Playbook Alemania: BDSG, TDDDG y lo que las DPA alemanas realmente aplican
Cómo se supervisa el RGPD en Alemania: el BfDI federal, las dieciséis autoridades de protección de datos a nivel estatal, la BDSG y la TDDDG específica de cookies (anteriormente TTDSG). Qué vigilar si opera en o hacia el mercado alemán.
Lukas Kontur · · 6 min de lectura
Alemania es el mayor mercado individual de la Unión Europea, con aproximadamente 84,6 millones de residentes, y tiene el panorama de aplicación de protección de datos más fragmentado de cualquier Estado miembro. Hay una autoridad de supervisión federal —la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abreviada BfDI— y dieciséis autoridades a nivel estatal, una por Bundesland. Las autoridades estatales son las que la mayoría de los operadores encuentran primero, porque la mayoría de los responsables del sector privado quedan bajo supervisión estatal y no federal.
Este playbook es la visión operativa de un práctico sobre lo que esto significa en la práctica: con qué autoridad habla, qué leyes se aplican además del GDPR y qué han estado aplicando realmente las DPAs alemanas.
La pila legal
Tres piezas legislativas importan, en este orden de especificidad.
1. GDPR
El General Data Protection Regulation de la Unión Europea se aplica directamente en Alemania como en todo Estado miembro. Las normas sustantivas sobre base jurídica, derechos del interesado y rendición de cuentas vienen de aquí.
2. Bundesdatenschutzgesetz (BDSG)
La BDSG es la ley federal alemana de protección de datos. Implementa las cláusulas de apertura del GDPR —los puntos en los que el reglamento invita expresamente a los Estados miembros a legislar— y añade reglas sobre datos de empleados, videovigilancia y la figura del Datenschutzbeauftragter. Dos consecuencias prácticas para los operadores:
- La obligación de designar un DPO es más amplia que en el GDPR Art. 37. Conforme al BDSG § 38, todo responsable en Alemania con al menos 20 empleados que traten habitualmente datos personales por medios automatizados debe designar un Datenschutzbeauftragter. Este umbral es específico de Alemania y alcanza a muchas pymes que no necesitarían un DPO en España o Italia.
- Los datos de empleados se rigen por el BDSG § 26, que establece requisitos específicos para el tratamiento de datos personales en el contexto laboral.
3. TDDDG (anteriormente TTDSG)
La Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, abreviada TDDDG, es la implementación alemana del ePrivacy Directive Art. 5(3): la ley de cookies. Se renombró desde TTDSG en 2024 para reflejar su ámbito ampliado a los servicios digitales en general.
Para los operadores de sitios web, la disposición operativa es el TDDDG § 25, que exige consentimiento opt-in antes de cualquier almacenamiento o acceso a información en el equipo terminal del usuario, salvo cuando sea estrictamente necesario. Esta es la regla bajo la cual se evalúan los cookie banners en Alemania.
Las DPAs alemanas, en una guía conjunta de la Datenschutzkonferenz (DSK), de forma más prominente en la declaración de la DSK del 11 de julio de 2023 sobre servicios de telemedios, han adoptado la siguiente posición:
- "Estrictamente necesario" se interpreta de forma restrictiva: las cookies de carrito, los tokens de sesión y las cookies CSRF cumplen; las analíticas, incluso las analíticas de origen propio, en general no.
- Un botón de rechazo debe estar en la misma capa del banner que el botón de aceptar.
- Las casillas premarcadas y los avisos del tipo "al continuar navegando, usted consiente" no constituyen consentimiento.
Quién supervisa a quién
El mapa de supervisión importa porque las reclamaciones se enrutan a la autoridad donde está establecido el responsable, no donde reside el interesado.
- Autoridad federal — BfDI. Supervisa organismos públicos federales, proveedores de telecomunicaciones y operadores postales. Para un operador típico de sitio web comercial, la BfDI no es su supervisor.
- Autoridades estatales — dieciséis Landesdatenschutzbeauftragte. Supervisan a los responsables del sector privado y a los organismos públicos a nivel estatal. Las más prominentes son la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) para responsables privados en Baviera, el Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) y la comisionada de Berlín (BlnBDI), que ve una proporción desproporcionada de casos del sector tecnológico simplemente porque muchas empresas tecnológicas alemanas están radicadas en Berlín.
Si su entidad jurídica alemana está en Múnich, hablará con la BayLDA. Si está en Fráncfort, hablará con el HBDI. Si no tiene establecimiento alemán pero dirige servicios al mercado alemán, se aplica la autoridad de supervisión principal fuera de Alemania a través del mecanismo de ventanilla única del GDPR; pero un usuario alemán puede igualmente reclamar localmente, y la DPA alemana derivará la reclamación.
Tendencias recientes de aplicación
Tres áreas han sido visibles en la aplicación alemana.
Aplicación sobre banners de cookies
Las DPAs alemanas han publicado guías y decisiones sobre banners que ocultaron el botón de rechazo o precargaron rastreadores. Las órdenes concretas, las multas y los detalles de los casos están documentados en los informes anuales de las autoridades.
El patrón que atrae la aplicación es el que nuestro escáner marca como pre_consent_tracking: el banner aparece, pero la red ya está ocupada.
La puntuación de riesgo es una señal interna del escáner; no es una determinación jurídica. La captura de red subyacente —qué solicitudes se dispararon antes de la decisión de consentimiento y qué transportaban— es el artefacto que un regulador o un DPO examinaría.
Los datos de empleados siguen siendo un área de atención federal
La BfDI y varias autoridades estatales han publicado guías sobre herramientas de monitorización de empleados, control de tiempos y uso de IA generativa sobre datos de empleados. Los operadores que utilizan plataformas de RR. HH. con proveedores globales deberían esperar preguntas sobre transferencias y sobre la base jurídica conforme al BDSG § 26 en lugar del habitual GDPR Art. 6(1)(f).
Transferencias a Estados Unidos
Incluso después de que el EU-US Data Privacy Framework entrara en vigor en julio de 2023, las DPAs alemanas han seguido escrutando las transferencias a EE. UU. Para transferencias a países no pertenecientes a la UE sin decisión de adecuación, una Evaluación de Impacto de Transferencia bajo SCCs es el listón que las DPA alemanas han aplicado desde Schrems II. Para transferencias a Estados Unidos, el EU-US Data Privacy Framework proporciona adecuación específicamente para los destinatarios certificados bajo el mismo; las transferencias a destinatarios estadounidenses no certificados siguen apoyándose en SCCs con medidas complementarias. Los operadores que se basan únicamente en SCCs, sin análisis documentado, deberían esperar preguntas.
Lista de verificación del operador
Si opera en o hacia el mercado alemán, la lista corta práctica:
- Confirme si su umbral de designación de DPO se ha superado conforme al BDSG § 38, no solo al GDPR Art. 37.
- Audite su banner de consentimiento frente al TDDDG § 25 y la guía de la DSK: rechazar debe estar en la misma capa que aceptar, sin rastreadores precargados, sin nudging.
- Identifique qué autoridad estatal supervisa a su entidad jurídica alemana y lea sus áreas de enfoque publicadas: varían.
- Documente su mecanismo de transferencia para todo encargado del tratamiento radicado en EE. UU.
- Ejecute un escaneo de sus páginas de aterrizaje en alemán y compárelo con el artículo de conocimiento sobre tracking previo al consentimiento.
El mercado alemán es grande, sofisticado y bien supervisado. Las DPAs alemanas publican guías sobre el cumplimiento de los banners de cookies y han emitido órdenes de aplicación contra operadores cuyos banners no cumplían esa guía. El patrón que funciona es el sencillo: no cargar nada no esencial, preguntar con claridad, respetar la respuesta.
Última actualización: