TTDSG và TDDDG Thực sự Điều chỉnh Điều gì

TTDSG chuyển hóa Chỉ thị ePrivacy của EU thành luật Đức với sự chính xác khác thường. Trong khi GDPR điều chỉnh việc xử lý dữ liệu cá nhân, TTDSG điều chỉnh bất kỳ việc lưu trữ thông tin trong, hoặc truy cập vào thông tin đã lưu trữ trên, thiết bị đầu cuối của người dùng — bất kể thông tin đó có phải là dữ liệu cá nhân hay không. Nói một cách đơn giản: mỗi cookie, mỗi pixel, mỗi lần ghi vào bộ nhớ cục bộ, mỗi tập lệnh lấy dấu tay đều nằm trong phạm vi, ngay cả khi không thu thập dữ liệu cá nhân nào.

Điều 25 — Quy tắc Đồng ý Cốt lõi

Điều khoản then chốt là Điều 25 của TTDSG (nay là Điều 25 TDDDG). Nó cấm lưu trữ hoặc truy cập bất kỳ thông tin nào trên thiết bị đầu cuối của người dùng trừ khi một trong hai điều kiện được đáp ứng:

• Người dùng đã cho sự đồng ý được thông báo, tự nguyện, cụ thể và chủ động sau khi được thông báo theo cách rõ ràng và toàn diện, hoặc
• Việc lưu trữ hoặc truy cập là hoàn toàn cần thiết để cung cấp dịch vụ truyền thông mà người dùng đã yêu cầu rõ ràng.

Không có cơ sở lợi ích hợp pháp. Không có opt-in mềm. Cách giải thích của Đức về hoàn toàn cần thiết hẹp hơn nhiều so với các thẩm quyền châu Âu khác — nó bao gồm cookie phiên, cân bằng tải và xử lý thanh toán, nhưng không bao gồm phân tích, quảng cáo và hầu hết các cá nhân hóa.

Tương tác với GDPR

TTDSG không thay thế GDPR. Nó nằm trên GDPR. Ngay cả khi bạn vượt qua rào cản TTDSG cho hành động đặt cookie, bạn vẫn cần cơ sở pháp lý theo GDPR cho bất kỳ quá trình xử lý dữ liệu cá nhân nào theo sau. Một tư thế tuân thủ Đức sạch đòi hỏi phải vượt qua cả hai cổng. Một lỗi phổ biến là thu thập sự đồng ý theo Điều 6(1)(a) của GDPR và cho rằng điều đó cũng bao gồm TTDSG — đúng vậy, miễn là sự đồng ý đó cũng đáp ứng các yêu cầu tính đặc thù của TTDSG, vốn nghiêm ngặt hơn GDPR ở một số khía cạnh.

Đức Khác với Phần còn lại của EU như thế nào

Các cơ quan quản lý trên khắp EU diễn giải ePrivacy theo những cách hơi khác nhau. Đức ở đầu nghiêm ngặt của phổ về một số điểm.

Yêu cầu Đồng ý Rõ ràng cho Phân tích

Các DPA của Đức đã nhất quán giữ quan điểm rằng Google Analytics, Matomo (đám mây), Adobe Analytics, Mixpanel và các công cụ tương tự yêu cầu đồng ý opt-in. Phân tích được tự lưu trữ, ẩn danh với thời gian lưu giữ ngắn đôi khi có thể đủ điều kiện là hoàn toàn cần thiết, nhưng tiêu chuẩn cao và khác nhau giữa các DPA. Bavaria, Baden-Württemberg, Berlin và Hamburg đều công bố hướng dẫn kỹ thuật chi tiết, và chúng không giống nhau.

Schrems II và Chuyển giao sang Mỹ

Các DPA của Đức đã là những nước tích cực nhất ở châu Âu về các vấn đề chuyển giao Schrems II. Chạy một trình theo dõi được lưu trữ tại Mỹ — ngay cả với chứng nhận Data Privacy Framework — sẽ thu hút sự giám sát nếu việc theo dõi là phổ biến hoặc liên quan đến dữ liệu danh mục đặc biệt. Datenschutzkonferenz (DSK), cơ quan chung của các DPA liên bang và tiểu bang Đức, đã ban hành hướng dẫn nhiều lần rằng telemetry gửi đến các bộ xử lý Mỹ mà không có cơ chế chuyển giao hợp lệ sẽ vi phạm đồng thời cả GDPR lẫn TTDSG.

Các Mẫu Tối Bị Cấm Rõ ràng

Một số DPA của Đức đã ban hành hướng dẫn thực thi rằng việc gây xấu hổ xác nhận, các hộp kiểm được chọn sẵn, độ nổi bật nút không đều nhau và các mẫu tiết lộ bắt buộc không tương thích với sự đồng ý TTDSG hợp lệ. Một banner mà “Chấp nhận tất cả” chiếm ưu thế về mặt trực quan và “Từ chối tất cả” bị ẩn sau một lần nhấp thứ hai sẽ thất bại trong kiểm tra của Đức vào năm 2026.

Yêu cầu CMP Thực tế cho Thị trường Đức

Để đáp ứng TTDSG/TDDDG trong môi trường sản xuất, nền tảng quản lý đồng ý và trình quản lý thẻ của bạn cần thực thi một số hành vi cụ thể.

Độ Nổi bật Bằng nhau cho Chấp nhận và Từ chối

Banner lớp đầu tiên phải hiển thị nút Từ chối Tất cả với sự ngang bằng trực quan với Chấp nhận Tất cả. Màu sắc, kích thước, vị trí và chi phí tương tác phải được cân bằng. Nhiều CMP cung cấp mẫu mặc định không đáp ứng tiêu chuẩn này trong ngôn ngữ Đức của họ.

Mức độ Chi tiết theo Nhà cung cấp

Các cơ quan quản lý Đức kỳ vọng người dùng có thể đồng ý trên cơ sở từng nhà cung cấp hoặc từng mục đích, không chỉ là một nút bật tắt toàn cầu duy nhất. IAB TCF v2.2 đáp ứng kỳ vọng này, nhưng chỉ khi danh sách nhà cung cấp của bạn là hiện tại và các mục đích được giải thích rõ ràng.

Chặn Trước khi Đồng ý

Không có tập lệnh bên thứ ba nào được tải, không có cookie nào được ghi và không có pixel nào được kích hoạt trước khi ghi lại sự đồng ý khẳng định. Điều này áp dụng cho Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok và mọi máy chủ quảng cáo. Việc sử dụng các chế độ quản lý thẻ nhận biết đồng ý — chẳng hạn như khởi tạo đồng ý của Google Tag Manager — là mẫu được kỳ vọng.

Có thể Rút lại Chỉ với Một Cú nhấp

Các DPA của Đức yêu cầu rằng việc rút lại đồng ý cũng dễ dàng như việc cấp nó. Một cơ chế liên tục, có thể nhìn thấy — nút mở lại nổi, liên kết chân trang hoặc khả năng UI tương đương — phải có sẵn trên mọi trang của trang web.

Hồ sơ Đồng ý và Dấu vết Kiểm tra

TTDSG kế thừa Điều 7(1) GDPR: người kiểm soát phải có thể chứng minh rằng sự đồng ý đã được đưa ra. Lưu giữ hồ sơ về thời điểm, cách thức và mục đích đồng ý được cấp, lý tưởng là ít nhất 36 tháng tính đến thời hiệu dân sự của Đức. Hầu hết các CMP được Google chứng nhận xử lý điều này theo mặc định.

Ứng dụng Di động và Theo dõi SDK

TTDSG áp dụng cho ứng dụng di động với sức mạnh tương đương. Mã định danh quảng cáo trên Android, idfa trên iOS, bất kỳ lấy dấu tay cấp SDK nào và bất kỳ hành vi cookie xuyên ứng dụng nào đều phải tuân theo quy tắc đồng ý.

Sự Tương đương Android và iOS

Trong thực tế, các nhà xuất bản dựa vào lời nhắc iOS App Tracking Transparency không thể giả định rằng nó đáp ứng TTDSG — lời nhắc của Apple là kiểm soát cấp nền tảng và tự nó không phải là sự đồng ý TTDSG hợp lệ. Bạn cần một lớp CMP trong ứng dụng thu thập sự đồng ý tuân thủ TTDSG trước khi bất kỳ SDK nào không hoàn toàn cần thiết được khởi tạo.

Chuỗi Đồng ý Trong ứng dụng

Đối với quảng cáo ứng dụng di động, chuỗi IAB TCF hoặc chuỗi IAB GPP phải được tạo ra và truyền đến mọi SDK tham gia vào quy trình đấu giá. Không có chuỗi đồng ý hợp lệ, mọi lần đặt giá đều bị phơi bày về mặt pháp lý bất kể SDK cấu hình hành vi của chính nó như thế nào.

Bối cảnh Thực thi Năm 2026

Các DPA của Đức đã trở nên tích cực hơn đáng kể trong việc thực thi TTDSG vào năm 2024 và 2025. Landesdatenschutzbeauftragte của riêng Bavaria đã mở hàng trăm cuộc điều tra mỗi năm, và DPA của Berlin đã ban hành các khoản phạt đặc biệt nêu rõ vi phạm banner cookie.

Các Khoản Phạt Đã Thấy Cho đến nay

Bản thân TTDSG đặt ra mức phạt hành chính tối đa là EUR 300.000 cho mỗi vi phạm. Nhưng vì bất kỳ vi phạm TTDSG nào thường cũng là vi phạm GDPR, các DPA thường đã xếp chồng mức phạt GDPR cao hơn — lên đến EUR 20 triệu hoặc 4 phần trăm doanh thu hàng năm toàn cầu. Các nhà xuất bản và nhà vận hành thương mại điện tử tại thị trường Đức nên lên kế hoạch cho trách nhiệm xếp chồng khi định phạm vi rủi ro.

Trách nhiệm Dân sự

Đức là một trong số ít thẩm quyền EU nơi người dùng cá nhân đã kiện thành công để đòi bồi thường thiệt hại phi vật chất theo Điều 82 GDPR liên quan đến vi phạm cookie. Mong đợi các yêu cầu bồi thường của người tiêu dùng hàng loạt, thường được tổ chức qua Verbraucherzentralen và các công ty luật nguyên đơn, sẽ tiếp tục vào năm 2026.

Danh sách Kiểm tra Kiểm toán cho Lưu lượng Đức

• CMP trình bày Chấp nhận Tất cả và Từ chối Tất cả với độ nổi bật trực quan bằng nhau trên lớp đầu tiên
• Không có cookie, pixel hoặc tập lệnh bên thứ ba nào tải trước khi đồng ý, bao gồm cả phân tích và kiểm tra A/B
• Mức độ chi tiết theo mục đích và theo nhà cung cấp được cung cấp, với mô tả mục đích bằng ngôn ngữ đơn giản bằng tiếng Đức
• Cơ chế rút lại đồng ý là liên tục và có thể truy cập từ mọi trang
• Hồ sơ đồng ý được lưu giữ với dấu thời gian, phiên bản đồng ý và các mục đích đã cấp
• Ứng dụng di động thực thi đồng ý TTDSG trước khi khởi tạo bất kỳ SDK nào không hoàn toàn cần thiết, độc lập với lời nhắc iOS ATT
• Phụ lục Xử lý Dữ liệu và đánh giá chuyển giao Schrems II được ghi lại cho mọi nhà cung cấp dựa trên Mỹ
• Xem xét mẫu tối đã được hoàn thành dựa trên hướng dẫn DSK mới nhất
• Chính sách quyền riêng tư đặt tên cho tất cả bộ xử lý, xác định cơ sở pháp lý theo GDPR và cơ sở đồng ý theo TTDSG riêng biệt, và có sẵn bằng tiếng Đức
• Danh sách nhà cung cấp được đồng bộ hóa với IAB TCF v2.2 và được cập nhật khi thêm đối tác mới

Triển vọng Năm 2026

Việc đổi tên thành TDDDG vào năm 2024 không làm mềm hóa việc thực thi của Đức. Nếu có điều gì, các DPA được trang bị tốt hơn và phối hợp tốt hơn qua DSK so với hai năm trước. Quỹ đạo rõ ràng: các tiêu chuẩn đồng ý sẽ cao hơn, giám sát mẫu tối sẽ tăng cường và đánh giá chuyển giao Schrems II sẽ trở thành trọng tâm kiểm toán tiêu chuẩn. Các nhà xuất bản và nhà quảng cáo hoạt động ở Đức đã đầu tư vào ngăn xếp đồng ý phù hợp trong năm 2024-2025 nhìn chung đang ở trạng thái tốt. Những người để lại sự tuân thủ của Đức cho sau này đang bước vào năm 2026 với những khoảng trống đã biết và sự quan tâm ngày càng tăng của cơ quan quản lý. Bước đi đúng đắn là đóng những khoảng trống đó ngay bây giờ — trước khi một cuộc điều tra của Landesdatenschutzbeauftragte buộc đặt câu hỏi theo một dòng thời gian mà bạn không kiểm soát.