Tyskland-playbook: BDSG, TDDDG, og hvad de tyske datatilsyn faktisk håndhæver
Sådan føres tilsyn med GDPR i Tyskland — det føderale BfDI, seksten delstatslige datatilsyn, BDSG og det cookie-specifikke TDDDG (tidligere TTDSG). Hvad du skal være opmærksom på, hvis du opererer i eller ind på det tyske marked.
Lukas Kontur · · 5 min læsning
Tyskland er det største enkeltmarked i Den Europæiske Union med omkring 84,6 millioner indbyggere, og det har det mest fragmenterede landskab for håndhævelse af databeskyttelse blandt alle medlemsstater. Der er én føderal tilsynsmyndighed — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, forkortet BfDI — og seksten delstatslige myndigheder, en pr. Bundesland. De delstatslige myndigheder er dem, de fleste operatører møder først, fordi de fleste private dataansvarlige er underlagt delstatsligt og ikke føderalt tilsyn.
Denne playbook er et arbejdende operatørsyn på, hvad det betyder i praksis: hvilken myndighed du taler med, hvilke love der gælder oven på GDPR, og hvad de tyske DPAs faktisk har håndhævet.
Den juridiske stak
Tre lovgivningsstykker betyder noget, i denne rækkefølge af specificitet.
1. GDPR
Den Europæiske Unions General Data Protection Regulation gælder direkte i Tyskland som i enhver medlemsstat. De materielle regler om retsgrundlag, registreredes rettigheder og ansvarlighed kommer herfra.
2. Bundesdatenschutzgesetz (BDSG)
BDSG er den tyske føderale databeskyttelseslov. Den udfylder åbningsklausulerne i GDPR — de steder, hvor forordningen udtrykkeligt opfordrer medlemsstaterne til at lovgive — og tilføjer regler om medarbejderdata, videoovervågning og Datenschutzbeauftragter's rolle. To praktiske konsekvenser for operatører:
- Pligten til at udpege en DPO er bredere end efter GDPR Art. 37. Efter BDSG § 38 skal enhver dataansvarlig i Tyskland med mindst 20 medarbejdere, der regelmæssigt behandler personoplysninger med automatiserede midler, udpege en Datenschutzbeauftragter. Denne tærskel er tysk-specifik og fanger mange SMV'er, der ikke ville have brug for en DPO i Spanien eller Italien.
- Medarbejderdata er reguleret af BDSG § 26, som fastsætter særlige krav til behandling af personoplysninger i ansættelsessammenhæng.
3. TDDDG (tidligere TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, forkortet TDDDG, er den tyske gennemførelse af ePrivacy Directive Art. 5(3) — cookieloven. Den blev omdøbt fra TTDSG i 2024 for at afspejle dens udvidede anvendelsesområde til digitale tjenester mere bredt.
For website-operatører er den operative bestemmelse TDDDG § 25, som kræver opt-in-samtykke, før der lagres oplysninger på eller hentes adgang til oplysninger på en brugers terminaludstyr, medmindre det er strengt nødvendigt. Det er reglen, hvorefter cookie banners vurderes i Tyskland.
De tyske DPAs har i fælles vejledning fra Datenschutzkonferenz (DSK), mest fremtrædende i DSK-erklæringen af 11. juli 2023 om telemedietjenester, indtaget den holdning, at:
- "Strengt nødvendigt" læses snævert — kurv-cookies, sessionstokens og CSRF-cookies kvalificerer sig; analytics, også first-party-analytics, gør det generelt ikke.
- En afvis-knap skal ligge på samme bannerlag som accept-knappen.
- Forhåndsafkrydsede felter og meddelelser som "ved at fortsætte med at browse, samtykker du" udgør ikke samtykke.
Hvem fører tilsyn med hvem
Tilsynskortet er vigtigt, fordi klager dirigeres til myndigheden, hvor den dataansvarlige er etableret, ikke hvor den registrerede bor.
- Føderal myndighed — BfDI. Fører tilsyn med føderale offentlige organer, teleudbydere og posttjenesteoperatører. For en typisk kommerciel website-operatør er BfDI ikke din tilsynsmyndighed.
- Delstatslige myndigheder — seksten Landesdatenschutzbeauftragte. Fører tilsyn med private dataansvarlige og delstatslige offentlige organer. De mest fremtrædende er Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) for private dataansvarlige i Bayern, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) og Berlin-kommissæren (BlnBDI), som ser en uforholdsmæssig stor andel af tech-sager, simpelthen fordi så mange tyske tech-virksomheder har sæde i Berlin.
Hvis din tyske juridiske enhed ligger i München, taler du med BayLDA. Hvis den ligger i Frankfurt, taler du med HBDI. Hvis du ikke har nogen tysk etablering, men retter tjenester ind på det tyske marked, gælder den ledende tilsynsmyndighed uden for Tyskland via GDPR's one-stop-shop-mekanisme — men en tysk bruger kan stadig klage lokalt, og det tyske DPA vil viderebringe klagen.
Nylige håndhævelsestendenser
Tre områder har været synlige i tysk håndhævelse.
Håndhævelse af cookiebannere
Tyske DPAs har offentliggjort vejledning og afgørelser om bannere, der skjulte afvis-knappen eller forhåndsindlæste sporere. Konkrete påbud, bøder og sagsdetaljer er dokumenteret i myndighedernes årsberetninger.
Mønsteret, der trækker håndhævelse til sig, er det, vores scanner markerer som pre_consent_tracking: Banneret vises, men netværket er allerede travlt.
Risikoscoren er et scanner-internt signal; det er ikke en juridisk vurdering. Den underliggende netværksoptagelse — hvilke anmodninger der affyrede før samtykkebeslutningen, og hvad de bar — er den artefakt, en tilsynsmyndighed eller en DPO vil undersøge.
Medarbejderdata fortsætter med at være et føderalt opmærksomhedsområde
BfDI og flere delstatslige myndigheder har offentliggjort vejledning om medarbejderovervågningsværktøjer, tidsregistrering og brugen af generativ AI på medarbejderdata. Operatører, der bruger HR-platforme med globale leverandører, bør forvente spørgsmål om overførsler og om retsgrundlaget efter BDSG § 26 snarere end almindelig GDPR Art. 6(1)(f).
Overførsler til USA
Selv efter at EU-US Data Privacy Framework trådte i kraft i juli 2023, har tyske DPAs fortsat med at granske amerikanske overførsler. For overførsler til ikke-EU-lande uden en tilstrækkelighedsafgørelse er en Transfer Impact Assessment under SCCs den standard, tyske DPA'er har anvendt siden Schrems II. For overførsler til USA giver EU-US Data Privacy Framework tilstrækkelighed specifikt for modtagere certificeret under den; overførsler til ikke-certificerede amerikanske modtagere kører stadig på SCCs med supplerende foranstaltninger. Operatører, der støtter sig alene på SCCs uden dokumenteret analyse, bør forvente spørgsmål.
Operatør-tjekliste
Hvis du opererer i eller ind på det tyske marked, den praktiske kortliste:
- Bekræft, om din tærskel for DPO-udpegning er overskredet efter BDSG § 38, ikke kun GDPR Art. 37.
- Auditér dit samtykkebanner mod TDDDG § 25 og DSK-vejledningen: Afvis skal være på samme lag som accepter, ingen forhåndsindlæste sporere, ingen nudging.
- Identificér, hvilken delstatslig myndighed der fører tilsyn med din tyske juridiske enhed, og læs deres offentliggjorte fokusområder — de varierer.
- Dokumentér din overførselsmekanisme for enhver USA-baseret databehandler.
- Kør en scanning af dine tysksprogede landingssider, og sammenlign med vidensartiklen om sporing før samtykke.
Det tyske marked er stort, sofistikeret og velreguleret. Tyske DPAs offentliggør vejledning om cookiebanner-compliance og har udstedt håndhævelsespåbud mod operatører, hvis bannere ikke opfyldte den vejledning. Mønsteret, der virker, er det enkle: indlæs intet ikke-essentielt, spørg klart, respektér svaret.
Senest opdateret: