جرمنی TTDSG کوکی رضامندی: ٹیلی کمیونیکیشن اور ٹیلی میڈیا ڈیٹا پروٹیکشن ایکٹ کے لیے 2026 پبلشرز اور اشتہار دہندگان کی گائیڈ
جرمنی براعظمی یورپ کی سب سے بڑی اشتہاری مارکیٹ ہے، اور کوکیز کے معاملے میں سب سے سخت ممالک میں سے ایک بھی ہے۔ دسمبر 2021 سے، جرمن قانون نے GDPR کے اوپر ایک مخصوص کوکی رضامندی نظام — Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — کا اضافہ کیا ہے۔ 2024 میں قانون کا نام بدل کر TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) رکھا گیا تاکہ EU ڈیجیٹل سروسز ایکٹ کے ساتھ ہم آہنگ ہو سکے، لیکن اس کی اصل اور عملی ذمہ داریاں نہیں بدلیں۔ اگر آپ 2026 میں جرمن مارکیٹ میں ڈیجیٹل اشتہارات، تجزیات، یا کوئی بھی تھرڈ پارٹی ٹریکنگ چلاتے ہیں، تو آپ GDPR کے علاوہ TTDSG/TDDDG کے تحت بھی آتے ہیں، اور جرمن DPAs نفاذ کے معاملے میں بالکل بھی شرمیلے نہیں ہیں۔ یہ گائیڈ وضاحت کرتی ہے کہ قانون کیا کور کرتا ہے، یہ صرف GDPR سے کیسے مختلف ہے، اور جرمنی میں قانون کی تعمیل برقرار رکھنے کے لیے آپ کی CMP اور اشتہاری اسٹیک کو کیا کرنا ہوگا۔
TTDSG اور TDDDG دراصل کیا ریگولیٹ کرتے ہیں
TTDSG EU ePrivacy ڈائریکٹیو کو غیر معمولی درستگی کے ساتھ جرمن قانون میں منتقل کرتا ہے۔ جہاں GDPR ذاتی ڈیٹا کی پروسیسنگ کو ریگولیٹ کرتا ہے، TTDSG صارف کے ٹرمینل آلات پر معلومات کے ذخیرہ یا پہلے سے ذخیرہ شدہ معلومات تک رسائی کو ریگولیٹ کرتا ہے — چاہے وہ معلومات ذاتی ڈیٹا ہو یا نہ ہو۔ سادہ الفاظ میں: ہر کوکی، ہر پکسل، ہر لوکل اسٹوریج رائٹ، ہر فنگر پرنٹنگ اسکرپٹ دائرے میں آتا ہے، چاہے کوئی ذاتی ڈیٹا جمع نہ ہو۔
دفعہ 25 — بنیادی رضامندی کا اصول
کلیدی دفعہ TTDSG کی دفعہ 25 (اب دفعہ 25 TDDDG) ہے۔ یہ صارف کے ٹرمینل آلات پر کسی بھی معلومات کو ذخیرہ کرنے یا رسائی حاصل کرنے سے منع کرتی ہے جب تک کہ دو شرائط میں سے ایک پوری نہ ہو:
- صارف نے واضح اور جامع طور پر آگاہ کیے جانے کے بعد باخبر، رضاکارانہ، مخصوص اور فعال رضامندی دی ہو، یا
- ذخیرہ یا رسائی اس ٹیلی میڈیا سروس کی فراہمی کے لیے سختی سے ضروری ہو جو صارف نے واضح طور پر طلب کی ہو۔
جائز مفاد کی کوئی بنیاد نہیں ہے۔ کوئی نرم opt-in نہیں ہے۔ سختی سے ضروری کی جرمن تشریح بہت سی دیگر یورپی دائرہ اختیارات سے تنگ ہے — یہ سیشن کوکیز، لوڈ بیلنسنگ اور پیمنٹ پروسیسنگ کو کور کرتی ہے، لیکن تجزیات، اشتہارات اور زیادہ تر ذاتی بنانے کو نہیں۔
GDPR کے ساتھ تعامل
TTDSG نے GDPR کی جگہ نہیں لی۔ یہ اس کے اوپر موجود ہے۔ یہاں تک کہ اگر آپ کوکی سیٹ کرنے کے عمل کے لیے TTDSG کی رکاوٹ عبور کر لیتے ہیں، تب بھی آپ کو اس کے بعد کسی بھی ذاتی ڈیٹا پروسیسنگ کے لیے GDPR کے تحت قانونی بنیاد کی ضرورت ہے۔ ایک صاف جرمن تعمیل کی پوزیشن کے لیے دونوں دروازوں سے گزرنا ضروری ہے۔ ایک عام غلطی GDPR کے آرٹیکل 6(1)(a) کے تحت رضامندی جمع کرنا اور یہ فرض کرنا ہے کہ یہ TTDSG کو بھی کور کرتی ہے — یہ کرتی ہے، بشرطیکہ رضامندی TTDSG کی مخصوصیت کی ضروریات کو بھی پورا کرے، جو کئی لحاظ سے GDPR سے زیادہ سخت ہیں۔
جرمنی EU کے باقی حصوں سے کیسے مختلف ہے
EU بھر میں ریگولیٹرز ePrivacy کو قدرے مختلف طریقوں سے تشریح کرتے ہیں۔ جرمنی کئی لحاظ سے سپیکٹرم کے سخت سرے پر ہے۔
تجزیات کے لیے واضح رضامندی درکار
جرمن DPAs نے مستقل طور پر یہ موقف رکھا ہے کہ Google Analytics، Matomo (کلاؤڈ)، Adobe Analytics، Mixpanel اور اسی طرح کے ٹولز کو opt-in رضامندی کی ضرورت ہے۔ مختصر رکھنے کے ساتھ خود میزبانی اور گمنام تجزیات کبھی کبھی سختی سے ضروری کے طور پر اہل ہو سکتے ہیں، لیکن معیار اونچا ہے اور DPA کے لحاظ سے مختلف ہوتا ہے۔ باویریا، بادن-ورٹمبرگ، برلن اور ہیمبرگ ہر ایک تفصیلی تکنیکی رہنمائی شائع کرتا ہے، اور وہ یکساں نہیں ہیں۔
Schrems II اور امریکہ کو ٹرانسفرز
جرمن DPAs Schrems II ٹرانسفر کے مسائل پر یورپ میں سب سے زیادہ جارحانہ رہے ہیں۔ US میزبان ٹریکر چلانا — Data Privacy Framework سرٹیفیکیشن کے ساتھ بھی — جانچ پڑتال کو اپنی طرف کھینچتا ہے اگر ٹریکنگ وسیع ہو یا خاص زمرہ ڈیٹا شامل ہو۔ Datenschutzkonferenz (DSK)، جرمن وفاقی اور ریاستی DPAs کا مشترکہ ادارہ، نے بار بار رہنمائی جاری کی ہے کہ بغیر کسی درست ٹرانسفر میکانزم کے امریکی پروسیسرز کو بھیجی گئی ٹیلی میٹری بیک وقت GDPR اور TTDSG دونوں کی خلاف ورزی کرتی ہے۔
ڈارک پیٹرنز صریح طور پر ممنوع
کئی جرمن DPAs نے نفاذی رہنمائی جاری کی ہے کہ تصدیقی شرمندگی، پہلے سے منتخب چیک باکسز، بٹنوں کی غیر مساوی نمایاں پن، اور جبری انکشاف کے پیٹرن درست TTDSG رضامندی سے مطابقت نہیں رکھتے۔ ایسا بینر جہاں “سب قبول کریں” بصری طور پر غالب ہو اور “سب رد کریں” دوسری کلک کے پیچھے دب گئی ہو، 2026 میں جرمن آڈٹ میں ناکام ہو جائے گا۔
جرمن مارکیٹ کے لیے عملی CMP ضروریات
پروڈکشن ماحول میں TTDSG/TDDDG کو پورا کرنے کے لیے، آپ کے کنسینٹ مینجمنٹ پلیٹ فارم اور ٹیگ مینیجر کو کئی مخصوص طرز عمل نافذ کرنے کی ضرورت ہے۔
قبولیت اور رد کے لیے برابر نمایاں پن
پہلی پرت کا بینر سب قبول کریں کے ساتھ بصری برابری کے ساتھ سب رد کریں کا بٹن دکھانا ضروری ہے۔ رنگ، سائز، پوزیشن اور تعامل کی لاگت متوازن ہونی چاہیے۔ بہت سے CMPs ایک ڈیفالٹ ٹیمپلیٹ کے ساتھ آتے ہیں جو ان کے جرمن لوکیل میں اس معیار پر پورا نہیں اترتا۔
فی وینڈر تفصیل
جرمن ریگولیٹرز توقع کرتے ہیں کہ صارفین فی وینڈر یا فی مقصد بنیاد پر رضامندی دے سکیں، نہ کہ صرف ایک عالمی ٹوگل۔ IAB TCF v2.2 اس توقع کو پورا کرتا ہے، لیکن صرف اس صورت میں جب آپ کی وینڈر فہرست موجودہ ہو اور مقاصد واضح طور پر بیان کیے گئے ہوں۔
رضامندی سے پہلے بلاکنگ
تصدیقی رضامندی ریکارڈ ہونے سے پہلے کوئی تھرڈ پارٹی اسکرپٹ لوڈ نہیں ہو سکتا، کوئی کوکی نہیں لکھی جا سکتی، اور کوئی پکسل فائر نہیں ہو سکتا۔ یہ Google Analytics، Meta Pixel، LinkedIn Insight Tag، Hotjar، Criteo، TikTok اور ہر اشتہاری سرور پر لاگو ہوتا ہے۔ کنسینٹ آگاہ ٹیگ مینجمنٹ موڈز کا استعمال — جیسے Google Tag Manager کی کنسینٹ انیشیلائزیشن — متوقع پیٹرن ہے۔
ایک کلک سے واپس لینے کے قابل
جرمن DPAs کا تقاضا ہے کہ رضامندی واپس لینا اتنا ہی آسان ہو جتنا اسے دینا۔ ہر صفحے پر ایک مستقل، نظر آنے والا میکانزم — ایک فلوٹنگ ری اوپن بٹن، فوٹر لنک، یا اس کے مساوی UI امکان — دستیاب ہونا چاہیے۔
رضامندی کے ریکارڈز اور آڈٹ ٹریل
TTDSG GDPR آرٹیکل 7(1) وراثت میں لیتا ہے: کنٹرولر کو یہ ثابت کرنے کے قابل ہونا چاہیے کہ رضامندی دی گئی تھی۔ ریکارڈ رکھیں کہ رضامندی کب، کیسے اور کن مقاصد کے لیے دی گئی، ترجیحاً جرمن دیوانی قانون کی حد نظر کو دیکھتے ہوئے کم از کم 36 ماہ کے لیے۔ زیادہ تر Google سرٹیفائیڈ CMPs یہ بطور ڈیفالٹ ہینڈل کرتے ہیں۔
موبائل ایپس اور SDK ٹریکنگ
TTDSG موبائل ایپس پر یکساں قوت کے ساتھ لاگو ہوتا ہے۔ Android پر اشتہار کی شناخت، iOS پر idfa، کوئی بھی SDK سطح کی فنگر پرنٹنگ، اور کوئی بھی کراس ایپ کوکی رویہ رضامندی کے اصول کے تابع ہے۔
Android اور iOS برابری
عملی طور پر، iOS App Tracking Transparency پرامپٹ پر انحصار کرنے والے پبلشرز یہ فرض نہیں کر سکتے کہ یہ TTDSG کو پورا کرتا ہے — Apple کا پرامپٹ ایک پلیٹ فارم سطح کا کنٹرول ہے اور بذات خود ایک درست TTDSG رضامندی نہیں ہے۔ آپ کو ایک ان ایپ CMP پرت کی ضرورت ہے جو TTDSG کی تعمیل کرنے والی رضامندی جمع کرے اس سے پہلے کہ کوئی غیر سختی سے ضروری SDK انیشیلائز ہو۔
ان ایپ کنسینٹ اسٹرنگز
موبائل ایپ اشتہارات کے لیے، IAB TCF اسٹرنگ یا IAB GPP اسٹرنگ تیار کی جانی چاہیے اور ہر اس SDK کو پہنچائی جانی چاہیے جو بڈ پائپ لائن میں حصہ لیتا ہو۔ درست کنسینٹ اسٹرنگ کے بغیر، ہر بڈ قانونی طور پر بے نقاب ہے چاہے SDK اپنا رویہ کیسے بھی ترتیب دے۔
2026 میں نفاذ کا منظر نامہ
جرمن DPAs 2024 اور 2025 میں TTDSG نفاذ پر نمایاں طور پر زیادہ متحرک ہو گئے ہیں۔ اکیلے باویریا کے Landesdatenschutzbeauftragte نے سالانہ سینکڑوں تحقیقات کھولی ہیں، اور برلن DPA نے کوکی بینر خلاف ورزیوں کا حوالہ دیتے ہوئے جرمانے جاری کیے ہیں۔
اب تک دیکھے گئے جرمانے
TTDSG خود فی خلاف ورزی EUR 300,000 کا زیادہ سے زیادہ انتظامی جرمانہ مقرر کرتا ہے۔ لیکن چونکہ کوئی بھی TTDSG خلاف ورزی عام طور پر GDPR خلاف ورزی بھی ہے، DPAs نے اکثر زیادہ GDPR جرمانے کو اوپر کر دیا ہے — EUR 20 ملین یا عالمی سالانہ ٹرن اوور کے 4 فیصد تک۔ جرمن مارکیٹ میں پبلشرز اور ای کامرس آپریٹرز کو نمائش کا دائرہ طے کرتے وقت مجموعی ذمہ داری کی منصوبہ بندی کرنی چاہیے۔
سول ذمہ داری
جرمنی ان چند EU دائرہ اختیارات میں سے ایک ہے جہاں انفرادی صارفین نے کوکی خلاف ورزیوں کے حوالے سے GDPR کے آرٹیکل 82 کے تحت غیر مادی نقصانات کے لیے کامیابی سے مقدمہ دائر کیا ہے۔ توقع کریں کہ 2026 میں بھی Verbraucherzentralen اور مدعی قانونی فرموں کے ذریعے منظم ہونے والے اجتماعی صارف دعوے جاری رہیں گے۔
جرمن ٹریفک کے لیے آڈٹ چیک لسٹ
- CMP پہلی پرت پر سب قبول کریں اور سب رد کریں کو یکساں بصری نمایاں پن کے ساتھ پیش کرتا ہے
- رضامندی سے پہلے کوئی کوکیز، پکسلز یا تھرڈ پارٹی اسکرپٹ لوڈ نہیں ہوتے، بشمول تجزیات اور A/B ٹیسٹنگ
- فی مقصد اور فی وینڈر تفصیل فراہم کی جاتی ہے، جرمن زبان میں سادہ زبان میں مقصد کی وضاحتوں کے ساتھ
- رضامندی واپس لینے کا میکانزم مستقل اور ہر صفحے سے قابل رسائی ہے
- ٹائم اسٹیمپ، رضامندی ورژن اور دی گئی اغراض کے ساتھ رضامندی کے ریکارڈ برقرار رکھے جاتے ہیں
- موبائل ایپس iOS ATT پرامپٹ سے قطع نظر کسی بھی غیر سختی سے ضروری SDK کو انیشیلائز کرنے سے پہلے TTDSG رضامندی نافذ کرتی ہیں
- ڈیٹا پروسیسنگ ایڈنڈم اور Schrems II ٹرانسفر اسیسمنٹس ہر US مقیم وینڈر کے لیے دستاویزی ہیں
- تازہ ترین DSK رہنمائی کے خلاف ڈارک پیٹرن کا جائزہ مکمل ہے
- پرائیویسی پالیسی تمام پروسیسرز کا نام لیتی ہے، GDPR کے تحت قانونی بنیاد اور TTDSG کے تحت رضامندی کی بنیاد کو الگ الگ شناخت کرتی ہے، اور جرمن میں دستیاب ہے
- وینڈر فہرست IAB TCF v2.2 کے ساتھ ہم آہنگ ہے اور نئے شراکت دار شامل ہونے پر اپڈیٹ ہوتی ہے
2026 کا آؤٹ لک
2024 میں TDDDG کا نام بدلنے سے جرمن نفاذ نرم نہیں پڑا۔ اگر کچھ ہے تو DPAs دو سال پہلے کے مقابلے DSK کے ذریعے بہتر وسائل سے لیس اور زیادہ منسلک ہیں۔ رجحان واضح ہے: رضامندی کے معیار اونچے ہوں گے، ڈارک پیٹرن کی جانچ تیز ہوگی، اور Schrems II ٹرانسفر اسیسمنٹس معیاری آڈٹ فوکس بن جائیں گی۔ جرمنی میں کام کرنے والے پبلشرز اور اشتہار دہندگان جنہوں نے 2024-2025 میں مناسب کنسینٹ اسٹیک میں سرمایہ کاری کی وہ مجموعی طور پر اچھی حالت میں ہیں۔ جو لوگ جرمن تعمیل کو بعد کے لیے چھوڑ گئے وہ معلوم خامیوں اور بڑھتی ریگولیٹری دلچسپی کے ساتھ 2026 میں داخل ہو رہے ہیں۔ صحیح قدم یہ ہے کہ ان خامیوں کو ابھی بند کریں — اس سے پہلے کہ Landesdatenschutzbeauftragte کی تحقیقات اس معاملے کو ایسے ٹائم لائن پر مجبور کر دے جسے آپ کنٹرول نہیں کرتے۔