Soglasje za piškotke TTDSG v Nemčiji: Vodnik za izdajatelje in oglaševalce za leto 2026 o zakonu o varstvu podatkov v telekomunikacijah in telemedijih
Nemčija je največji oglaševalski trg v celinski Evropi in obenem eden od najstrožjih, kar se tiče piškotkov. Od decembra 2021 je nemška zakonodaja dodala poseben režim soglasja za piškotke — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — poleg GDPR. Leta 2024 je bil zakon preimenovan v TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), da bi se uskladil z zakonom EU o digitalnih storitvah, vsebina in praktične obveznosti pa se niso spremenile. Če leta 2026 izvajate digitalno oglaševanje, analitiko ali kakršno koli sledenje tretjih oseb na nemškem trgu, ste poleg GDPR zavezani tudi TTDSG/TDDDG, nemški DPA pa so daleč od zadržanosti pri izvrševanju. Ta vodnik pojasnjuje, kaj zakon zajema, kako se razlikuje od samega GDPR in kaj mora vaša platforma CMP in oglaševalski sklad narediti, da ostanete skladni v Nemčiji.
Kaj TTDSG in TDDDG dejansko urejata
TTDSG prenaša direktivo EU ePrivacy v nemško pravo z nenavadno natančnostjo. Medtem ko GDPR ureja obdelavo osebnih podatkov, TTDSG ureja kakršno koli shranjevanje informacij v terminalni opremi uporabnika ali dostop do informacij, ki so že shranjene v njej — ne glede na to, ali so te informacije osebni podatki. V preprostih besedah: vsak piškotek, vsak piksel, vsak vpis v lokalno shrambo, vsak skript za prstni odtis je v obsegu, celo če ne zbira nobenih osebnih podatkov.
Člen 25 — Osnovno pravilo soglasja
Ključna določba je člen 25 TTDSG (zdaj člen 25 TDDDG). Prepoveduje shranjevanje ali dostop do kakršnih koli informacij na terminalni opremi uporabnika, razen če je izpolnjen eden od dveh pogojev:
- Uporabnik je podal informirano, prostovoljno, specifično in aktivno soglasje po tem, ko je bil obveščen na jasen in celovit način, ali
- Shranjevanje ali dostop je nujno potreben za zagotavljanje telemedialne storitve, ki jo je uporabnik izrecno zahteval.
Ni osnove zakonitega interesa. Ni mehke privolitve. Nemška interpretacija pojma nujno potreben je ožja kot v mnogih drugih evropskih jurisdikcijah — zajema piškotke seje, uravnavanje obremenitve in obdelavo plačil, ne pa analitike, oglaševanja in večine personalizacije.
Interakcija z GDPR
TTDSG ne nadomešča GDPR. Stoji nad njim. Čeprav preseži oviro TTDSG za dejanje nastavitve piškotka, še vedno potrebujete zakonito podlago GDPR za kakršno koli nadaljnjo obdelavo osebnih podatkov. Čista skladnost z nemškimi predpisi zahteva prehod skozi obe vrati. Pogosta napaka je zbiranje soglasja na podlagi člena 6(1)(a) GDPR in predpostavka, da to zajema tudi TTDSG — zajema, pod pogojem, da soglasje izpolnjuje tudi zahteve po specifičnosti TTDSG, ki so v več pogledih strožje od GDPR.
Kako se Nemčija razlikuje od preostale EU
Regulatorji po vsej EU razlagajo ePrivacy na nekoliko različne načine. Nemčija je na strogem koncu spektra v več pogledih.
Za analitiko je potrebno izrecno soglasje
Nemški DPA so dosledno ugotavljali, da Google Analytics, Matomo (oblak), Adobe Analytics, Mixpanel in podobna orodja zahtevajo soglasje opt-in. Samogostovana, anonimizirana analitika s kratkim hranjenjem se včasih lahko kvalificira kot nujno potrebna, vendar je merilo visoko in se razlikuje med posameznimi DPA. Bavarska, Baden-Württemberg, Berlin in Hamburg vsak objavljajo podrobne tehnične smernice, ki niso enake.
Schrems II in prenosi v ZDA
Nemški DPA so bili med najbolj agresivnimi v Evropi pri vprašanjih prenosa Schrems II. Upravljanje sledilnika, ki gostuje v ZDA — celo z certifikacijo Data Privacy Framework — pritegne nadzor, če je sledenje vseprisotno ali vključuje podatke posebnih kategorij. Datenschutzkonferenz (DSK), skupni organ nemških zveznih in deželnih DPA, je večkrat izdal smernice, da telemetrija, poslana obdelovalcem v ZDA brez veljavnega mehanizma prenosa, hkrati krši tako GDPR kot TTDSG.
Temni vzorci so izrecno prepovedani
Več nemških DPA je izdalo smernice za izvajanje, da so sramotenje s potrditvijo, vnaprej označena potrditvena polja, neenakovredna vidnost gumbov in vzorci prisilnega razkritja nezdružljivi z veljavnim soglasjem TTDSG. Pasica, kjer je „Sprejmi vse” vizualno prevladujoč in „Zavrni vse” skrit za drugim klikom, ne bo prestala nemške revizije leta 2026.
Praktične zahteve za CMP za nemški trg
Za izpolnitev TTDSG/TDDDG v produkcijskem okolju mora vaša platforma za upravljanje soglasij in upravljalnik oznak uveljavljati več specifičnih vedenj.
Enaka vidnost za sprejemanje in zavrnitev
Pasica prve plasti mora prikazati gumb Zavrni vse z vizualno enakovrednostjo z Sprejmi vse. Barva, velikost, položaj in strošek interakcije morajo biti uravnoteženi. Številni CMP-ji dobavljajo privzeto predlogo, ki te zahteve v nemški lokalizaciji ne izpolnjuje.
Granularnost na ravni ponudnika
Nemški regulatorji pričakujejo, da bodo uporabniki lahko podali soglasje na osnovi posameznega ponudnika ali namena, ne le z enim globalnim stikalom. IAB TCF v2.2 izpolnjuje to pričakovanje, a le, če je vaš seznam ponudnikov aktualen in so nameni jasno razloženi.
Blokiranje pred soglasjem
Noben skript tretje osebe se ne sme naložiti, noben piškotek se ne sme zapisati in noben piksel se ne sme aktivirati, preden je zabeleženo pritrdilno soglasje. To velja za Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok in vsak oglaševalski strežnik. Uporaba načinov upravljanja oznak, ki upoštevajo soglasje — kot je inicializacija soglasja v Google Tag Manager — je pričakovani vzorec.
Preklicno z enim klikom
Nemški DPA zahtevajo, da je preklic soglasja enako enostaven kot njegovo podajanje. Na vsaki strani spletnega mesta mora biti na voljo trajen, viden mehanizem — lebdeči gumb za ponovno odpiranje, povezava v nogi ali enakovredna funkcija UI.
Evidence soglasij in revizijska sled
TTDSG podeduje člen 7(1) GDPR: upravljavec mora biti sposoben dokazati, da je bilo soglasje podano. Hranite evidence, kdaj, kako in za katere namene je bilo soglasje podano — idealno vsaj 36 mesecev glede na nemški civilnopravni zastaralni rok. Večina CMP-jev, ki jih je certificiral Google, to privzeto obravnava.
Mobilne aplikacije in sledenje SDK
TTDSG se z enako silo nanaša na mobilne aplikacije. Identifikator za oglaševanje na Androidu, idfa na iOS, kakršno koli prstni odtis na ravni SDK in kakršno koli vedenje piškotkov med aplikacijami so vse zavezane pravilom soglasja.
Paritetnost Android in iOS
V praksi izdajatelji, ki se zanašajo na poziv iOS App Tracking Transparency, ne morejo predpostavljati, da izpolnjuje TTDSG — Applov poziv je nadzor na ravni platforme in sam po sebi ni veljavno soglasje TTDSG. Potrebujete plast CMP znotraj aplikacije, ki zbira soglasje v skladu s TTDSG, preden se inicializira kateri koli SDK, ki ni nujno potreben.
Nizi soglasij znotraj aplikacije
Za oglaševanje v mobilnih aplikacijah mora biti niz IAB TCF ali niz IAB GPP ustvarjen in razširjen na vsak SDK, ki sodeluje v cevovodu dražbe. Brez veljavnega niza soglasja je vsaka ponudba pravno izpostavljena ne glede na to, kako SDK konfigurira lastno vedenje.
Izvajalno okolje leta 2026
Nemški DPA so v letih 2024 in 2025 postali bistveno bolj aktivni pri izvrševanju TTDSG. Sam Landesdatenschutzbeauftragte Bavarske je na leto odprl na stotine preiskav, berlinski DPA pa je izdal globe, ki konkretno navajajo kršitve pasice s piškotki.
Doslej videne globe
TTDSG sam določa največ upravno globo 300.000 EUR za kršitev. Ker pa je vsaka kršitev TTDSG tipično tudi kršitev GDPR, so DPA-ji pogosto naložili višjo kazen GDPR — do 20 milijonov EUR ali 4 odstotke globalnega letnega prometa. Izdajatelji in upravljalci e-trgovine na nemškem trgu bi morali pri ocenjevanju izpostavljenosti načrtovati kumulativno odgovornost.
Civilna odgovornost
Nemčija je ena redkih jurisdikcij EU, kjer so posamezni uporabniki uspešno tožili za nepremoženjsko škodo na podlagi člena 82 GDPR v zvezi s kršitvami piškotkov. Pričakujte, da se bodo množične potrošniške tožbe, ki jih pogosto organizirajo Verbraucherzentralen in odvetniške pisarne tožnikov, nadaljevale leta 2026.
Kontrolni seznam revizije za nemški promet
- CMP na prvi plasti prikazuje Sprejmi vse in Zavrni vse z enako vizualno vidnostjo
- Pred soglasjem se ne naložijo piškotki, piksli ali skripti tretjih oseb, vključno z analitiko in testiranjem A/B
- Ponuja se granularnost po namenu in ponudniku z opisi namenov v enostavnem jeziku v nemščini
- Mehanizem za preklic soglasja je trajen in dostopen z vsake strani
- Evidence soglasij se hranijo s časovnim žigom, različico soglasja in odobrenimi nameni
- Mobilne aplikacije uveljavljajo soglasje TTDSG pred inicializacijo katerega koli nujno nepotrebnega SDK, neodvisno od poziva iOS ATT
- Dodatki k obdelavi podatkov in ocene prenosa Schrems II so dokumentirani za vsakega ponudnika s sedežem v ZDA
- Pregled temnih vzorcev je dokončan glede na najnovejše smernice DSK
- Politika zasebnosti navaja vse obdelovalce, ločeno identificira zakonito podlago po GDPR in podlago soglasja po TTDSG ter je na voljo v nemščini
- Seznam ponudnikov je sinhroniziran z IAB TCF v2.2 in posodobljen, ko se dodajajo novi partnerji
Obeti za leto 2026
Preimenovanje v TDDDG leta 2024 ni omililo nemškega izvrševanja. Če že, so DPA-ji bolje opremljeni z viri in bolje usklajeni prek DSK kot pred dvema letoma. Smer je jasna: letve soglasij bodo višje, nadzor temnih vzorcev se bo intenziviroval in ocene prenosa Schrems II bodo postale standardno revizijsko žarišče. Izdajatelji in oglaševalci, ki delujejo v Nemčiji in so v letih 2024-2025 investirali v ustrezen sklad soglasij, so na splošno v dobri formi. Tisti, ki so nemško skladnost pustili za pozneje, vstopajo v leto 2026 z znanimi vrzelmi in vse večjim regulatornim zanimanjem. Pravi korak je zapolniti te vrzeli zdaj — preden preiskava Landesdatenschutzbeauftragte ne vsili vprašanja v časovnem okviru, ki ga ne nadzorujete.