Что на самом деле регулируют TTDSG и TDDDG

TTDSG переносит Директиву ЕС об ePrivacy в немецкое право с необычной точностью. Если GDPR регулирует обработку персональных данных, TTDSG регулирует любое хранение информации на оконечном оборудовании пользователя или доступ к информации, уже хранящейся на нём — независимо от того, являются ли эти данные персональными. Проще говоря: каждый cookie, каждый пиксель, каждая запись в локальное хранилище, каждый скрипт снятия отпечатков попадает в сферу действия, даже если он не собирает никаких персональных данных.

Раздел 25 — основное правило согласия

Ключевое положение — Раздел 25 TTDSG (теперь Раздел 25 TDDDG). Он запрещает хранение или доступ к любой информации на оконечном оборудовании пользователя, если не выполнено одно из двух условий:

• Пользователь дал информированное, добровольное, конкретное и активное согласие после того, как был проинформирован чётким и исчерпывающим образом, или
• Хранение или доступ строго необходимы для предоставления телемедиа-услуги, которую пользователь явно запросил.

Нет основания законного интереса. Нет мягкого opt-in. Немецкая интерпретация строго необходимого уже, чем во многих других европейских юрисдикциях — она охватывает сессионные cookie, балансировку нагрузки и обработку платежей, но не аналитику, не рекламу и не большую часть персонализации.

Взаимодействие с GDPR

TTDSG не заменяет GDPR. Он находится поверх него. Даже если вы преодолели барьер TTDSG для акта установки cookie, вам всё равно нужно законное основание GDPR для любой последующей обработки персональных данных. Чистая немецкая позиция соответствия требует прохождения обоих барьеров. Распространённая ошибка — собирать согласие по статье 6(1)(a) GDPR и предполагать, что это покрывает и TTDSG — это так, при условии, что согласие также отвечает требованиям конкретности TTDSG, которые строже, чем у GDPR, в нескольких отношениях.

Чем Германия отличается от остальной части ЕС

Регуляторы по всему ЕС интерпретируют ePrivacy несколько по-разному. Германия находится на строгом конце спектра по нескольким пунктам.

Явное согласие требуется для аналитики

Немецкие органы по защите данных последовательно придерживались мнения, что Google Analytics, Matomo (облако), Adobe Analytics, Mixpanel и аналогичные инструменты требуют opt-in согласия. Самостоятельно размещённая, анонимизированная аналитика с коротким сроком хранения иногда может квалифицироваться как строго необходимая, но планка высока и варьируется в зависимости от органа. Бавария, Баден-Вюртемберг, Берлин и Гамбург каждый публикуют подробные технические рекомендации, и они не идентичны.

Schrems II и передачи в США

Немецкие органы по защите данных были одними из самых агрессивных в Европе в вопросах передачи по Schrems II. Использование размещённого в США трекера — даже с сертификацией Data Privacy Framework — привлекает внимание, если отслеживание носит всеобъемлющий характер или связано с данными особой категории. Datenschutzkonferenz (DSK), совместный орган немецких федеральных и земельных органов по защите данных, неоднократно выпускал рекомендации о том, что телеметрия, отправляемая обработчикам в США без действительного механизма передачи, нарушает одновременно и GDPR, и TTDSG.

Тёмные паттерны явно запрещены

Несколько немецких органов по защите данных выпустили рекомендации по правоприменению о том, что пристыжение при подтверждении, предварительно выбранные флажки, неравная заметность кнопок и паттерны принудительного раскрытия несовместимы с действительным согласием по TTDSG. Баннер, где «Принять всё» визуально доминирует, а «Отклонить всё» спрятано за вторым кликом, не пройдёт немецкий аудит в 2026 году.

Практические требования к CMP для немецкого рынка

Чтобы соответствовать TTDSG/TDDDG в производственной среде, ваша платформа управления согласием и менеджер тегов должны обеспечивать несколько конкретных моделей поведения.

Равная заметность для «Принять» и «Отклонить»

Баннер первого уровня должен показывать кнопку «Отклонить всё» с визуальным паритетом с «Принять всё». Цвет, размер, положение и стоимость взаимодействия должны быть сбалансированы. Многие CMP поставляются с шаблоном по умолчанию, который не отвечает этой планке в их немецкой локали.

Гранулярность по каждому поставщику

Немецкие регуляторы ожидают, что пользователи смогут давать согласие на уровне отдельных поставщиков или целей, а не просто одним глобальным переключателем. IAB TCF v2.2 отвечает этому ожиданию, но только если ваш список поставщиков актуален, а цели понятно объяснены.

Блокировка до согласия

Никакой сторонний скрипт не может загружаться, никакой cookie не может быть записан, и никакой пиксель не может сработать до записи утвердительного согласия. Это применимо к Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok и каждому рекламному серверу. Использование режимов управления тегами с учётом согласия — таких как инициализация согласия Google Tag Manager — является ожидаемым паттерном.

Отзывное одним кликом

Немецкие органы по защите данных требуют, чтобы отзыв согласия был так же прост, как и его предоставление. Постоянный, видимый механизм — плавающая кнопка повторного открытия, ссылка в подвале или эквивалентный элемент UI — должен быть доступен на каждой странице сайта.

Записи согласия и аудиторский след

TTDSG наследует статью 7(1) GDPR: контролёр должен иметь возможность продемонстрировать, что согласие было дано. Сохраняйте записи о том, когда, как и для каких целей было предоставлено согласие, в идеале не менее 36 месяцев с учётом немецкого гражданского срока исковой давности. Большинство сертифицированных Google CMP обрабатывают это по умолчанию.

Мобильные приложения и отслеживание SDK

TTDSG применяется к мобильным приложениям с равной силой. Идентификатор для рекламы на Android, idfa на iOS, любое снятие отпечатков на уровне SDK и любое межприложное поведение cookie — всё это подпадает под правило согласия.

Паритет Android и iOS

На практике издатели, которые полагаются на запрос App Tracking Transparency в iOS, не могут предполагать, что он удовлетворяет TTDSG — запрос Apple является контролем на уровне платформы, а не действительным согласием по TTDSG сам по себе. Вам нужен внутриприложный уровень CMP, который собирает соответствующее TTDSG согласие до инициализации любого не строго необходимого SDK.

Внутриприложные строки согласия

Для рекламы в мобильных приложениях строка IAB TCF или строка IAB GPP должна генерироваться и распространяться на каждый SDK, участвующий в конвейере ставок. Без действительной строки согласия каждая ставка юридически уязвима независимо от того, как SDK конфигурирует своё собственное поведение.

Ландшафт правоприменения в 2026 году

Немецкие органы по защите данных стали значительно более активными в правоприменении TTDSG в 2024 и 2025 годах. Только Landesdatenschutzbeauftragte Баварии открывает сотни расследований в год, а Берлинский орган по защите данных выпустил штрафы, конкретно ссылающиеся на нарушения cookie-баннеров.

Штрафы, увиденные до сих пор

Сам TTDSG устанавливает максимальный административный штраф в 300 000 евро за нарушение. Но поскольку любое нарушение TTDSG обычно является также нарушением GDPR, органы по защите данных часто складывали более высокий штраф GDPR — до 20 миллионов евро или 4 процентов от мирового годового оборота. Издатели и операторы электронной коммерции на немецком рынке должны планировать сложенную ответственность при оценке рисков.

Гражданская ответственность

Германия — одна из немногих юрисдикций ЕС, где отдельные пользователи успешно подавали в суд за нематериальный ущерб по статье 82 GDPR в связи с нарушениями cookie. Ожидайте, что массовые потребительские иски, часто организованные через Verbraucherzentralen и юридические фирмы истцов, продолжатся в 2026 году.

Чек-лист аудита для немецкого трафика

• CMP представляет «Принять всё» и «Отклонить всё» с равной визуальной заметностью на первом уровне
• Никакие cookie, пиксели или сторонние скрипты не загружаются до согласия, включая аналитику и A/B-тестирование
• Предлагается гранулярность по целям и поставщикам, с описаниями целей на простом немецком языке
• Механизм отзыва согласия постоянен и доступен с каждой страницы
• Записи согласия сохраняются с меткой времени, версией согласия и предоставленными целями
• Мобильные приложения обеспечивают согласие по TTDSG до инициализации любого не строго необходимого SDK, независимо от запроса iOS ATT
• Дополнения об обработке данных и оценки передачи по Schrems II задокументированы для каждого поставщика из США
• Проверка тёмных паттернов завершена в соответствии с последними рекомендациями DSK
• Политика конфиденциальности называет всех обработчиков, отдельно определяет законное основание по GDPR и основание согласия по TTDSG и доступна на немецком языке
• Список поставщиков синхронизирован с IAB TCF v2.2 и обновляется при добавлении новых партнёров

Перспективы на 2026 год

Ребрендинг в TDDDG в 2024 году не смягчил немецкое правоприменение. Если уж на то пошло, органы по защите данных лучше обеспечены ресурсами и более скоординированы через DSK, чем два года назад. Траектория ясна: барьеры согласия будут расти, проверка тёмных паттернов усилится, а оценки передачи по Schrems II станут стандартным фокусом аудита. Издатели и рекламодатели, работающие в Германии, которые инвестировали в надлежащий стек согласия в 2024-2025 годах, в целом в хорошей форме. Те, кто отложил немецкое соответствие на потом, входят в 2026 год с известными пробелами и растущим интересом регуляторов. Правильный шаг — закрыть эти пробелы сейчас — до того, как расследование Landesdatenschutzbeauftragte навяжет этот вопрос в сроки, которые вы не контролируете.