Almanya TTDSG Çerez Onayı: Telekomünikasyon ve Telemedya Veri Koruma Kanunu için 2026 Yayıncı ve Reklamveren Rehberi
Almanya, Kıta Avrupası'nın en büyük reklamcılık pazarıdır ve çerezler söz konusu olduğunda en katı ülkelerden biridir. Aralık 2021'den bu yana Alman hukuku, GDPR'nin üzerine özel bir çerez onayı rejimi — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — eklemiştir. 2024'te yasa, AB Dijital Hizmetler Yasası ile uyumlu hale getirmek için TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) olarak yeniden adlandırıldı, ancak içeriği ve pratik yükümlülükleri değişmedi. 2026'da Alman pazarında dijital reklamcılık, analitik veya herhangi bir üçüncü taraf izlemesi yürütüyorsanız, GDPR'ye ek olarak TTDSG/TDDDG kapsamındasınızdır ve Alman DPA'ları yaptırımlar konusunda hiç de utangaç değildir. Bu kılavuz, yasanın neyi kapsadığını, yalnızca GDPR'den nasıl farklılaştığını ve Almanya'da uyumlu kalmak için CMP'nizin ve reklam yığınınızın ne yapması gerektiğini açıklamaktadır.
TTDSG ve TDDDG Gerçekte Neyi Düzenliyor
TTDSG, AB ePrivacy Direktifini olağandışı bir hassasiyetle Alman hukukuna dönüştürmektedir. GDPR kişisel verilerin işlenmesini düzenlerken, TTDSG — bu bilgilerin kişisel veri olup olmadığından bağımsız olarak — bir kullanıcının terminal ekipmanında bilgi depolanmasını veya orada depolanan bilgilere erişilmesini düzenlemektedir. Açıkça söylemek gerekirse: her çerez, her piksel, her yerel depolama yazma işlemi, her parmak izi betiği kapsam dahilindedir; hiç kişisel veri toplamamış olsa bile.
Bölüm 25 — Temel Onay Kuralı
Temel hüküm, TTDSG'nin 25. Bölümüdür (şimdi 25. Bölüm TDDDG). İki koşuldan biri karşılanmadıkça, bir kullanıcının terminal ekipmanında herhangi bir bilginin depolanmasını veya bu bilgilere erişilmesini yasaklamaktadır:
- Kullanıcı, açık ve kapsamlı bir şekilde bilgilendirildikten sonra bilgilendirilmiş, gönüllü, spesifik ve aktif onay vermiş olmalıdır, ya da
- Depolama veya erişim, kullanıcının açıkça talep ettiği bir telemedya hizmetinin sağlanması için kesinlikle gereklidir.
Meşru menfaat temeli yoktur. Yumuşak opt-in yoktur. Kesinlikle gereklinin Alman yorumu, birçok diğer Avrupa yargı bölgesinden daha dardır — oturum çerezlerini, yük dengelemeyi ve ödeme işlemeyi kapsar, ancak analitiği, reklamcılığı ve çoğu kişiselleştirmeyi kapsamaz.
GDPR ile Etkileşim
TTDSG, GDPR'nin yerini almaz. Onun üzerine kurulur. Bir çerez yerleştirme eylemi için TTDSG engelini aşmış olsanız bile, sonrasındaki kişisel veri işlemleri için GDPR kapsamında yasal bir dayanağa ihtiyacınız vardır. Temiz bir Alman uyum tutumu her iki kapıdan da geçmeyi gerektirir. Yaygın bir hata, GDPR'nin 6(1)(a) Maddesi kapsamında onay toplamak ve bunun TTDSG'yi de kapsadığını varsaymaktır — bu doğrudur, yeter ki onay TTDSG'nin spesifite gereksinimlerini de karşılasın; bunlar birçok açıdan GDPR'ninkinden daha katıdır.
Almanya AB'nin Geri Kalanından Nasıl Farklılaşıyor
AB genelindeki düzenleyiciler ePrivacy'yi biraz farklı yorumlamaktadır. Almanya, çeşitli açılardan spektrumun katı ucundadır.
Analitik için Açık Onay Zorunlu
Alman DPA'ları, Google Analytics, Matomo (bulut), Adobe Analytics, Mixpanel ve benzeri araçların opt-in onayı gerektirdiğini tutarlı biçimde savunmaktadır. Kısa saklama süreli kendi barındırmalı, anonimleştirilmiş analitik bazen kesinlikle gerekli olarak nitelendirilebilir, ancak standart yüksektir ve DPA'ya göre değişir. Bavyera, Baden-Württemberg, Berlin ve Hamburg her biri ayrıntılı teknik kılavuzlar yayımlamaktadır ve bunlar aynı değildir.
Schrems II ve ABD Aktarımları
Alman DPA'ları, Schrems II aktarım sorunlarında Avrupa'nın en saldırgan ülkeleri arasında olmuştur. ABD'de barındırılan bir izleyici çalıştırmak — Data Privacy Framework sertifikasıyla bile — izleme yaygınsa veya özel kategori verileri içeriyorsa incelemeyi cezbeder. Federal ve eyalet Alman DPA'larının ortak kuruluşu olan Datenschutzkonferenz (DSK), geçerli bir aktarım mekanizması olmaksızın ABD işlemcilerine gönderilen telemetinin hem GDPR'yi hem de TTDSG'yi eş zamanlı olarak ihlal ettiğine dair tekrarlayan rehberlik yayımlamıştır.
Karanlık Örüntüler Açıkça Yasaklanmış
Birkaç Alman DPA, onay utancı, önceden seçilmiş onay kutuları, eşit olmayan düğme belirginliği ve zorla ifşa örüntülerinin geçerli TTDSG onayıyla bağdaşmadığına dair yaptırım rehberi yayımlamıştır. “Tümünü Kabul Et” görsel olarak baskın ve “Tümünü Reddet” ikinci bir tıklamanın arkasında gömülü olan bir banner, 2026'da Alman denetimine takılacaktır.
Alman Pazarı için Pratik CMP Gereksinimleri
Bir üretim ortamında TTDSG/TDDDG'yi karşılamak için, onay yönetim platformunuz ve etiket yöneticinizin çeşitli belirli davranışları uygulaması gerekmektedir.
Kabul ve Reddetme için Eşit Belirginlik
İlk katman banner'ı, Tümünü Kabul Et ile görsel eşitliğe sahip bir Tümünü Reddet düğmesi göstermek zorundadır. Renk, boyut, konum ve etkileşim maliyeti dengeli olmalıdır. Birçok CMP, Alman yerel ayarlarında bu standardı karşılamayan bir varsayılan şablon sunmaktadır.
Satıcı Başına Ayrıntı Düzeyi
Alman düzenleyiciler, kullanıcıların yalnızca tek bir global geçiş değil, satıcı veya amaç bazında onay verebilmelerini beklemektedir. IAB TCF v2.2 bu beklentiyi karşılar, ancak yalnızca satıcı listeniz güncel ve amaçlar açıkça açıklanmışsa.
Onay Öncesi Engelleme
Olumlu onay kaydedilmeden önce hiçbir üçüncü taraf betiği yüklenemez, hiçbir çerez yazılamaz ve hiçbir piksel tetiklenemez. Bu durum Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok ve her reklam sunucusu için geçerlidir. Onay farkındalıklı etiket yönetimi modlarının kullanımı — Google Tag Manager'ın onay başlatması gibi — beklenen örüntüdür.
Tek Tıkla Geri Alınabilir
Alman DPA'ları, onayın geri alınmasının verilmesi kadar kolay olmasını gerektirmektedir. Sitenin her sayfasında kalıcı, görünür bir mekanizma — yüzen bir yeniden açma düğmesi, altbilgi bağlantısı veya eşdeğer bir UI olanağı — kullanılabilir olmalıdır.
Onay Kayıtları ve Denetim İzi
TTDSG, GDPR'nin 7(1) Maddesini devralmaktadır: veri sorumlusu onayın verildiğini ispat edebilmek zorundadır. Alman medeni hukuku zamanaşımı göz önüne alındığında, onayın ne zaman, nasıl ve hangi amaçlarla verildiğine dair kayıtları ideal olarak en az 36 ay saklayın. Google sertifikalı CMP'lerin çoğu bunu varsayılan olarak yapmaktadır.
Mobil Uygulamalar ve SDK İzlemesi
TTDSG, mobil uygulamalar için de aynı kuvvetle geçerlidir. Android'de reklamcılık tanımlayıcısı, iOS'ta idfa, SDK düzeyindeki herhangi bir parmak izi alma ve uygulama çapraz çerez davranışı onay kuralına tabidir.
Android ve iOS Paritesi
Uygulamada, iOS Uygulama İzleme Şeffaflığı istemine güvenen yayıncılar bunun TTDSG'yi karşıladığını varsayamaz — Apple'ın istemi platform düzeyinde bir denetimdir ve başlı başına geçerli bir TTDSG onayı değildir. Kesinlikle gerekli olmayan herhangi bir SDK başlatılmadan önce TTDSG uyumlu onay toplayan bir uygulama içi CMP katmanına ihtiyacınız vardır.
Uygulama İçi Onay Dizeleri
Mobil uygulama reklamcılığı için, IAB TCF dizesi veya IAB GPP dizesi oluşturulmalı ve teklif ardışık düzenine katılan her SDK'ya yayılmalıdır. Geçerli bir onay dizesi olmadan, SDK kendi davranışını nasıl yapılandırırsa yapılandırsın her teklif yasal açıdan maruz kalmaktadır.
2026'da Yaptırım Ortamı
Alman DPA'ları, 2024 ve 2025'te TTDSG yaptırımlarında önemli ölçüde daha aktif hale gelmiştir. Yalnızca Bavyera'nın Landesdatenschutzbeauftragte'si yılda yüzlerce soruşturma başlatmış ve Berlin DPA, çerez banner ihlallerini özellikle gerekçe göstererek para cezaları vermiştir.
Şimdiye Kadar Görülen Para Cezaları
TTDSG'nin kendisi, ihlal başına EUR 300.000 maksimum idari para cezası öngörmektedir. Ancak her TTDSG ihlali tipik olarak aynı zamanda bir GDPR ihlali olduğundan, DPA'lar çoğunlukla daha yüksek GDPR cezasını uygulamıştır — EUR 20 milyon veya küresel yıllık cirosun yüzde 4'üne kadar. Alman pazarındaki yayıncılar ve e-ticaret operatörleri, maruziyet kapsamını belirlerken birikimli yükümlülüğü planlamalıdır.
Hukuki Sorumluluk
Almanya, bireysel kullanıcıların çerez ihlalleriyle ilgili olarak GDPR'nin 82. Maddesi kapsamında maddi olmayan zararlar için başarıyla dava açtığı birkaç AB yargı bölgesinden biridir. 2026'da da Verbraucherzentralen ve davacı hukuk firmaları aracılığıyla organize edilen toplu tüketici taleplerinin devam etmesini bekleyin.
Alman Trafiği için Denetim Kontrol Listesi
- CMP, ilk katmanda Tümünü Kabul Et ve Tümünü Reddet'i eşit görsel belirginlikle sunuyor
- Onaydan önce analitik ve A/B testleri dahil hiçbir çerez, piksel veya üçüncü taraf betiği yüklenmiyor
- Amaç ve satıcı başına ayrıntı düzeyi sunuluyor; Almanca açık dilli amaç açıklamaları mevcut
- Onay geri çekme mekanizması kalıcı ve her sayfadan erişilebilir durumda
- Onay kayıtları zaman damgası, onay sürümü ve verilen amaçlarla birlikte tutuluyor
- Mobil uygulamalar iOS ATT isteminden bağımsız olarak kesinlikle gerekli olmayan SDK'yı başlatmadan önce TTDSG onayını uyguluyor
- ABD merkezli her satıcı için Veri İşleme Ekleri ve Schrems II aktarım değerlendirmeleri belgelenmiş
- Karanlık örüntü incelemesi en son DSK rehberine göre tamamlanmış
- Gizlilik politikası tüm işlemcileri adlandırıyor, GDPR kapsamındaki yasal dayanağı ve TTDSG kapsamındaki onay dayanağını ayrı ayrı tanımlıyor ve Almanca olarak mevcut
- Satıcı listesi IAB TCF v2.2 ile senkronize ve yeni ortaklar eklendiğinde güncelleniyor
2026 Görünümü
2024'te TDDDG olarak yeniden adlandırılması Alman yaptırımını yumuşatmadı. Hatta DPA'lar iki yıl öncesine kıyasla daha iyi kaynaklara sahip ve DSK aracılığıyla daha koordineli durumda. Yol haritası açık: onay standartları yükselecek, karanlık örüntü incelemesi yoğunlaşacak ve Schrems II aktarım değerlendirmeleri standart bir denetim odağı haline gelecek. 2024-2025'te uygun bir onay yığınına yatırım yapan Almanya'da faaliyet gösteren yayıncılar ve reklamverenler genel olarak iyi durumdadır. Alman uyumunu sonraya bırakanlar ise bilinen boşluklarla ve artan düzenleyici ilgiyle 2026'ya girmektedir. Doğru hamle, bu boşlukları şimdi kapatmaktır — bir Landesdatenschutzbeauftragte soruşturması meseleyi sizin kontrolünüzde olmayan bir zaman çizelgesinde gündeme getirmeden önce.