Playbook Německo: BDSG, TDDDG a co německé úřady na ochranu osobních údajů skutečně vymáhají
Jak je GDPR dohlíženo v Německu — federální BfDI, šestnáct zemských úřadů na ochranu osobních údajů, BDSG a specifický TDDDG (dříve TTDSG) pro cookies. Na co dávat pozor, pokud působíte na německém trhu nebo do něj.
Lukas Kontur · · 5 min čtení
Německo je největším jednotným trhem v Evropské unii, s přibližně 84,6 miliony obyvatel, a má nejroztříštěnější krajinu vymáhání ochrany osobních údajů ze všech členských států. Existuje jeden federální dozorový úřad — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, zkráceně BfDI — a šestnáct úřadů na zemské úrovni, jeden na každou Bundesland. Se zemskými úřady se většina provozovatelů setkává jako s prvními, protože většina správců ze soukromého sektoru spadá pod zemský dozor, nikoli federální.
Tento playbook je pracovní pohled provozovatele na to, co to v praxi znamená: s jakým úřadem mluvíte, jaké zákony se uplatňují nad rámec GDPR a co německé DPAs skutečně vymáhají.
Právní stack
Tři legislativní prvky mají význam, v tomto pořadí specifičnosti.
1. GDPR
General Data Protection Regulation Evropské unie se v Německu uplatňuje přímo, jako v každém členském státě. Hmotná pravidla o právním základu, právech subjektů údajů a odpovědnosti pocházejí odsud.
2. Bundesdatenschutzgesetz (BDSG)
BDSG je německý federální zákon o ochraně osobních údajů. Implementuje otevírací klauzule GDPR — místa, kde nařízení výslovně vyzývá členské státy k legislativní činnosti — a doplňuje pravidla o údajích zaměstnanců, kamerovém dohledu a roli Datenschutzbeauftragter. Dva praktické důsledky pro provozovatele:
- Povinné jmenování DPO je širší než podle GDPR Art. 37. Podle BDSG § 38 musí každý správce v Německu s alespoň 20 zaměstnanci pravidelně zpracovávajícími osobní údaje pomocí automatizovaných prostředků jmenovat Datenschutzbeauftragter. Tento práh je specifický pro Německo a zachycuje mnoho malých a středních podniků, které by v Španělsku nebo Itálii DPO nepotřebovaly.
- Údaje zaměstnanců se řídí BDSG § 26, který stanoví specifické požadavky na zpracování osobních údajů v kontextu zaměstnání.
3. TDDDG (dříve TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, zkráceně TDDDG, je německá implementace ePrivacy Directive Art. 5(3) — zákona o cookies. Byl přejmenován z TTDSG v roce 2024, aby odrážel jeho rozšířený rozsah na digitální služby šířeji.
Pro provozovatele webů je operativním ustanovením TDDDG § 25, který vyžaduje opt-in souhlas před jakýmkoli uložením informací v koncovém zařízení uživatele nebo přístupem k nim, s výjimkou případů, kdy je to nezbytně nutné. Toto je pravidlo, podle kterého se v Německu hodnotí cookie banners.
Německé DPAs ve společném pokynu Datenschutzkonferenz (DSK), nejviditelněji v prohlášení DSK z 11. července 2023 o telemediálních službách, zaujaly stanovisko, že:
- "Nezbytně nutné" je vykládáno úzce — cookies košíku, tokeny relace a CSRF cookies se kvalifikují; analytika, dokonce ani vlastní analytika, obecně ne.
- Tlačítko odmítnutí musí být na stejné vrstvě banneru jako tlačítko přijetí.
- Předem zaškrtnutá pole a oznámení typu "pokračováním v prohlížení vyjadřujete souhlas" nepředstavují souhlas.
Kdo koho dohlíží
Dozorová mapa má význam, protože stížnosti se směrují k úřadu, kde je správce usazen, nikoli kde žije subjekt údajů.
- Federální úřad — BfDI. Dohlíží federální veřejné orgány, poskytovatele telekomunikačních služeb a poštovní operátory. Pro typického provozovatele komerčního webu BfDI není vaším dozorem.
- Zemské úřady — šestnáct Landesdatenschutzbeauftragte. Dohlížejí správce ze soukromého sektoru a veřejné orgány na zemské úrovni. Nejvýznamnější jsou Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) pro soukromé správce v Bavorsku, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) a berlínský komisař (BlnBDI), který vidí nepoměrný podíl případů z technologického sektoru jednoduše proto, že tolik německých technologických firem má sídlo v Berlíně.
Pokud je vaše německá právnická osoba v Mnichově, mluvíte s BayLDA. Pokud je ve Frankfurtu, mluvíte s HBDI. Pokud nemáte německou pobočku, ale směrujete služby na německý trh, vedoucí dozorový úřad mimo Německo se uplatňuje prostřednictvím mechanismu "one-stop-shop" GDPR — ale německý uživatel může stále podat stížnost lokálně a německý DPA stížnost přesměruje.
Nejnovější trendy ve vymáhání
Tři oblasti byly v německém vymáhání viditelné.
Vymáhání banneru cookies
Německé DPAs publikovaly pokyny a rozhodnutí o bannerech, které pohřbívaly tlačítko odmítnutí nebo předem načítaly trackery. Konkrétní příkazy, pokuty a podrobnosti případů jsou zdokumentovány ve výročních zprávách úřadů.
Vzor, který přitahuje vymáhání, je ten, který náš skener označuje jako pre_consent_tracking: banner se objeví, ale síť je již zaneprázdněna.
Skóre rizika je interní signál skeneru; není to právní rozhodnutí. Podkladový síťový záznam — které požadavky byly odeslány před rozhodnutím o souhlasu a co nesly — je artefakt, který by zkoumal regulátor nebo DPO.
Údaje zaměstnanců zůstávají oblastí federální pozornosti
BfDI a několik zemských úřadů publikovaly pokyny o nástrojích pro monitorování zaměstnanců, sledování času a využití generativní AI na údajích zaměstnanců. Provozovatelé využívající HR platformy s globálními dodavateli by měli očekávat otázky o přenosech a o právním základu podle BDSG § 26, nikoli běžného GDPR Art. 6(1)(f).
Přenosy do Spojených států
I po vstupu EU-US Data Privacy Framework v platnost v červenci 2023 německé DPAs nadále zkoumaly přenosy do USA. U přenosů do zemí mimo EU bez rozhodnutí o adekvátnosti je posouzení dopadu přenosu podle SCCs hranicí, kterou německé DPA uplatňují od Schrems II. U přenosů do Spojených států EU-US Data Privacy Framework poskytuje adekvátnost konkrétně pro příjemce certifikované v jeho rámci; přenosy k necertifikovaným americkým příjemcům stále jezdí na SCCs s doplňkovými opatřeními. Provozovatelé spoléhající pouze na SCCs, bez zdokumentované analýzy, by měli očekávat otázky.
Kontrolní seznam provozovatele
Pokud působíte na německém trhu nebo do něj, praktický krátký seznam:
- Potvrďte, zda byl váš práh jmenování DPO překročen podle BDSG § 38, nikoli pouze GDPR Art. 37.
- Zauditujte svůj banner souhlasu vůči TDDDG § 25 a pokynům DSK: odmítnutí musí být na stejné vrstvě jako přijetí, žádné předem načtené trackery, žádné navádění.
- Identifikujte, který zemský úřad dohlíží vaši německou právnickou osobu, a přečtěte si jeho zveřejněné oblasti zájmu — liší se.
- Zdokumentujte svůj mechanismus přenosu pro každého procesora se sídlem v USA.
- Spusťte sken svých německy mluvících vstupních stránek a porovnejte s článkem znalostí o sledování před souhlasem.
Německý trh je velký, sofistikovaný a dobře dohlížený. Německé DPAs publikují pokyny ke shodě banneru cookies a vydaly vymáhací příkazy proti provozovatelům, jejichž bannery tyto pokyny nesplňovaly. Vzor, který funguje, je jednoduchý: nenačítejte nic nepodstatného, ptejte se jasně, respektujte odpověď.
Naposledy aktualizováno: