Súhlas s cookies TTDSG v Nemecku: Sprievodca pre vydavateľov a inzerentov na rok 2026 o zákone o ochrane telekomunikačných a telemediálnych dát
Nemecko je najväčší reklamný trh v kontinentálnej Európe a zároveň jeden z najprísnejších, pokiaľ ide o cookies. Od decembra 2021 nemecké právo pridalo dedikovaný režim súhlasu s cookies — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — nad rámec GDPR. V roku 2024 bol zákon premenovaný na TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), aby sa zosúladil s nariadením EÚ o digitálnych službách, obsah a praktické povinnosti sa však nezmenili. Ak v roku 2026 prevádzkujete digitálnu reklamu, analytiku alebo akékoľvek sledovanie tretích strán na nemeckom trhu, podliehate TTDSG/TDDDG okrem GDPR a nemecké DPA rozhodne nie sú ostýchavé v oblasti presadzovania. Tento sprievodca vysvetľuje, čo zákon zahŕňa, ako sa líši od samotného GDPR a čo váš CMP a reklamný zásobník musia robiť, aby zostali v súlade s predpismi v Nemecku.
Čo TTDSG a TDDDG skutočne regulujú
TTDSG transponuje smernicu EÚ ePrivacy do nemeckého práva s neobvyklou presnosťou. Kým GDPR reguluje spracovanie osobných údajov, TTDSG reguluje akékoľvek ukladanie informácií do terminálového zariadenia používateľa alebo prístup k informáciám, ktoré sú v ňom už uložené — bez ohľadu na to, či sú tieto informácie osobnými údajmi. Jednoducho povedané: každý súbor cookie, každý pixel, každý zápis do lokálneho úložiska, každý skript na snímanie odtlačkov prstov je v rozsahu pôsobnosti, aj keď nezbiera žiadne osobné údaje.
Paragraf 25 — Hlavné pravidlo súhlasu
Kľúčovým ustanovením je paragraf 25 TTDSG (teraz paragraf 25 TDDDG). Zakazuje ukladanie alebo prístup k akýmkoľvek informáciám na terminálnom zariadení používateľa, pokiaľ nie je splnená jedna z dvoch podmienok:
- Používateľ udelil informovaný, dobrovoľný, konkrétny a aktívny súhlas po tom, čo bol informovaný jasným a komplexným spôsobom, alebo
- Ukladanie alebo prístup je nevyhnutne potrebný na poskytovanie telemediálnej služby, o ktorú používateľ výslovne požiadal.
Neexistuje základ oprávneného záujmu. Neexistuje mäkký opt-in. Nemecká interpretácia pojmu nevyhnutne potrebný je užšia ako v mnohých iných európskych jurisdikciách — zahŕňa session cookies, vyrovnávanie záťaže a spracovanie platieb, ale nie analytiku, nie reklamu a nie väčšinu personalizácie.
Interakcia s GDPR
TTDSG nenahrádza GDPR. Nachádza sa nad ním. Aj keď prekonáte prekážku TTDSG pri nastavení cookie, stále potrebujete právny základ GDPR pre akékoľvek následné spracovanie osobných údajov. Čistá pozícia súladu s nemeckými predpismi vyžaduje prejsť oboma bránami. Bežnou chybou je zbieranie súhlasu podľa článku 6 ods. 1 písm. a) GDPR a predpokladanie, že to pokrýva aj TTDSG — pokrýva, za predpokladu, že súhlas spĺňa aj požiadavky TTDSG na konkrétnosť, ktoré sú v niekoľkých ohľadoch prísnejšie ako GDPR.
Ako sa Nemecko líši od zvyšku EÚ
Regulátori v celej EÚ interpretujú ePrivacy trochu odlišnými spôsobmi. Nemecko sa nachádza na prísnom konci spektra v niekoľkých ohľadoch.
Pre analytiku je potrebný výslovný súhlas
Nemecké DPA dôsledne zastávajú stanovisko, že Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel a podobné nástroje vyžadujú súhlas opt-in. Samodzborne hostovaná, anonymizovaná analytika s krátkym uchovávaním môže niekedy splniť podmienky ako nevyhnutne potrebná, ale latka je vysoká a líši sa podľa DPA. Bavorsko, Bádensko-Württembersko, Berlín a Hamburg každý zverejňuje podrobné technické usmernenia a nie sú totožné.
Schrems II a prenosy do USA
Nemecké DPA patria medzi najagresívnejšie v Európe v otázkach prenosu podľa Schrems II. Prevádzkovanie sledovača hosťovaného v USA — dokonca aj s certifikáciou Data Privacy Framework — priťahuje pozornosť, ak je sledovanie rozšírené alebo zahŕňa údaje osobitných kategórií. Datenschutzkonferenz (DSK), spoločný orgán nemeckých federálnych a krajinských DPA, opakovane vydával usmernenia, podľa ktorých telemetria zasielaná sprostredkovateľom v USA bez platného mechanizmu prenosu súčasne porušuje GDPR aj TTDSG.
Temné vzory sú výslovne zakázané
Niekoľko nemeckých DPA vydalo usmernenia na presadzovanie, podľa ktorých potvrdzujúci hanbenie, vopred zaškrtnuté políčka, nerovnaká viditeľnosť tlačidiel a vzory núteného zverejnenia sú nezlučiteľné s platným súhlasom TTDSG. Banner, kde „Prijať všetko” je vizuálne dominantný a „Odmietnuť všetko” je skryté za druhým kliknutím, v nemeckom audite v roku 2026 neuspeje.
Praktické požiadavky CMP pre nemecký trh
Aby ste splnili TTDSG/TDDDG v produkčnom prostredí, vaša platforma na správu súhlasov a správca tagov musia vynucovať niekoľko konkrétnych správaní.
Rovnaká viditeľnosť pre prijatie a odmietnutie
Banner prvej vrstvy musí zobrazovať tlačidlo Odmietnuť všetko s vizuálnou rovnocennosťou k Prijať všetko. Farba, veľkosť, poloha a interakčné náklady musia byť vyvážené. Mnohé CMP dodávajú predvolenú šablónu, ktorá túto požiadavku v nemeckej lokalizácii nespĺňa.
Granularita na úrovni predajcu
Nemeckí regulátori očakávajú, že používatelia budú môcť udeliť súhlas na základe predajca alebo účelu, nie len s jedným globálnym prepínačom. IAB TCF v2.2 spĺňa toto očakávanie, ale len ak je váš zoznam predajcov aktuálny a účely sú jasne vysvetlené.
Blokovanie pred súhlasom
Žiadny skript tretej strany sa nesmie načítať, žiadny súbor cookie sa nesmie zapísať a žiadny pixel sa nesmie aktivovať pred zaznamenením kladného súhlasu. Vzťahuje sa to na Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok a každý reklamný server. Očakávaným vzorom je použitie režimov správy tagov s ohľadom na súhlas — napríklad inicializácia súhlasu v Google Tag Manager.
Odvolateľný jedným kliknutím
Nemecké DPA vyžadujú, aby odvolanie súhlasu bolo také jednoduché ako jeho udelenie. Na každej stránke webu musí byť dostupný trvalý, viditeľný mechanizmus — plávajúce tlačidlo na opätovné otvorenie, odkaz v päte alebo rovnocenná UI funkcia.
Záznamy súhlasov a auditná stopa
TTDSG zdedí článok 7 ods. 1 GDPR: správca musí byť schopný preukázať, že súhlas bol udelený. Uchovávajte záznamy o tom, kedy, ako a na aké účely bol súhlas udelený, ideálne aspoň 36 mesiacov vzhľadom na nemeckú civilnoprávnu premlčaciu lehotu. Väčšina CMP certifikovaných spoločnosťou Google to rieši predvolene.
Mobilné aplikácie a sledovanie SDK
TTDSG sa vzťahuje na mobilné aplikácie s rovnakou silou. Identifikátor pre reklamu na Androide, idfa na iOS, akékoľvek snímanie odtlačkov prstov na úrovni SDK a akékoľvek správanie cookies naprieč aplikáciami podliehajú pravidlu súhlasu.
Parita Android a iOS
V praxi vydavatelia, ktorí sa spoliehajú na výzvu iOS App Tracking Transparency, nemôžu predpokladať, že spĺňa TTDSG — výzva Apple je ovládanie na úrovni platformy a sama o sebe nie je platným súhlasom TTDSG. Potrebujete vrstvu CMP v aplikácii, ktorá zbiera súhlas v súlade s TTDSG pred inicializáciou akéhokoľvek SDK, ktorý nie je nevyhnutne potrebný.
Súhlasové reťazce v aplikácii
Pre reklamu v mobilných aplikáciách musí byť reťazec IAB TCF alebo reťazec IAB GPP vygenerovaný a propagovaný do každého SDK, ktorý sa zúčastňuje na pipeline ponukového konania. Bez platného súhlasového reťazca je každá ponuka právne vystavená bez ohľadu na to, ako SDK konfiguruje vlastné správanie.
Situácia v oblasti presadzovania v roku 2026
Nemecké DPA boli v rokoch 2024 a 2025 výrazne aktívnejšie v oblasti presadzovania TTDSG. Samotný Landesdatenschutzbeauftragte Bavorska otvoril stovky vyšetrovaní ročne a berlínske DPA uložilo pokuty konkrétne uvádzajúc porušenia bannerov cookies.
Doteraz videné pokuty
Samotný TTDSG stanovuje maximálnu administratívnu pokutu 300 000 EUR za porušenie. Keďže však každé porušenie TTDSG je zvyčajne aj porušením GDPR, DPA často uložili vyššiu pokutu GDPR — až 20 miliónov EUR alebo 4 percentá z celosvetového ročného obratu. Vydavatelia a prevádzkovatelia e-commerce na nemeckom trhu by mali plánovať kumulovanú zodpovednosť pri odhadovaní expozície.
Občianskoprávna zodpovednosť
Nemecko patrí medzi málo jurisdikcií EÚ, kde jednotliví používatelia úspešne žalovali o nemajetkovú škodu podľa článku 82 GDPR v súvislosti s porušeniami týkajúcimi sa cookies. Očakávajte, že hromadné spotrebiteľské nároky, často organizované prostredníctvom Verbraucherzentralen a žalobcovských advokátskych kancelárií, budú pokračovať aj v roku 2026.
Kontrolný zoznam pre audit nemeckej návštevnosti
- CMP prezentuje Prijať všetko a Odmietnuť všetko s rovnakou vizuálnou viditeľnosťou v prvej vrstve
- Pred udelením súhlasu sa nenačítajú žiadne cookies, pixely ani skripty tretích strán, vrátane analytiky a A/B testovania
- Ponúka sa granularita podľa účelu a predajcu s popismi účelov v jednoduchom jazyku v nemčine
- Mechanizmus odvolania súhlasu je trvalý a dostupný z každej stránky
- Záznamy súhlasov sa uchovávajú s časovou pečiatkou, verziou súhlasu a udelenými účelmi
- Mobilné aplikácie vynucujú súhlas TTDSG pred inicializáciou akéhokoľvek nevyhnutne nepotrebného SDK, nezávisle od výzvy iOS ATT
- Doplnky k spracovaniu dát a hodnotenia prenosov Schrems II sú zdokumentované pre každého predajcu so sídlom v USA
- Preskúmanie temných vzorov je dokončené podľa najnovšieho usmernenia DSK
- Zásady ochrany súkromia uvádzajú všetkých sprostredkovateľov, samostatne identifikujú právny základ podľa GDPR a základ súhlasu podľa TTDSG a sú dostupné v nemčine
- Zoznam predajcov je synchronizovaný s IAB TCF v2.2 a aktualizovaný pri pridaní nových partnerov
Výhľad na rok 2026
Premenovanie na TDDDG v roku 2024 nezmäkčilo nemecké presadzovanie. Ak vôbec, DPA sú lepšie vybavené zdrojmi a lepšie koordinované prostredníctvom DSK ako pred dvoma rokmi. Trajektória je jasná: súhlasové latky budú stúpať, kontrola temných vzorov sa bude intenzívnejšia a hodnotenia prenosov Schrems II sa stanú štandardným zameraním auditu. Vydavatelia a inzerenti pôsobiaci v Nemecku, ktorí investovali do správneho zásobníka súhlasov v rokoch 2024-2025, sú vo všeobecnosti v dobrej kondícii. Tí, ktorí odložili nemecký súlad na neskôr, vstupujú do roku 2026 so známymi medzerami a rastúcim záujmom regulátorov. Správnym krokom je uzavrieť tieto medzery teraz — skôr ako vyšetrovanie Landesdatenschutzbeauftragte vynúti otázku na časovej osi, ktorú nemáte pod kontrolou.