Compliance26 เม.ย. 2026 | FlexyConsent

การยินยอมคุกกี้ TTDSG ของเยอรมนี: คู่มือปี 2026 สำหรับผู้เผยแพร่และผู้ลงโฆษณาเกี่ยวกับกฎหมายคุ้มครองข้อมูลด้านโทรคมนาคมและสื่อโทรทัศน์

เยอรมนีเป็นตลาดโฆษณาที่ใหญ่ที่สุดในยุโรปภาคพื้นทวีป และยังเป็นหนึ่งในประเทศที่เข้มงวดที่สุดในเรื่องคุกกี้ด้วย ตั้งแต่เดือนธันวาคม 2021 กฎหมายเยอรมันได้เพิ่มระบอบการยินยอมคุกกี้เฉพาะ — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — ซ้อนทับบน GDPR ในปี 2024 กฎหมายได้เปลี่ยนชื่อเป็น TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) เพื่อให้สอดคล้องกับกฎหมายบริการดิจิทัลของ EU แต่เนื้อหาและภาระผูกพันในทางปฏิบัติไม่ได้เปลี่ยนแปลง หากคุณดำเนินการโฆษณาดิจิทัล การวิเคราะห์ หรือการติดตามบุคคลที่สามใดๆ ในตลาดเยอรมันในปี 2026 คุณต้องอยู่ภายใต้ TTDSG/TDDDG นอกเหนือจาก GDPR และ DPA ของเยอรมันไม่ได้ลังเลใจในการบังคับใช้ คู่มือนี้อธิบายสิ่งที่กฎหมายครอบคลุม ความแตกต่างจาก GDPR เพียงอย่างเดียว และสิ่งที่ CMP และสแตกโฆษณาของคุณต้องทำเพื่อให้ปฏิบัติตามกฎหมายในเยอรมนี

สิ่งที่ TTDSG และ TDDDG กำกับดูแลจริงๆ

TTDSG แปลง EU ePrivacy Directive เป็นกฎหมายเยอรมันด้วยความแม่นยำที่ผิดปกติ GDPR กำกับดูแลการประมวลผลข้อมูลส่วนบุคคล ในขณะที่ TTDSG กำกับดูแลการจัดเก็บข้อมูลหรือการเข้าถึงข้อมูลที่จัดเก็บไว้แล้วบนอุปกรณ์ปลายทางของผู้ใช้ทุกรูปแบบ — ไม่ว่าข้อมูลนั้นจะเป็นข้อมูลส่วนบุคคลหรือไม่ก็ตาม พูดง่ายๆ คือ: คุกกี้ทุกตัว พิกเซลทุกตัว การเขียนลงใน local storage ทุกครั้ง สคริปต์การพิมพ์ลายนิ้วมือทุกตัวอยู่ในขอบเขต แม้จะไม่ได้รวบรวมข้อมูลส่วนบุคคลใดๆ เลยก็ตาม

มาตรา 25 — กฎการยินยอมหลัก

บทบัญญัติสำคัญคือมาตรา 25 ของ TTDSG (ปัจจุบันคือมาตรา 25 TDDDG) ซึ่งห้ามการจัดเก็บหรือเข้าถึงข้อมูลใดๆ บนอุปกรณ์ปลายทางของผู้ใช้ เว้นแต่จะเป็นไปตามเงื่อนไขใดเงื่อนไขหนึ่งจากสองข้อต่อไปนี้:

ไม่มีพื้นฐานผลประโยชน์ที่ชอบด้วยกฎหมาย ไม่มีการ opt-in แบบอ่อน การตีความจำเป็นอย่างเคร่งครัดของเยอรมันนั้นแคบกว่าเขตอำนาจศาลยุโรปอื่นๆ หลายแห่ง — ครอบคลุมคุกกี้เซสชัน การปรับสมดุลโหลด และการประมวลผลการชำระเงิน แต่ไม่ใช่การวิเคราะห์ ไม่ใช่การโฆษณา และไม่ใช่การปรับแต่งส่วนใหญ่

การโต้ตอบกับ GDPR

TTDSG ไม่ได้แทนที่ GDPR แต่อยู่ซ้อนทับ แม้คุณจะผ่านอุปสรรค TTDSG สำหรับการตั้งคุกกี้ คุณก็ยังต้องมีพื้นฐานทางกฎหมายตาม GDPR สำหรับการประมวลผลข้อมูลส่วนบุคคลใดๆ ที่ตามมา ท่าทางการปฏิบัติตามกฎหมายเยอรมันที่สะอาดต้องผ่านทั้งสองประตู ข้อผิดพลาดทั่วไปคือการรวบรวมการยินยอมภายใต้มาตรา 6(1)(a) ของ GDPR และสมมติว่าครอบคลุม TTDSG ด้วย — ครอบคลุม หากการยินยอมนั้นตรงตามข้อกำหนดความเฉพาะเจาะจงของ TTDSG ด้วย ซึ่งเข้มงวดกว่า GDPR ในหลายๆ ด้าน

เยอรมนีแตกต่างจากส่วนอื่นๆ ของ EU อย่างไร

หน่วยงานกำกับดูแลทั่ว EU ตีความ ePrivacy ในลักษณะที่แตกต่างกันเล็กน้อย เยอรมนีอยู่ที่ปลายที่เข้มงวดของสเปกตรัมในหลายๆ ด้าน

ต้องการการยินยอมอย่างชัดแจ้งสำหรับการวิเคราะห์

DPA ของเยอรมันยึดมั่นอย่างสม่ำเสมอว่าGoogle Analytics, Matomo (cloud), Adobe Analytics, Mixpanel และเครื่องมือที่คล้ายกันต้องการการยินยอม opt-in การวิเคราะห์แบบ self-hosted ที่ไม่ระบุตัวตนพร้อมการเก็บรักษาในระยะสั้นบางครั้งอาจถือว่าจำเป็นอย่างเคร่งครัด แต่เกณฑ์นั้นสูงและแตกต่างกันตาม DPA บาวาเรีย บาเดิน-เวือร์ทเทิมแบร์ก เบอร์ลิน และฮัมบูร์กต่างก็เผยแพร่คำแนะนำทางเทคนิคโดยละเอียด และไม่เหมือนกัน

Schrems II และการถ่ายโอนไปยังสหรัฐอเมริกา

DPA ของเยอรมันเป็นหนึ่งในที่แข็งกร้าวที่สุดในยุโรปในประเด็นการถ่ายโอน Schrems II การใช้ตัวติดตามที่โฮสต์ในสหรัฐอเมริกา — แม้จะมีการรับรอง Data Privacy Framework — ดึงดูดการตรวจสอบหากการติดตามนั้นแพร่หลายหรือเกี่ยวข้องกับข้อมูลหมวดหมู่พิเศษ Datenschutzkonferenz (DSK) ซึ่งเป็นองค์กรร่วมของ DPA ระดับรัฐบาลกลางและรัฐของเยอรมัน ได้ออกคำแนะนำซ้ำๆ ว่าการส่งข้อมูลเทเลเมทรีไปยังผู้ประมวลผลสหรัฐอเมริกาโดยไม่มีกลไกการถ่ายโอนที่ถูกต้องละเมิดทั้ง GDPR และ TTDSG พร้อมกัน

รูปแบบมืดที่ห้ามอย่างชัดแจ้ง

DPA หลายแห่งของเยอรมันได้ออกคำแนะนำการบังคับใช้ว่าการประจาน ช่องทำเครื่องหมายที่เลือกไว้ล่วงหน้า ความโดดเด่นของปุ่มที่ไม่เท่ากัน และรูปแบบการเปิดเผยแบบบังคับไม่สอดคล้องกับการยินยอม TTDSG ที่ถูกต้อง แบนเนอร์ที่ “ยอมรับทั้งหมด” โดดเด่นทางสายตาและ “ปฏิเสธทั้งหมด” ถูกซ่อนอยู่หลังการคลิกครั้งที่สองจะล้มเหลวในการตรวจสอบของเยอรมันในปี 2026

ข้อกำหนด CMP ในทางปฏิบัติสำหรับตลาดเยอรมัน

เพื่อตอบสนอง TTDSG/TDDDG ในสภาพแวดล้อมการผลิต แพลตฟอร์มการจัดการการยินยอมและตัวจัดการแท็กของคุณต้องบังคับใช้พฤติกรรมเฉพาะหลายอย่าง

ความโดดเด่นเท่ากันสำหรับการยอมรับและการปฏิเสธ

แบนเนอร์ชั้นแรกต้องแสดงปุ่มปฏิเสธทั้งหมดที่มีความเท่าเทียมทางภาพกับยอมรับทั้งหมด สี ขนาด ตำแหน่ง และต้นทุนการโต้ตอบต้องสมดุล CMP หลายรายส่งเทมเพลตเริ่มต้นที่ไม่ตรงตามเกณฑ์นี้ในล็อกแคลเยอรมัน

ความละเอียดระดับผู้จำหน่าย

หน่วยงานกำกับดูแลเยอรมันคาดหวังให้ผู้ใช้สามารถให้การยินยอมในระดับผู้จำหน่ายหรือระดับวัตถุประสงค์ ไม่ใช่แค่สวิตช์ทั่วไปเพียงอันเดียว IAB TCF v2.2 ตรงตามความคาดหวังนี้ แต่เฉพาะเมื่อรายชื่อผู้จำหน่ายของคุณเป็นปัจจุบันและวัตถุประสงค์ได้รับการอธิบายอย่างชัดเจน

การบล็อกก่อนการยินยอม

ไม่มีสคริปต์บุคคลที่สามที่สามารถโหลดได้ ไม่มีคุกกี้ที่สามารถเขียนได้ และไม่มีพิกเซลที่สามารถส่งได้ก่อนที่จะบันทึกการยินยอมเชิงยืนยัน ซึ่งใช้กับ Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok และเซิร์ฟเวอร์โฆษณาทุกตัว การใช้โหมดการจัดการแท็กที่ตระหนักถึงการยินยอม — เช่น การเริ่มต้นการยินยอมของ Google Tag Manager — เป็นรูปแบบที่คาดหวัง

ถอนได้ด้วยการคลิกเดียว

DPA ของเยอรมันกำหนดให้การถอนการยินยอมนั้นง่ายเท่ากับการให้ กลไกที่คงอยู่และมองเห็นได้ — ปุ่มลอยเพื่อเปิดใหม่ ลิงก์ส่วนท้าย หรือ UI affordance ที่เทียบเท่า — ต้องสามารถใช้งานได้บนทุกหน้าของไซต์

บันทึกการยินยอมและเส้นทางการตรวจสอบ

TTDSG สืบทอดมาตรา 7(1) ของ GDPR: ผู้ควบคุมต้องสามารถแสดงให้เห็นว่ามีการให้การยินยอม เก็บบันทึกเมื่อ อย่างไร และสำหรับวัตถุประสงค์ใดที่มีการให้การยินยอม โดยอุดมคติคืออย่างน้อย 36 เดือน เมื่อพิจารณาถึงอายุความกฎหมายแพ่งของเยอรมัน CMP ที่ได้รับการรับรองจาก Google ส่วนใหญ่จัดการเรื่องนี้โดยค่าเริ่มต้น

แอปมือถือและการติดตาม SDK

TTDSG ใช้กับแอปมือถือด้วยพลังงานเท่าเทียมกัน ตัวระบุสำหรับโฆษณาบน Android, idfa บน iOS, การพิมพ์ลายนิ้วมือระดับ SDK ใดๆ และพฤติกรรมคุกกี้ข้ามแอปใดๆ ล้วนอยู่ภายใต้กฎการยินยอม

ความเท่าเทียม Android และ iOS

ในทางปฏิบัติ ผู้เผยแพร่ที่พึ่งพาพรอมต์ iOS App Tracking Transparency ไม่สามารถสมมติว่าตรงตาม TTDSG — พรอมต์ของ Apple เป็นการควบคุมระดับแพลตฟอร์มและไม่ใช่การยินยอม TTDSG ที่ถูกต้องในตัวเอง คุณต้องมีเลเยอร์ CMP ในแอปที่รวบรวมการยินยอมที่สอดคล้องกับ TTDSG ก่อนที่ SDK ที่ไม่จำเป็นอย่างเคร่งครัดใดๆ จะเริ่มต้น

สตริงการยินยอมในแอป

สำหรับการโฆษณาแอปมือถือ สตริง IAB TCF หรือสตริง IAB GPP ต้องถูกสร้างและเผยแพร่ไปยัง SDK ทุกตัวที่เข้าร่วมในไปป์ไลน์การประมูล หากไม่มีสตริงการยินยอมที่ถูกต้อง การประมูลทุกครั้งจะถูกเปิดเผยทางกฎหมายโดยไม่คำนึงว่า SDK กำหนดค่าพฤติกรรมของตัวเองอย่างไร

ภูมิทัศน์การบังคับใช้ในปี 2026

DPA ของเยอรมันมีความกระตือรือร้นมากขึ้นอย่างมีนัยสำคัญในการบังคับใช้ TTDSG ในปี 2024 และ 2025 Landesdatenschutzbeauftragte ของบาวาเรียเพียงแห่งเดียวได้เปิดการสอบสวนหลายร้อยครั้งต่อปี และ DPA ของเบอร์ลินได้ออกค่าปรับโดยอ้างถึงการละเมิดแบนเนอร์คุกกี้โดยเฉพาะ

ค่าปรับที่เห็นมาจนถึงตอนนี้

TTDSG เองกำหนดค่าปรับทางปกครองสูงสุดที่EUR 300,000 ต่อการละเมิด แต่เนื่องจากการละเมิด TTDSG ทุกครั้งมักเป็นการละเมิด GDPR ด้วย DPA จึงมักกองค่าปรับ GDPR ที่สูงกว่า — สูงถึงEUR 20 ล้าน หรือ 4 เปอร์เซ็นต์ของรายได้ประจำปีทั่วโลก ผู้เผยแพร่และผู้ดำเนินการอีคอมเมิร์ซในตลาดเยอรมันควรวางแผนสำหรับความรับผิดที่สะสมเมื่อประเมินความเสี่ยง

ความรับผิดทางแพ่ง

เยอรมนีเป็นหนึ่งในไม่กี่เขตอำนาจศาลของ EU ที่ผู้ใช้รายบุคคลฟ้องร้องสำเร็จเพื่อความเสียหายที่ไม่ใช่ทรัพย์สินภายใต้มาตรา 82 GDPR ที่เกี่ยวข้องกับการละเมิดคุกกี้ คาดว่าการเรียกร้องจากผู้บริโภคจำนวนมาก ซึ่งมักจัดผ่าน Verbraucherzentralen และสำนักงานกฎหมายโจทก์ จะดำเนินต่อไปในปี 2026

รายการตรวจสอบการตรวจสอบสำหรับการรับส่งข้อมูลเยอรมัน

แนวโน้มปี 2026

การเปลี่ยนชื่อเป็น TDDDG ในปี 2024 ไม่ได้ทำให้การบังคับใช้ของเยอรมันอ่อนลง ถ้ามีอะไร DPA มีทรัพยากรดีกว่าและประสานงานกันมากกว่าผ่าน DSK มากกว่าเมื่อสองปีที่แล้ว เส้นทางนั้นชัดเจน: มาตรฐานการยินยอมจะสูงขึ้น การตรวจสอบรูปแบบมืดจะเข้มข้นขึ้น และการประเมินการถ่ายโอน Schrems II จะกลายเป็นจุดสนใจการตรวจสอบมาตรฐาน ผู้เผยแพร่และผู้ลงโฆษณาที่ดำเนินงานในเยอรมนีซึ่งลงทุนในสแตกการยินยอมที่เหมาะสมในปี 2024-2025 อยู่ในสถานการณ์ที่ดีโดยรวม ผู้ที่ทิ้งการปฏิบัติตามกฎหมายเยอรมันไว้ทีหลังกำลังเข้าสู่ปี 2026 ด้วยช่องว่างที่รู้จักและความสนใจด้านกฎระเบียบที่เพิ่มขึ้น การเคลื่อนไหวที่ถูกต้องคือการปิดช่องว่างเหล่านั้นตอนนี้ — ก่อนที่การสอบสวนของ Landesdatenschutzbeauftragte จะบังคับให้ตอบคำถามในไทม์ไลน์ที่คุณไม่ได้ควบคุม

← บล็อก อ่านทั้งหมด →