okresem przechowywania może niekiedy kwalifikować się jako ściśle niezbędna, ale poprzeczka jest wysoka i różni się w zależności od DPA. Bawaria, Badenia-Wirtembergia, Berlin i Hamburg każde publikują szczegółowe wytyczne techniczne, i nie są one identyczne.

Schrems II i Transfery do USA

Niemieckie DPA były jednymi z najbardziej agresywnych w Europie w kwestiach transferu Schrems II. Korzystanie ze śledzenia hostowanego w USA — nawet z certyfikatem Data Privacy Framework — przyciąga uwagę, jeśli śledzenie jest wszechobecne lub dotyczy danych szczególnych kategorii. Datenschutzkonferenz (DSK), wspólny organ federalnych i landowych DPA Niemiec, wielokrotnie wydawał wytyczne, że telemetria wysyłana do podmiotów przetwarzających w USA bez ważnego mechanizmu transferu jednocześnie narusza zarówno GDPR, jak i TTDSG.

Ciemne Wzorce Wyraźnie Zakazane

Kilka niemieckich DPA wydało wytyczne egzekwowania, że zawstydzanie przy potwierdzeniu, wstępnie zaznaczone pola wyboru, nierówna widoczność przycisków i wzorce wymuszonego ujawniania są niezgodne z ważną zgodą TTDSG. Baner, w którym „Zaakceptuj wszystko” jest wizualnie dominujące, a „Odrzuć wszystko” ukryte za drugim kliknięciem, nie przejdzie niemieckiego audytu w 2026 r.

Praktyczne Wymagania CMP dla Rynku Niemieckiego

Aby spełnić wymogi TTDSG/TDDDG w środowisku produkcyjnym, Twoja platforma zarządzania zgodami i menedżer tagów muszą wymuszać kilka konkretnych zachowań.

Równa Widoczność Przycisku Akceptacji i Odrzucenia

Baner pierwszej warstwy musi wyświetlać przycisk Odrzuć wszystko z równoważnością wizualną do Zaakceptuj wszystko. Kolor, rozmiar, pozycja i koszt interakcji muszą być zrównoważone. Wiele CMP dostarcza domyślny szablon, który nie spełnia tego wymogu w wersji niemieckiej.

Szczegółowość na Poziomie Dostawcy

Niemieccy regulatorzy oczekują, że użytkownicy będą mogli wyrazić zgodę na poziomie dostawcy lub celu, a nie tylko jednym globalnym przełącznikiem. IAB TCF v2.2 spełnia to oczekiwanie, ale tylko jeśli lista dostawców jest aktualna, a cele są jasno wyjaśnione.

Blokowanie przed Zgodą

Żaden skrypt strony trzeciej nie może się załadować, żaden plik cookie nie może zostać zapisany i żaden piksel nie może zostać uruchomiony przed zarejestrowaniem potwierdzającej zgody. Dotyczy to Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok i każdego serwera reklamowego. Oczekiwanym wzorcem jest korzystanie z trybów zarządzania tagami uwzględniających zgodę — takich jak inicjalizacja zgody w Google Tag Manager.

Możliwość Wycofania Jednym Kliknięciem

Niemieckie DPA wymagają, aby wycofanie zgody było tak łatwe jak jej udzielenie. Na każdej stronie serwisu musi być dostępny trwały, widoczny mechanizm — pływający przycisk ponownego otwarcia, link w stopce lub równoważna możliwość w UI.

Rejestry Zgód i Ślad Audytu

TTDSG dziedziczy art. 7 ust. 1 GDPR: administrator musi być w stanie wykazać, że zgoda została udzielona. Przechowuj rejestry kiedy, jak i w jakich celach zgoda została udzielona — najlepiej przez co najmniej 36 miesięcy, biorąc pod uwagę termin przedawnienia w prawie cywilnym Niemiec. Większość CMP certyfikowanych przez Google obsługuje to domyślnie.

Aplikacje Mobilne i Śledzenie SDK

TTDSG obejmuje aplikacje mobilne z równą siłą. Identyfikator reklamowy na Androidzie, idfa na iOS, wszelkie pobieranie odcisków palców na poziomie SDK i wszelkie zachowanie plików cookie między aplikacjami — wszystkie podlegają regule zgody.

Parytет Android i iOS

W praktyce wydawcy polegający na monicie iOS App Tracking Transparency nie mogą zakładać, że spełnia on wymogi TTDSG — monit Apple'a to kontrola na poziomie platformy i sam w sobie nie stanowi ważnej zgody TTDSG. Potrzebujesz warstwy CMP w aplikacji, która zbiera zgodę zgodną z TTDSG przed zainicjowaniem jakiegokolwiek nieściśle niezbędnego SDK.

Ciągi Zgód w Aplikacji

W przypadku reklam w aplikacjach mobilnych ciąg IAB TCF lub ciąg IAB GPP musi zostać wygenerowany i przekazany do każdego SDK uczestniczącego w pipeline przetargowym. Bez ważnego ciągu zgody każda oferta jest narażona prawnie, niezależnie od tego, jak SDK konfiguruje własne zachowanie.

Krajobraz Egzekwowania w 2026 r.

Niemieckie DPA stały się znacznie aktywniejsze w egzekwowaniu TTDSG w 2024 i 2025 r. Sam Landesdatenschutzbeauftragte Bawarii wszczął setki postępowań rocznie, a berlińskie DPA wydało kary pieniężne wyraźnie powołując się na naruszenia banerów cookie.

Dotychczas Widoczne Kary

Sam TTDSG ustanawia maksymalną administracyjną karę pieniężną w wysokości 300 000 EUR za naruszenie. Ponieważ jednak każde naruszenie TTDSG jest zazwyczaj również naruszeniem GDPR, DPA często nakładały wyższą karę GDPR — do 20 milionów EUR lub 4 procent globalnego rocznego obrotu. Wydawcy i operatorzy e-commerce na rynku niemieckim powinni planować skumulowaną odpowiedzialność przy szacowaniu ekspozycji.

Odpowiedzialność Cywilna

Niemcy są jedną z nielicznych jurysdykcji UE, w których indywidualni użytkownicy z powodzeniem dochodzili odszkodowania za szkody niematerialne na podstawie art. 82 GDPR w związku z naruszeniami dotyczącymi plików cookie. Oczekuj, że masowe roszczenia konsumenckie, często organizowane przez Verbraucherzentralen i kancelarie prawne powodów, będą kontynuowane w 2026 r.

Lista Kontrolna Audytu dla Ruchu Niemieckiego

• CMP prezentuje Zaakceptuj wszystko i Odrzuć wszystko z równą widocznością wizualną w pierwszej warstwie
• Żadne pliki cookie, piksele ani skrypty stron trzecich nie są ładowane przed wyrażeniem zgody, w tym analityka i testy A/B
• Oferowana jest szczegółowość na poziomie celu i dostawcy, z opisami celów w prostym języku po niemiecku
• Mechanizm wycofania zgody jest trwały i dostępny z każdej strony
• Rejestry zgód są przechowywane ze znacznikiem czasu, wersją zgody i przyznanymi celami
• Aplikacje mobilne wymuszają zgodę TTDSG przed zainicjowaniem jakiegokolwiek nieściśle niezbędnego SDK, niezależnie od monitu iOS ATT
• Załączniki do przetwarzania danych i oceny transferu Schrems II są udokumentowane dla każdego dostawcy z USA
• Przegląd ciemnych wzorców jest zakończony zgodnie z najnowszymi wytycznymi DSK
• Polityka prywatności wymienia wszystkich podmiotów przetwarzających, oddzielnie identyfikuje podstawę prawną na mocy GDPR i podstawę zgody na mocy TTDSG, i jest dostępna w języku niemieckim
• Lista dostawców jest zsynchronizowana z IAB TCF v2.2 i aktualizowana przy dodawaniu nowych partnerów

Perspektywy na 2026 r.

Zmiana nazwy na TDDDG w 2024 r. nie złagodziła egzekwowania w Niemczech. Jeśli już, DPA są lepiej wyposażone w zasoby i lepiej skoordynowane przez DSK niż dwa lata temu. Trajektoria jest jasna: wymagania dotyczące zgody będą się zaostrzać, kontrola ciemnych wzorców będzie się intensyfikować, a oceny transferu Schrems II staną się standardowym obszarem audytu. Wydawcy i reklamodawcy działający w Niemczech, którzy w 2024–2025 zainwestowali w właściwy stos zgód, są ogólnie w dobrej formie. Ci, którzy odłożyli zgodność z przepisami niemieckimi na później, wchodzą w 2026 r. ze znanymi lukami i rosnącym zainteresowaniem regulacyjnym. Właściwym krokiem jest zamknięcie tych luk teraz — zanim dochodzenie Landesdatenschutzbeauftragte wymusi tę kwestię w harmonogramie, którego nie kontrolujesz.