Що насправді регулюють TTDSG і TDDDG

TTDSG переносить Директиву ЄС про ePrivacy до німецького законодавства з незвичайною точністю. Якщо GDPR регулює обробку персональних даних, то TTDSG регулює будь-яке зберігання інформації в або доступ до інформації, що вже зберігається на, кінцевому обладнанні користувача — незалежно від того, чи є ця інформація персональними даними. Простіше кажучи: кожен файл cookie, кожен піксель, кожен запис у локальне сховище, кожен скрипт зняття відбитків підпадає під дію закону, навіть якщо не збирає жодних персональних даних.

Стаття 25 — Основне правило згоди

Ключовим положенням є Стаття 25 TTDSG (тепер Стаття 25 TDDDG). Вона забороняє зберігання або доступ до будь-якої інформації на кінцевому обладнанні користувача, якщо не виконано одну з двох умов:

• Користувач надав поінформовану, добровільну, конкретну та активну згоду після того, як був чітко та вичерпно поінформований, або
• Зберігання або доступ є суворо необхідними для надання послуги телемедіа, яку користувач явно запросив.

Немає основи законного інтересу. Немає м'якого opt-in. Німецьке тлумачення суворо необхідного вужче, ніж у багатьох інших європейських юрисдикціях — воно охоплює сесійні файли cookie, балансування навантаження та обробку платежів, але не аналітику, не рекламу і не більшість персоналізації.

Взаємодія з GDPR

TTDSG не замінює GDPR. Він накладається поверх нього. Навіть якщо ви подолали бар'єр TTDSG для самого факту встановлення cookie, вам все одно потрібна законна підстава за GDPR для будь-якої наступної обробки персональних даних. Чиста позиція дотримання вимог у Німеччині вимагає проходження обох воріт. Поширена помилка — збирати згоду відповідно до Статті 6(1)(a) GDPR і вважати, що це покриває і TTDSG — так і є, за умови, що згода також відповідає вимогам специфічності TTDSG, які є суворішими за GDPR у кількох відношеннях.

Чим Німеччина відрізняється від решти ЄС

Регулятори по всьому ЄС трактують ePrivacy дещо по-різному. Німеччина перебуває на суворому кінці спектра в кількох відношеннях.

Обов'язкова явна згода для аналітики

Німецькі DPA послідовно дотримуються позиції, що Google Analytics, Matomo (хмарний), Adobe Analytics, Mixpanel та подібні інструменти потребують згоди opt-in. Власноруч розміщена, анонімізована аналітика з коротким терміном зберігання іноді може кваліфікуватися як суворо необхідна, але поріг є високим і відрізняється залежно від DPA. Баварія, Баден-Вюртемберг, Берлін та Гамбург кожен публікують детальні технічні рекомендації, і вони не ідентичні.

Schrems II та передача даних до США

Німецькі DPA були одними з найагресивніших у Європі щодо питань передачі даних за Schrems II. Використання трекера, розміщеного в США, — навіть з сертифікацією Data Privacy Framework — привертає увагу, якщо відстеження є всеосяжним або стосується даних спеціальних категорій. Datenschutzkonferenz (DSK), спільний орган федеральних і земельних DPA Німеччини, неодноразово видавав рекомендації про те, що телеметрія, що надсилається американським обробникам без дійсного механізму передачі, одночасно порушує і GDPR, і TTDSG.

Темні патерни прямо заборонені

Декілька німецьких DPA видали рекомендації щодо правозастосування, що присоромлення підтвердженням, попередньо вибрані прапорці, нерівна видимість кнопок та примусові патерни розкриття несумісні з дійсною згодою TTDSG. Банер, де “Прийняти все” візуально домінує, а “Відхилити все” захована за другим кліком, не пройде німецький аудит у 2026 році.

Практичні вимоги CMP для німецького ринку

Щоб задовольнити TTDSG/TDDDG у виробничому середовищі, ваша платформа управління згодою та менеджер тегів повинні дотримуватися кількох конкретних вимог.

Однакова видимість для прийняття та відхилення

Банер першого рівня має показувати кнопку Відхилити все з візуальною рівністю до Прийняти все. Колір, розмір, позиція та вартість взаємодії мають бути збалансовані. Багато CMP постачають шаблон за замовчуванням, який не відповідає цій вимозі в їх німецькій локалі.

Деталізація на рівні постачальника

Німецькі регулятори очікують, що користувачі зможуть надавати згоду на рівні постачальника або мети, а не лише одним глобальним перемикачем. IAB TCF v2.2 відповідає цьому очікуванню, але лише якщо ваш список постачальників актуальний і цілі чітко пояснені.

Блокування до надання згоди

Жоден сторонній скрипт не може завантажитися, жоден файл cookie не може бути записаний, і жоден піксель не може спрацювати до того, як буде зафіксована підтверджувальна згода. Це стосується Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok та кожного рекламного сервера. Використання режимів управління тегами з урахуванням згоди — наприклад, ініціалізації згоди в Google Tag Manager — є очікуваним патерном.

Відкликання одним кліком

Німецькі DPA вимагають, щоб відкликання згоди було таким же простим, як її надання. На кожній сторінці сайту має бути доступний постійний, видимий механізм — плаваюча кнопка повторного відкриття, посилання у нижньому колонтитулі або еквівалентна можливість UI.

Записи про згоду та журнал аудиту

TTDSG успадковує Статтю 7(1) GDPR: контролер повинен мати змогу довести, що згода була надана. Зберігайте записи про те, коли, як і для яких цілей була надана згода, в ідеалі не менше 36 місяців, враховуючи строк позовної давності цивільного законодавства Німеччини. Більшість сертифікованих Google CMP обробляють це за замовчуванням.

Мобільні додатки та відстеження SDK

TTDSG поширюється на мобільні додатки з однаковою силою. Ідентифікатор для реклами в Android, idfa в iOS, будь-яке зняття відбитків на рівні SDK та будь-яка поведінка файлів cookie між додатками підпадають під правило згоди.

Рівнозначність Android та iOS

На практиці видавці, що покладаються на запит iOS App Tracking Transparency, не можуть вважати, що він задовольняє TTDSG — запит Apple є контролем на рівні платформи і сам по собі не є дійсною згодою TTDSG. Вам потрібен рівень CMP у додатку, який збирає згоду, що відповідає TTDSG, перед ініціалізацією будь-якого SDK, що не є суворо необхідним.

Рядки згоди у додатку

Для реклами в мобільних додатках рядок IAB TCF або рядок IAB GPP має бути згенерований та поширений на кожен SDK, що бере участь у конвеєрі торгів. Без дійсного рядка згоди кожна ставка є юридично незахищеною незалежно від того, як SDK налаштовує власну поведінку.

Ситуація з правозастосуванням у 2026 році

Німецькі DPA стали значно активнішими у правозастосуванні TTDSG у 2024 та 2025 роках. Лише Landesdatenschutzbeauftragte Баварії відкривав сотні розслідувань на рік, а берлінський DPA виносив штрафи, безпосередньо посилаючись на порушення банерів файлів cookie.

Штрафи на сьогодні

Сам TTDSG встановлює максимальний адміністративний штраф у розмірі EUR 300 000 за порушення. Але оскільки будь-яке порушення TTDSG зазвичай є також порушенням GDPR, DPA часто застосовували вищий штраф GDPR — до EUR 20 мільйонів або 4 відсотків річного глобального обороту. Видавці та оператори електронної комерції на німецькому ринку мають планувати накопичену відповідальність при оцінці ризиків.

Цивільна відповідальність

Німеччина — одна з небагатьох юрисдикцій ЄС, де окремі користувачі успішно подавали позови про відшкодування нематеріальної шкоди відповідно до Статті 82 GDPR у зв'язку з порушеннями щодо файлів cookie. Очікуйте, що масові споживчі позови, часто організовані через Verbraucherzentralen та юридичні фірми позивачів, продовжуватимуться у 2026 році.

Контрольний список аудиту для трафіку з Німеччини

• CMP показує «Прийняти все» та «Відхилити все» з однаковою візуальною видністю на першому рівні
• Жодні файли cookie, пікселі або сторонні скрипти не завантажуються до надання згоди, включаючи аналітику та A/B-тестування
• Пропонується деталізація за метою та постачальником з описами цілей простою мовою німецькою
• Механізм відкликання згоди є постійним і доступним з кожної сторінки
• Записи про згоду зберігаються з міткою часу, версією згоди та наданими цілями
• Мобільні додатки застосовують згоду TTDSG до ініціалізації будь-якого SDK, що не є суворо необхідним, незалежно від запиту iOS ATT
• Доповнення до обробки даних та оцінки передачі Schrems II задокументовані для кожного постачальника, що базується в США
• Перевірка темних патернів завершена відповідно до останніх рекомендацій DSK
• Політика конфіденційності називає всіх обробників, окремо визначає законну підставу за GDPR та підставу для згоди за TTDSG, і доступна німецькою мовою
• Список постачальників синхронізований з IAB TCF v2.2 і оновлюється при додаванні нових партнерів

Перспективи на 2026 рік

Перейменування на TDDDG у 2024 році не пом'якшило правозастосування в Німеччині. Якщо що, DPA є краще забезпеченими ресурсами та більш скоординованими через DSK, ніж два роки тому. Траєкторія зрозуміла: стандарти згоди будуть підвищуватися, перевірка темних патернів посилиться, а оцінки передачі Schrems II стануть стандартним напрямом аудиту. Видавці та рекламодавці, що працюють у Німеччині та інвестували у належний стек згоди у 2024-2025 роках, загалом перебувають у доброму стані. Ті, хто відкладав дотримання вимог Німеччини на потім, входять у 2026 рік із відомими прогалинами та зростаючим регуляторним інтересом. Правильний крок — закрити ці прогалини зараз — до того, як розслідування Landesdatenschutzbeauftragte не поставить це питання у часові рамки, яких ви не контролюєте.