Nemačka TTDSG saglasnost za kolačiće: Vodič za 2026. godinu za izdavače i oglašivače o Zakonu o zaštiti podataka u telekomunikacijama i telemedijimu
Nemačka je najveće tržište oglašavanja u kontinentalnoj Evropi i istovremeno jedno od najstrožih kada je reč o kolačićima. Od decembra 2021. godine, nemački zakon je uveo poseban režim saglasnosti za kolačiće — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — povrh GDPR-a. Godine 2024. zakon je preimenovan u TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) radi usklađivanja sa EU Aktom o digitalnim uslugama, ali suština i praktične obaveze se nisu promenile. Ako vodite digitalno oglašavanje, analitiku ili bilo kakvo praćenje trećih strana na nemačkom tržištu u 2026. godini, podležete TTDSG/TDDDG pored GDPR-a, a nemački DPA-ovi nisu nimalo uzdržani u sprovođenju. Ovaj vodič objašnjava šta zakon pokriva, kako se razlikuje od samog GDPR-a i šta vaša CMP i oglasnički stek moraju da urade da bi ostali u skladu sa propisima u Nemačkoj.
Šta zapravo regulišu TTDSG i TDDDG
TTDSG prenosi EU Direktivu o ePrivacy u nemački zakon sa neobičnom preciznošću. Dok GDPR reguliše obradu ličnih podataka, TTDSG reguliše svako skladištenje informacija u, ili pristup informacijama već uskladištenim na, terminalnoj opremi korisnika — bez obzira na to da li su te informacije lični podaci. U praktičnom smislu: svaki kolačić, svaki piksel, svaki zapis u lokalnom skladištu, svaka skripta za otisak prsta je u opsegu, čak i ako ne prikuplja ni jedan lični podatak.
Odeljak 25 — Osnovno pravilo o saglasnosti
Ključna odredba je Odeljak 25 TTDSG-a (sada Odeljak 25 TDDDG-a). On zabranjuje skladištenje ili pristup bilo kojoj informaciji na terminalnoj opremi korisnika osim ako nije ispunjen jedan od dva uslova:
- Korisnik je dao informisanu, dobrovoljnu, specifičnu i aktivnu saglasnost nakon što je obavešten na jasan i sveobuhvatan način, ili
- Skladištenje ili pristup je strogo neophodni za pružanje telemedia usluge koju je korisnik izričito zatražio.
Ne postoji osnova legitimnog interesa. Ne postoji meko pristajanje. Nemacko tumačenje strogo neophodni je uže od mnogih drugih evropskih jurisdikcija — obuhvata kolačiće sesije, balansiranje opterećenja i obradu plaćanja, ali ne i analitiku, ne i oglašavanje i ne i većinu personalizacije.
Interakcija sa GDPR-om
TTDSG ne zamenjuje GDPR. Nalazi se povrh njega. Čak i ako pređete prepreku TTDSG-a za sam čin postavljanja kolačića, još uvek vam je potrebna zakonita osnova prema GDPR-u za svaku obradu ličnih podataka koja sledi. Čist nemački usaglašeni stav zahteva prolazak kroz oba prolaza. Česta greška je prikupljanje saglasnosti prema Članu 6(1)(a) GDPR-a i pretpostavka da to pokriva i TTDSG — pokriva, pod uslovom da saglasnost ispunjava i zahteve specifičnosti TTDSG-a, koji su u nekoliko aspekata stroži od GDPR-ovih.
Kako se Nemačka razlikuje od ostatka EU
Regulatori širom EU tumače ePrivacy na nešto različite načine. Nemačka je na strogom kraju spektra u nekoliko pogleda.
Potrebna eksplicitna saglasnost za analitiku
Nemački DPA-ovi su dosljedno zastupali stav da Google Analytics, Matomo (cloud), Adobe Analytics, Mixpanel i slični alati zahtevaju saglasnost za pristajanje. Samostalno hostovana, anonimizovana analitika sa kratkim periodom čuvanja može se ponekad kvalifikovati kao strogo neophodna, ali je letvica visoka i varira u zavisnosti od DPA-a. Bavarska, Baden-Virtemberg, Berlin i Hamburg svaki objavljuju detaljna tehnička uputstva, i ona nisu identična.
Schrems II i prenosi u SAD
Nemački DPA-ovi su bili među najagresivnijima u Evropi po pitanju Schrems II prenosa. Pokretanje pratioca koji se hostuje u SAD-u — čak i sa sertifikatom Data Privacy Framework — privlači pažnju ako je praćenje sveobuhvatno ili uključuje podatke posebnih kategorija. Datenschutzkonferenz (DSK), zajednički organ nemačkih saveznih i državnih DPA-ova, izdao je ponavljana uputstva da telemetrija koja se šalje US procesorima bez valjane mehanizma prenosa krši i GDPR i TTDSG istovremeno.
Mračni obrasci izričito zabranjeni
Nekoliko nemačkih DPA-ova je izdalo uputstva za sprovođenje da su sramoćenje potvrdom, unapred označena polja za potvrdu, nejednaka istaknutost dugmadi i obrasci prisilnog otkrivanja nespojivi sa važećom TTDSG saglasnošću. Baner na kome je „Prihvati sve” vizualno dominantno a „Odbij sve” skriveno iza drugog klika neće proći nemački reviziju u 2026.
Praktični zahtevi CMP-a za nemačko tržište
Da biste zadovoljili TTDSG/TDDDG u produkcijskom okruženju, vaša platforma za upravljanje saglasnošću i menadžer tagova moraju da primenjuju nekoliko specifičnih ponašanja.
Jednaka istaknutost za prihvatanje i odbijanje
Baner prvog sloja mora prikazivati dugme Odbij sve sa vizuelnom ravnopravnošću sa Prihvati sve. Boja, veličina, pozicija i cena interakcije moraju biti uravnoteženi. Mnoge CMP-ove isporučuju podrazumevani šablon koji ne zadovoljava ovaj standard u njihovom nemačkom lokalitetu.
Granularnost po prodavcu
Nemački regulatori očekuju da korisnici mogu da daju saglasnost po prodavcu ili po svrsi, a ne samo jedan globalni prekidač. IAB TCF v2.2 ispunjava ovo očekivanje, ali samo ako je vaša lista prodavaca ažurna i svrhe su jasno objašnjene.
Blokiranje pre saglasnosti
Nijedna skripta trećih strana ne sme da se učita, nijedan kolačić ne sme da se napiše i nijedan piksel ne sme da se aktivira pre nego što se zabeleži pozitivna saglasnost. Ovo se odnosi na Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok i svaki server za oglase. Upotreba režima upravljanja tagovima koji su svesni saglasnosti — kao što je inicijalizacija saglasnosti u Google Tag Manager-u — je očekivani obrazac.
Povlačenje jednim klikom
Nemački DPA-ovi zahtevaju da povlačenje saglasnosti bude jednako lako kao i njeno davanje. Persistentni, vidljivi mehanizam — plutajuće dugme za ponovno otvaranje, veza u podnožju stranice ili ekvivalentna UI pratnja — mora biti dostupan na svakoj stranici sajta.
Evidencije saglasnosti i trag revizije
TTDSG nasleđuje Član 7(1) GDPR-a: kontrolor mora biti u stanju da dokaže da je saglasnost data. Čuvajte evidencije o tome kada, kako i za koje svrhe je saglasnost data, idealno najmanje 36 meseci s obzirom na nemački zakon o zastarelosti građanskih potraživanja. Većina Google-sertifikovanih CMP-ova ovo po default-u rešava.
Mobilne aplikacije i praćenje putem SDK-a
TTDSG se primenjuje na mobilne aplikacije sa jednakom snagom. Identifikator za oglašavanje na Android-u, idfa na iOS-u, svako otiskivanje prstiju na nivou SDK-a i svako ponašanje kolačića između aplikacija podložni su pravilu saglasnosti.
Paritet Android-a i iOS-a
U praksi, izdavači koji se oslanjaju na iOS App Tracking Transparency upit ne mogu pretpostavljati da on zadovoljava TTDSG — Apple-ov upit je kontrola na nivou platforme i sam po sebi nije važeća TTDSG saglasnost. Potreban vam je unutar-aplikacijski CMP sloj koji prikuplja TTDSG-usaglašenu saglasnost pre nego što se inicijalizuje bilo koji SDK koji nije strogo neophodan.
Nizovi saglasnosti unutar aplikacija
Za oglašavanje u mobilnim aplikacijama, IAB TCF niz ili IAB GPP niz mora biti generisan i propagiran svakom SDK-u koji učestvuje u cevovodu za licitiranje. Bez važećeg niza saglasnosti, svaka ponuda je pravno izložena bez obzira na to kako SDK konfiguriše sopstveno ponašanje.
Landscape sprovođenja u 2026.
Nemački DPA-ovi su postali znatno aktivniji u sprovođenju TTDSG-a u 2024. i 2025. godini. Landesdatenschutzbeauftragte Bavarske samo je otvorila stotine istraga godišnje, a berlinski DPA je izrekao novčane kazne posebno citirajući kršenja banera sa kolačićima.
Do sada viđene kazne
Sam TTDSG propisuje maksimalnu administrativnu kaznu od EUR 300.000 po kršenju. Ali pošto je svako kršenje TTDSG-a obično i kršenje GDPR-a, DPA-ovi su često koristili višu kaznu po GDPR-u — do EUR 20 miliona ili 4 procenta globalnog godišnjeg prometa. Izdavači i operatori e-commerce-a na nemačkom tržištu treba da planiraju za kumulativnu odgovornost pri proceni izloženosti.
Građanska odgovornost
Nemačka je jedna od retkih EU jurisdikcija gde su individualni korisnici uspešno tužili za nematerijalnu štetu prema Članu 82 GDPR-a u vezi sa kršenjima kolačića. Očekujte masovne zahteve potrošača, koji se često organizuju putem Verbraucherzentralen i advokatskih firmi tužilaca, da će se nastaviti u 2026.
Lista za proveru revizije za nemački saobraćaj
- CMP prikazuje Prihvati sve i Odbij sve sa jednakom vizuelnom istaknošću na prvom sloju
- Nijedan kolačić, piksel ili skripta treće strane se ne učitava pre saglasnosti, uključujući analitiku i A/B testiranje
- Granularnost po svrsi i po prodavcu je ponuđena, sa opisima svrhe na jednostavnom jeziku na nemačkom
- Mehanizam za povlačenje saglasnosti je persistentan i dostupan sa svake stranice
- Evidencije saglasnosti se čuvaju sa vremenskim pečatom, verzijom saglasnosti i odobrenim svrhama
- Mobilne aplikacije primenjuju TTDSG saglasnost pre inicijalizacije bilo kog SDK-a koji nije strogo neophodan, nezavisno od iOS ATT upita
- Dodaci za obradu podataka i procene prenosa Schrems II su dokumentovane za svakog prodavca baziranog u SAD-u
- Pregled mračnih obrazaca je završen u skladu sa najnovijim DSK uputstvima
- Politika privatnosti navodi sve procesore, identifikuje zakonitu osnovu prema GDPR-u i osnovu saglasnosti prema TTDSG-u odvojeno, i dostupna je na nemačkom
- Lista prodavaca je sinhronizovana sa IAB TCF v2.2 i ažurira se kada se dodaju novi partneri
Izgled 2026. godine
Preimenovanje u TDDDG 2024. godine nije ublažilo nemačko sprovođenje. Ako ikada, DPA-ovi su bolje opremljeni i koordinovaniji putem DSK nego što su bili pre dve godine. Putanja je jasna: pragovi saglasnosti će rasti, nadzor mračnih obrazaca će se intenziviati, a procene prenosa Schrems II postaće standardni fokus revizije. Izdavači i oglašivači koji posluju u Nemačkoj a koji su investirali u pravi stek saglasnosti u 2024-2025. godini su uglavnom u dobroj poziciji. Oni koji su nemački usaglašenost ostavili za kasnije ulaze u 2026. sa poznatim prazninama i rastućim regulatornim interesovanjem. Pravi potez je zatvaranje tih praznina sada — pre nego što istraga Landesdatenschutzbeauftragte ne nametne pitanje u vremenskom okviru koji ne kontrolišete.