Playbook Γερμανίας: BDSG, TDDDG και τι πραγματικά επιβάλλουν οι γερμανικές DPAs
Πώς εποπτεύεται ο ΓΚΠΔ στη Γερμανία — ο ομοσπονδιακός BfDI, δεκαέξι ομόσπονδες αρχές προστασίας δεδομένων, το BDSG και το ειδικό για τα cookies TDDDG (πρώην TTDSG). Τι πρέπει να προσέχετε αν δραστηριοποιείστε εντός ή προς τη γερμανική αγορά.
Lukas Kontur · · 6 λεπτά ανάγνωσης
Η Γερμανία είναι η μεγαλύτερη ενιαία αγορά της Ευρωπαϊκής Ένωσης, με περίπου 84,6 εκατομμύρια κατοίκους, και διαθέτει το πιο κατακερματισμένο τοπίο επιβολής προστασίας δεδομένων από κάθε κράτος μέλος. Υπάρχει μία ομοσπονδιακή εποπτική αρχή — η Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, με συντομογραφία BfDI — και δεκαέξι αρχές σε επίπεδο κρατιδίων, μία ανά Bundesland. Οι αρχές των κρατιδίων είναι αυτές που συναντούν πρώτοι οι περισσότεροι επιχειρησιακοί φορείς, επειδή οι περισσότεροι ιδιωτικοί υπεύθυνοι υπόκεινται σε εποπτεία κρατιδίου και όχι ομοσπονδίας.
Αυτό το playbook είναι η οπτική ενός πρακτικού για το τι σημαίνει αυτό στην πράξη: σε ποια αρχή θα μιλήσετε, ποιοι νόμοι εφαρμόζονται επιπλέον του GDPR και τι έχουν πραγματικά επιβάλει οι γερμανικές DPAs.
Η νομική στοίβα
Τρία κομμάτια νομοθεσίας έχουν σημασία, με αυτή τη σειρά ειδικότητας.
1. GDPR
Ο General Data Protection Regulation της Ευρωπαϊκής Ένωσης εφαρμόζεται άμεσα στη Γερμανία όπως και σε κάθε κράτος μέλος. Οι ουσιαστικοί κανόνες για τη νομική βάση, τα δικαιώματα του υποκειμένου και τη λογοδοσία προέρχονται από εδώ.
2. Bundesdatenschutzgesetz (BDSG)
Το BDSG είναι ο γερμανικός ομοσπονδιακός νόμος προστασίας δεδομένων. Εξειδικεύει τις ρήτρες ανοίγματος του GDPR — τα σημεία όπου ο κανονισμός καλεί ρητά τα κράτη μέλη να νομοθετήσουν — και προσθέτει κανόνες για τα δεδομένα εργαζομένων, τη βιντεοεπιτήρηση και τον ρόλο του Datenschutzbeauftragter. Δύο πρακτικές συνέπειες για τους επιχειρησιακούς φορείς:
- Οι υποχρεωτικοί διορισμοί DPO είναι ευρύτεροι από ό,τι στο GDPR Art. 37. Σύμφωνα με το BDSG § 38, κάθε υπεύθυνος επεξεργασίας στη Γερμανία με τουλάχιστον 20 υπαλλήλους που επεξεργάζονται τακτικά δεδομένα προσωπικού χαρακτήρα με αυτοματοποιημένα μέσα πρέπει να διορίσει Datenschutzbeauftragter. Αυτό το όριο είναι ειδικό της Γερμανίας και περιλαμβάνει πολλές ΜΜΕ που δεν θα χρειάζονταν DPO σε Ισπανία ή Ιταλία.
- Τα δεδομένα εργαζομένων διέπονται από το BDSG § 26, που θέτει συγκεκριμένες απαιτήσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο απασχόλησης.
3. TDDDG (πρώην TTDSG)
Το Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, με συντομογραφία TDDDG, είναι η γερμανική μεταφορά της ePrivacy Directive Art. 5(3) — της νομοθεσίας για τα cookies. Μετονομάστηκε από TTDSG το 2024 ώστε να αντικατοπτρίζει την επεκταμένη εμβέλειά του στις ψηφιακές υπηρεσίες γενικότερα.
Για τους φορείς εκμετάλλευσης ιστότοπων, η ενεργή διάταξη είναι το TDDDG § 25, που απαιτεί opt-in συγκατάθεση πριν από οποιαδήποτε αποθήκευση ή πρόσβαση σε πληροφορίες στον τερματικό εξοπλισμό του χρήστη, εκτός εάν είναι αυστηρά απαραίτητο. Αυτός είναι ο κανόνας βάσει του οποίου αξιολογούνται τα cookie banners στη Γερμανία.
Οι γερμανικές DPAs, σε κοινή κατευθυντήρια γραμμή από τη Datenschutzkonferenz (DSK), και κυρίως στη δήλωση της DSK της 11ης Ιουλίου 2023 για τις υπηρεσίες τηλεμέσων, έχουν υιοθετήσει τη θέση ότι:
- Το «αυστηρά απαραίτητο» ερμηνεύεται στενά — cookies καλαθιού, session tokens και CSRF cookies πληρούν το κριτήριο· τα analytics, ακόμα και τα first-party analytics, γενικά δεν το πληρούν.
- Το κουμπί απόρριψης πρέπει να βρίσκεται στο ίδιο επίπεδο banner με το κουμπί αποδοχής.
- Τα προεπιλεγμένα τσεκ και οι ειδοποιήσεις «με τη συνέχιση της περιήγησης συναινείτε» δεν αποτελούν συγκατάθεση.
Ποιος εποπτεύει ποιον
Ο χάρτης εποπτείας έχει σημασία, επειδή οι καταγγελίες δρομολογούνται στην αρχή όπου είναι εγκατεστημένος ο υπεύθυνος, όχι όπου κατοικεί το υποκείμενο των δεδομένων.
- Ομοσπονδιακή αρχή — BfDI. Εποπτεύει ομοσπονδιακούς δημόσιους φορείς, παρόχους τηλεπικοινωνιών και φορείς ταχυδρομικών υπηρεσιών. Για έναν τυπικό εμπορικό φορέα ιστότοπου, η BfDI δεν είναι η εποπτική σας αρχή.
- Αρχές κρατιδίων — δεκαέξι Landesdatenschutzbeauftragte. Εποπτεύουν ιδιωτικούς υπευθύνους και δημόσιους φορείς κρατιδίου. Οι πιο γνωστές είναι το Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) για ιδιωτικούς υπευθύνους στη Βαυαρία, ο Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) και η επίτροπος του Βερολίνου (BlnBDI), που δέχεται δυσανάλογα μεγάλο μερίδιο υποθέσεων του τεχνολογικού τομέα απλώς επειδή τόσες πολλές γερμανικές τεχνολογικές εταιρείες έχουν έδρα στο Βερολίνο.
Αν η γερμανική σας νομική οντότητα βρίσκεται στο Μόναχο, μιλάτε στη BayLDA. Αν βρίσκεται στη Φρανκφούρτη, μιλάτε στη HBDI. Αν δεν έχετε γερμανική εγκατάσταση αλλά κατευθύνετε υπηρεσίες προς τη γερμανική αγορά, εφαρμόζεται η επικεφαλής εποπτική αρχή εκτός Γερμανίας μέσω του μηχανισμού μίας στάσης του GDPR — αλλά ένας Γερμανός χρήστης μπορεί πάντα να καταγγείλει τοπικά, και η γερμανική DPA θα δρομολογήσει την καταγγελία.
Πρόσφατες τάσεις επιβολής
Τρεις περιοχές έχουν φανεί στη γερμανική επιβολή.
Επιβολή στα cookie banners
Οι γερμανικές DPAs έχουν δημοσιεύσει οδηγίες και αποφάσεις για banners που έκρυβαν το κουμπί απόρριψης ή προφόρτωναν ιχνηλάτες. Συγκεκριμένες εντολές, πρόστιμα και λεπτομέρειες υποθέσεων τεκμηριώνονται στις ετήσιες εκθέσεις των αρχών.
Το μοτίβο που προσελκύει επιβολή είναι ακριβώς εκείνο που ο σαρωτής μας επισημαίνει ως pre_consent_tracking: το banner εμφανίζεται, αλλά το δίκτυο είναι ήδη απασχολημένο.
Το risk score είναι ένα εσωτερικό σήμα του σαρωτή· δεν αποτελεί νομική κρίση. Η υποκείμενη σύλληψη δικτύου — ποια αιτήματα ενεργοποιήθηκαν πριν από την απόφαση συγκατάθεσης και τι μετέφεραν — είναι το τεκμήριο που θα εξέταζε μια αρχή ή ένας DPO.
Τα δεδομένα εργαζομένων παραμένουν περιοχή ομοσπονδιακής προσοχής
Η BfDI και αρκετές αρχές κρατιδίων έχουν δημοσιεύσει οδηγίες για εργαλεία παρακολούθησης εργαζομένων, καταγραφή χρόνου και τη χρήση γενετικής AI σε δεδομένα εργαζομένων. Φορείς που χρησιμοποιούν πλατφόρμες HR με παγκόσμιους παρόχους πρέπει να αναμένουν ερωτήσεις για διαβιβάσεις και για τη νομική βάση βάσει του BDSG § 26 και όχι του κοινού GDPR Art. 6(1)(f).
Διαβιβάσεις στις Ηνωμένες Πολιτείες
Ακόμα και μετά την έναρξη ισχύος του EU-US Data Privacy Framework τον Ιούλιο του 2023, οι γερμανικές DPAs συνέχισαν να ελέγχουν αυστηρά τις διαβιβάσεις προς τις ΗΠΑ. Για διαβιβάσεις σε τρίτες χώρες χωρίς απόφαση επάρκειας, ένα Transfer Impact Assessment βάσει SCCs είναι ο πήχης που εφαρμόζουν οι γερμανικές DPAs από το Schrems II. Για διαβιβάσεις στις Ηνωμένες Πολιτείες, το EU-US Data Privacy Framework παρέχει επάρκεια ειδικά για παραλήπτες πιστοποιημένους βάσει αυτού· οι διαβιβάσεις σε μη πιστοποιημένους παραλήπτες των ΗΠΑ εξακολουθούν να στηρίζονται σε SCCs με συμπληρωματικά μέτρα. Φορείς που βασίζονται μόνο σε SCCs, χωρίς τεκμηριωμένη ανάλυση, πρέπει να αναμένουν ερωτήσεις.
Λίστα ελέγχου φορέα
Αν δραστηριοποιείστε εντός ή προς τη γερμανική αγορά, η πρακτική σύντομη λίστα:
- Επιβεβαιώστε αν το όριο διορισμού DPO σας έχει ξεπεραστεί βάσει του BDSG § 38, όχι μόνο βάσει του GDPR Art. 37.
- Ελέγξτε το banner συγκατάθεσής σας έναντι του TDDDG § 25 και της κατευθυντήριας γραμμής της DSK: η απόρριψη πρέπει να βρίσκεται στο ίδιο επίπεδο με την αποδοχή, χωρίς προφορτωμένους ιχνηλάτες, χωρίς nudging.
- Εντοπίστε ποια αρχή κρατιδίου εποπτεύει τη γερμανική νομική σας οντότητα και διαβάστε τα δημοσιευμένα θέματα προτεραιότητάς της — διαφέρουν.
- Τεκμηριώστε τον μηχανισμό διαβίβασης για κάθε εκτελούντα την επεξεργασία που εδρεύει στις ΗΠΑ.
- Εκτελέστε μια σάρωση των γερμανόφωνων landing pages σας και συγκρίνετε με το άρθρο γνώσης για την παρακολούθηση πριν τη συγκατάθεση.
Η γερμανική αγορά είναι μεγάλη, εξελιγμένη και καλά εποπτευόμενη. Οι γερμανικές DPAs δημοσιεύουν οδηγίες για τη συμμόρφωση των cookie banners και έχουν εκδώσει εντολές επιβολής κατά φορέων των οποίων τα banners δεν πληρούσαν αυτή την κατευθυντήρια γραμμή. Το μοτίβο που λειτουργεί είναι το απλό: μη φορτώνετε τίποτα μη απαραίτητο, ρωτήστε με σαφήνεια, σεβαστείτε την απάντηση.
Τελευταία ενημέρωση: