Германия playbook: BDSG, TDDDG и какво всъщност прилагат германските DPA
Как се надзирава GDPR в Германия — федералният BfDI, шестнадесет регионални органа за защита на данните, BDSG и специфичният за бисквитки TDDDG (по-рано TTDSG). Какво да следите, ако оперирате на или към германския пазар.
Lukas Kontur · · 6 мин. четене
Германия е най-големият единичен пазар в Европейския съюз, с приблизително 84,6 милиона жители, и има най-фрагментирания пейзаж на правоприлагане в защитата на данните от всички държави членки. Има един федерален надзорен орган — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, съкратено BfDI — и шестнадесет регионални органа, по един на Bundesland. Регионалните органи са тези, с които повечето оператори се сблъскват първо, тъй като повечето частни администратори попадат под регионален, а не под федерален надзор.
Този playbook е работен оператор-ориентиран поглед върху това какво означава това на практика: с кой орган разговаряте, кои закони се прилагат върху GDPR и какво всъщност прилагат германските DPAs.
Правният стек
Три части от законодателството имат значение, в този ред на специфичност.
1. GDPR
General Data Protection Regulation на Европейския съюз се прилага директно в Германия, както във всяка държава членка. Същинските правила за правно основание, права на субектите на данни и отчетност идват оттук.
2. Bundesdatenschutzgesetz (BDSG)
BDSG е германският федерален закон за защита на данните. Той прилага отварящите клаузи на GDPR — местата, където регламентът изрично кани държавите членки да законодателстват — и добавя правила относно служителски данни, видеонаблюдение и ролята на Datenschutzbeauftragter. Две практически последици за операторите:
- Задължителните назначения на DPO са по-широки, отколкото съгласно GDPR Art. 37. Съгласно BDSG § 38, всеки администратор в Германия с поне 20 служители, които редовно обработват лични данни с автоматизирани средства, трябва да назначи Datenschutzbeauftragter. Този праг е специфичен за Германия и улавя много малки и средни предприятия, които не биха имали нужда от DPO в Испания или Италия.
- Служителските данни се регулират от BDSG § 26, който определя специфични изисквания за обработка на лични данни в контекста на трудови отношения.
3. TDDDG (по-рано TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, съкратено TDDDG, е германската транспозиция на ePrivacy Directive Art. 5(3) — закона за бисквитките. Той беше преименуван от TTDSG през 2024 г., за да отрази разширения си обхват към цифровите услуги в по-широк смисъл.
За операторите на уебсайтове оперативната разпоредба е TDDDG § 25, която изисква изрично съгласие преди каквото и да е съхранение на или достъп до информация на крайното оборудване на потребителя, освен когато е строго необходимо. Това е правилото, по което cookie banners се оценяват в Германия.
Германските DPAs, в съвместни указания от Datenschutzkonferenz (DSK), най-видимо в становището на DSK от 11 юли 2023 г. за телемедийните услуги, са заели позицията, че:
- „Строго необходимо“ се чете тясно — бисквитки за количка, сесийни токени и CSRF бисквитки отговарят; аналитика, дори първоличева, обикновено не отговаря.
- Бутон за отказ трябва да е на същия слой на банера като бутона за приемане.
- Предварително отметнати кутийки и съобщения тип „чрез продължаване на сърфирането давате съгласие“ не представляват съгласие.
Кой кого надзирава
Картата на надзора има значение, защото жалбите се пренасочват към органа, където администраторът е установен, а не където пребивава субектът на данни.
- Федерален орган — BfDI. Надзирава федерални публични органи, доставчици на телекомуникации и пощенски оператори. За типичен оператор на търговски уебсайт, BfDI не е вашият надзорен орган.
- Регионални органи — шестнадесет Landesdatenschutzbeauftragte. Надзирават администратори от частния сектор и регионални публични органи. Най-видими са Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) за частни администратори в Бавария, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) и берлинският комисар (BlnBDI), който вижда непропорционален дял от случаи в технологичния сектор просто защото толкова много германски технологични компании са установени в Берлин.
Ако вашето германско юридическо лице е в Мюнхен, разговаряте с BayLDA. Ако е във Франкфурт, разговаряте с HBDI. Ако нямате германско установяване, но насочвате услуги към германския пазар, водещият надзорен орган извън Германия се прилага чрез механизма за обслужване на едно гише на GDPR — но германски потребител все пак може да подаде жалба локално, и германският DPA ще пренасочи жалбата.
Скорошни тенденции в правоприлагането
Три области са били видими в германското правоприлагане.
Правоприлагане по бисквитни банери
Германските DPAs са публикували указания и решения относно банери, които са скривали бутона за отказ или предварително зареждали тракери. Конкретни заповеди, глоби и подробности по случаи са документирани в годишните доклади на органите.
Моделът, който привлича правоприлагане, е същият, който нашият скенер маркира като pre_consent_tracking: банерът се появява, но мрежата вече е заета.
Резултатът за риск е вътрешен сигнал на скенера; той не е правно определение. Основното мрежово прихващане — кои заявки са се задействали преди решението за съгласие и какво са носили — е артефактът, който регулатор или DPO би проучил.
Служителските данни продължават да са област на федерално внимание
BfDI и няколко регионални органи са публикували указания относно инструменти за наблюдение на служители, проследяване на работното време и използването на генеративен ИИ върху служителски данни. Оператори, използващи HR платформи с глобални доставчици, трябва да очакват въпроси относно трансфери и относно правното основание съгласно BDSG § 26, а не обикновеното GDPR Art. 6(1)(f).
Трансфери към Съединените щати
Дори след влизането в сила на EU-US Data Privacy Framework през юли 2023 г., германските DPAs продължават да проверяват трансферите към САЩ. За трансфери към държави извън ЕС без решение за адекватност, оценка на въздействието на трансфера съгласно SCCs е прагът, който германските DPA прилагат от Schrems II. За трансфери към Съединените щати, EU-US Data Privacy Framework предоставя адекватност специално за получатели, сертифицирани по нея; трансферите към несертифицирани получатели в САЩ продължават да разчитат на SCCs с допълнителни мерки. Оператори, разчитащи единствено на SCCs, без документиран анализ, трябва да очакват въпроси.
Контролен списък за оператора
Ако оперирате на или към германския пазар, практическият кратък списък:
- Потвърдете дали прагът ви за назначение на DPO е преминат съгласно BDSG § 38, а не само GDPR Art. 37.
- Одитирайте вашия банер за съгласие срещу TDDDG § 25 и указанията на DSK: отказът трябва да е на същия слой като приемането, без предварително заредени тракери, без манипулация.
- Идентифицирайте кой регионален орган надзирава вашето германско юридическо лице и прочетете публикуваните им фокусни области — те варират.
- Документирайте механизма си за трансфер за всеки процесор със седалище в САЩ.
- Стартирайте сканиране на вашите целеви страници на немски език и сравнете с статията за проследяване преди съгласие.
Германският пазар е голям, изтънчен и добре надзираван. Германските DPAs публикуват указания относно съответствието с банерите за бисквитки и са издавали заповеди за правоприлагане срещу оператори, чиито банери не са отговаряли на тези указания. Моделът, който работи, е простият: не зареждайте нищо несъществено, питайте ясно, уважавайте отговора.
Последно обновяване: