Tysklands TTDSG cookie-samtycke: 2026 års guide för utgivare och annonsörer till lagen om dataskydd inom telekommunikation och telemedia
Tyskland är den största reklammarknaden i kontinentala Europa och är också en av de strängaste när det gäller cookies. Sedan december 2021 har tysk lag lagt till ett dedikerat cookie-samtyckesregime — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — ovanpå GDPR. År 2024 döptes lagen om till TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) för att anpassas till EU:s lag om digitala tjänster, men substansen och dess praktiska skyldigheter har inte förändrats. Om du driver digital annonsering, analys eller någon tredjepartsspårning på den tyska marknaden 2026, omfattas du av TTDSG/TDDDG utöver GDPR, och tyska DPA:er är långt ifrån blygsamma när det gäller verkställighet. Den här guiden förklarar vad lagen täcker, hur den skiljer sig från GDPR ensamt och vad din CMP och ditt annonssystem behöver göra för att förbli i överensstämmelse i Tyskland.
Vad TTDSG och TDDDG faktiskt reglerar
TTDSG implementerar EU:s ePrivacy-direktiv i tysk lag med ovanlig precision. Medan GDPR reglerar behandling av personuppgifter, reglerar TTDSG all lagring av information i, eller åtkomst till information som redan lagrats på, en användares terminalutrustning — oavsett om den informationen är personuppgifter. I klartext: varje cookie, varje pixel, varje local storage-skrivning, varje fingeravtrycksskript är i omfång, även om det inte samlar in några personuppgifter alls.
§ 25 — Den grundläggande samtyckesregeln
Den centrala bestämmelsen är § 25 i TTDSG (nu § 25 TDDDG). Den förbjuder lagring eller åtkomst till information på en användares terminalutrustning om inte ett av två villkor är uppfyllt:
- Användaren har gett informerat, frivilligt, specifikt och aktivt samtycke efter att ha informerats på ett tydligt och heltäckande sätt, eller
- Lagringen eller åtkomsten är strikt nödvändig för att tillhandahålla en telemediatjänst som användaren uttryckligen har begärt.
Det finns ingen grund för berättigat intresse. Det finns inget mjukt opt-in. Den tyska tolkningen av strikt nödvändig är snävare än många andra europeiska jurisdiktioner — den täcker sessions-cookies, lastbalansering och betalningsbehandling, men inte analys, inte annonsering och inte de flesta anpassningar.
Samspel med GDPR
TTDSG ersätter inte GDPR. Den ligger ovanpå den. Även om du klarar TTDSG-hindret för själva handlingen att sätta en cookie, behöver du fortfarande en rättslig grund enligt GDPR för all personuppgiftsbehandling som följer. En ren tysk efterlevnadsposition kräver att du klarar båda portarna. Ett vanligt misstag är att samla in samtycke enligt GDPR:s artikel 6(1)(a) och anta att det täcker TTDSG också — det gör det, förutsatt att samtycket också uppfyller TTDSG:s specificitetskrav, som är strängare än GDPR:s i flera avseenden.
Hur Tyskland skiljer sig från resten av EU
Reglerare i hela EU tolkar ePrivacy på något olika sätt. Tyskland befinner sig i den strikta änden av spektrumet i flera avseenden.
Uttryckligt samtycke krävs för analys
Tyska DPA:er har konsekvent hållit att Google Analytics, Matomo (moln), Adobe Analytics, Mixpanel och liknande verktyg kräver opt-in-samtycke. Självhostad, anonymiserad analys med kort lagringstid kan ibland kvalificera sig som strikt nödvändig, men ribban är hög och varierar beroende på DPA. Bayern, Baden-Württemberg, Berlin och Hamburg publicerar var och en detaljerad teknisk vägledning, och de är inte identiska.
Schrems II och USA-överföringar
Tyska DPA:er har varit bland de mest aggressiva i Europa när det gäller Schrems II-överföringsfrågor. Att köra en USA-hostad tracker — även med en Data Privacy Framework-certifiering — väcker granskning om spårningen är genomgripande eller involverar data av särskild kategori. Datenschutzkonferenz (DSK), det gemensamma organet för tyska federala och statliga DPA:er, har utfärdat upprepade riktlinjer om att telemetri som skickas till US-processorer utan en giltig överföringsmekanism bryter mot både GDPR och TTDSG samtidigt.
Mörka mönster uttryckligen förbjudna
Flera tyska DPA:er har utfärdat verkställighetsvägledning om att bekräftelseskam, förvalda kryssrutor, ojämlik knappframträdande och tvångande avslöjningsmönster är oförenliga med giltigt TTDSG-samtycke. En banner där „Acceptera alla” är visuellt dominerande och „Avvisa alla” är gömd bakom ett andra klick kommer att misslyckas en tysk granskning 2026.
Praktiska CMP-krav för den tyska marknaden
För att tillfredsställa TTDSG/TDDDG i en produktionsmiljö måste din samtyckeshanteringsplattform och tagghanterare genomdriva flera specifika beteenden.
Likvärdig framträdande för acceptera och avvisa
Det första lagrets banner måste visa en Avvisa alla-knapp med visuell paritet till Acceptera alla. Färg, storlek, position och interaktionskostnad måste vara balanserade. Många CMP:er levererar en standardmall som inte uppfyller detta krav i deras tyska lokal.
Per-leverantörsgranularitet
Tyska reglerare förväntar sig att användare ska kunna samtycka på en per-leverantör- eller per-syftebasis, inte bara en enda global växel. IAB TCF v2.2 uppfyller denna förväntan, men bara om din leverantörslista är aktuell och syftena är tydligt förklarade.
Blockering före samtycke
Inget tredjepartsskript får laddas, ingen cookie får skrivas och ingen pixel får skickas innan ett bekräftande samtycke har registrerats. Detta gäller Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok och varje annonsserver. Användning av samtyckesmedvetna tagghanteringslägen — som Google Tag Managers samtyckesinitialisering — är det förväntade mönstret.
Återkallbart med ett klick
Tyska DPA:er kräver att återkallande av samtycke är lika enkelt som att bevilja det. En beständig, synlig mekanism — en flytande återöppningsknapp, en sidfotslänk eller en likvärdig UI-möjlighet — måste vara tillgänglig på varje sida på webbplatsen.
Samtyckesregister och revisionslogg
TTDSG ärver GDPR artikel 7(1): den ansvarige måste kunna visa att samtycke gavs. Behåll register över när, hur och för vilka syften samtycke gavs, helst i minst 36 månader med tanke på den tyska civilrättsliga preskriptionstiden. De flesta Google-certifierade CMP:er hanterar detta som standard.
Mobilappar och SDK-spårning
TTDSG gäller mobilappar med samma kraft. Annonsidentifieraren på Android, idfa på iOS, all SDK-nivå fingeravtryckstagning och allt cookie-beteende mellan appar omfattas av samtyckesregeln.
Android- och iOS-paritet
I praktiken kan utgivare som förlitar sig på iOS App Tracking Transparency-prompten inte anta att den uppfyller TTDSG — Apples prompt är en plattformsnivåkontroll och inte ett giltigt TTDSG-samtycke i sig. Du behöver ett CMP-lager i appen som samlar in TTDSG-kompatibelt samtycke innan något icke-strikt-nödvändigt SDK initieras.
Samtyckesträngar i appen
För mobilannonsering måste IAB TCF-strängen eller IAB GPP-strängen genereras och spridas till varje SDK som deltar i budgivningspipelinen. Utan en giltig samtyckesträngär varje bud juridiskt exponerat oavsett hur SDK konfigurerar sitt eget beteende.
Verkställighetslandskapet 2026
Tyska DPA:er har blivit betydligt mer aktiva i TTDSG-verkställighet under 2024 och 2025. Landesdatenschutzbeauftragte i Bayern ensam har inlett hundratals utredningar per år, och Berlin DPA har utfärdat böter som specifikt citerar cookie-bannerbrott.
Böter hittills
TTDSG i sig sätter en maximal administrativ bot på EUR 300 000 per överträdelse. Men eftersom varje TTDSG-överträdelse typiskt sett också är en GDPR-överträdelse, har DPA:er ofta staplade den högre GDPR-sanktionen — upp till EUR 20 miljoner eller 4 procent av den globala årsomsättningen. Utgivare och e-handelsoperatörer på den tyska marknaden bör planera för staplat ansvar när de bedömer exponering.
Civilrättsligt ansvar
Tyskland är en av de få EU-jurisdiktioner där enskilda användare framgångsrikt har stämt för icke-materiell skada enligt artikel 82 GDPR i samband med cookieöverträdelser. Förvänta dig att massiva konsumentkrav, ofta organiserade genom Verbraucherzentralen och kärandeadvokater, fortsätter 2026.
Revisionschecklista för tysk trafik
- CMP presenterar Acceptera alla och Avvisa alla med likvärdig visuell framträdande i det första lagret
- Inga cookies, pixlar eller tredjepartsskript laddas före samtycke, inklusive analys och A/B-testning
- Per-syfte- och per-leverantörsgranularitet erbjuds, med syftesbeskrivningar på klarspråk på tyska
- Mekanism för återkallande av samtycke är beständig och nåbar från varje sida
- Samtyckesregister behålls med tidsstämpel, samtyckesversion och beviljade syften
- Mobilappar tillämpar TTDSG-samtycke innan något icke-strikt-nödvändigt SDK initieras, oberoende av iOS ATT-prompten
- Databehandlingstillägg och Schrems II-överföringsbedömningar är dokumenterade för varje USA-baserad leverantör
- Granskning av mörka mönster är genomförd mot den senaste DSK-vägledningen
- Integritetspolicyn namnger alla processorer, identifierar rättslig grund enligt GDPR och samtyckesgrund enligt TTDSG separat och är tillgänglig på tyska
- Leverantörslistan är synkroniserad med IAB TCF v2.2 och uppdateras när nya partners läggs till
Utsikterna för 2026
Omvarumärkningen till TDDDG 2024 mjukade inte upp den tyska verkställigheten. Om något är DPA:erna bättre resurssatta och mer samordnade genom DSK än de var för två år sedan. Banan är klar: samtyckesbarerna kommer att bli högre, granskning av mörka mönster kommer att intensifieras och Schrems II-överföringsbedömningar kommer att bli ett standardrevisionsfokus. Utgivare och annonsörer som är verksamma i Tyskland och som investerade i ett ordentligt samtyckestack 2024–2025 är i stort sett i god form. De som lämnade tysk efterlevnad för senare går in i 2026 med kända luckor och stigande regulatoriskt intresse. Rätt drag är att stänga dessa luckor nu — innan en Landesdatenschutzbeauftragte-utredning tvingar fram frågan på en tidslinje du inte kontrollerar.