Saksamaa käsiraamat: BDSG, TDDDG ja mida Saksamaa andmekaitseasutused tegelikult jõustavad
Kuidas GDPR-i Saksamaal järelevalves hoitakse — föderaalne BfDI, kuusteist osariigi tasandi andmekaitseasutust, BDSG ja küpsisespetsiifiline TDDDG (varem TTDSG). Millele tähelepanu pöörata, kui tegutsete Saksa turul või selle poole.
Lukas Kontur · · 5 min lugemist
Saksamaa on Euroopa Liidu suurim üksikturg, kus elab umbes 84,6 miljonit inimest, ja sellel on kõigi liikmesriikide seas kõige killustatum andmekaitse järelevalvemaastik. On üks föderaalne järelevalveasutus — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, lühendatult BfDI — ja kuusteist osariigi tasandi asutust, üks iga Bundesland-i kohta. Osariigi asutused on need, millega enamik operaatoreid esmalt kokku puutub, sest enamik erasektori vastutavaid töötlejaid kuulub osariigi tasandi, mitte föderaalse järelevalve alla.
See käsiraamat on töötava operaatori vaade sellele, mida see praktikas tähendab: millise asutusega suhelda, millised seadused kehtivad lisaks GDPR-ile ja mida Saksamaa DPAs on tegelikult jõustanud.
Õiguslik kiht
Olulised on kolm seadusandlust, selles spetsiifilisuse järjekorras.
1. GDPR
Euroopa Liidu General Data Protection Regulation kehtib Saksamaal otse, nagu igas liikmesriigis. Sisulised reeglid õigusliku aluse, andmesubjekti õiguste ja vastutuse kohta tulevad siit.
2. Bundesdatenschutzgesetz (BDSG)
BDSG on Saksamaa föderaalne andmekaitseseadus. See võtab üle GDPR-i avatud klauslid — kohad, kus määrus kutsub sõnaselgelt liikmesriike seadusandlust kehtestama — ja lisab reegleid töötaja-andmete, videovalve ja Datenschutzbeauftragter-i rolli kohta. Kaks praktilist tagajärge operaatoritele:
- Kohustuslikud DPO ametissenimetamised on laiemad kui GDPR Art. 37 järgi. BDSG § 38 kohaselt peab iga Saksamaal tegutsev vastutav töötleja, kellel on vähemalt 20 töötajat, kes töötlevad regulaarselt isikuandmeid automatiseeritud vahenditega, nimetama ametisse Datenschutzbeauftragter-i. See lävi on Saksamaa-spetsiifiline ja haarab palju VKE-sid, kes ei vajaks DPO-d Hispaanias ega Itaalias.
- Töötajate andmeid reguleerib BDSG § 26, mis sätestab konkreetsed nõuded isikuandmete töötlemiseks töösuhte kontekstis.
3. TDDDG (varem TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, lühendatult TDDDG, on Saksamaa ülevõtmine ePrivacy Directive Art. 5(3)-st — küpsiseseadus. See nimetati TTDSG-st ümber 2024. aastal, et kajastada selle laiendatud kohaldamisala digitaalsetele teenustele laiemalt.
Veebisaidi operaatorite jaoks on toimiv säte TDDDG § 25, mis nõuab opt-in nõusolekut enne mis tahes salvestamist kasutaja lõppseadmesse või teabe juurdepääsu sellele, välja arvatud siis, kui see on rangelt vajalik. Selle reegli alusel hinnatakse Saksamaal cookie banners.
Saksamaa DPAs on Datenschutzkonferenz-i (DSK) ühisjuhistes, kõige nähtavamalt DSK-i 11. juuli 2023 avalduses telemeediateenuste kohta, võtnud seisukoha, et:
- "Rangelt vajalikku" tõlgendatakse kitsalt — ostukorvi-küpsised, seansitokenid ja CSRF-küpsised vastavad nõuetele; analüütika, ka esimese osapoole analüütika, üldiselt mitte.
- Keeldumisnupp peab olema samal bännerikihil kui nõustumisnupp.
- Ettemärgitud kastid ja "jätkates sirvimist nõustute" teated ei moodusta nõusolekut.
Kes kellele järelevalvet teostab
Järelevalvekaart on oluline, sest kaebused suunatakse vastutava töötleja asukoha asutusele, mitte andmesubjekti elukoha asutusele.
- Föderaalne asutus — BfDI. Teostab järelevalvet föderaalsete avalike asutuste, telekommunikatsiooniteenuse pakkujate ja postiteenuse operaatorite üle. Tüüpilise kommertsveebisaidi operaatori jaoks ei ole BfDI teie järelevaataja.
- Osariikide asutused — kuusteist Landesdatenschutzbeauftragte. Teostavad järelevalvet erasektori vastutavate töötlejate ja osariigi tasandi avalike asutuste üle. Kõige nähtavamad on Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Baieri erasektori vastutavatele töötlejatele, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ja Berliini volinik (BlnBDI), kelle kätte jõuab ebaproportsionaalne osa tehnoloogiasektori juhtumeid lihtsalt sellepärast, et nii palju Saksa tehnoloogiaettevõtteid on registreeritud Berliinis.
Kui teie Saksa juriidiline isik asub Münchenis, räägite BayLDA-ga. Kui see asub Frankfurdis, räägite HBDI-ga. Kui teil ei ole Saksamaal asukohta, kuid suunate teenused Saksa turule, kehtib Saksamaa väline juhtiv järelevalveasutus GDPR ühtse kontaktpunkti mehhanismi kaudu — aga Saksa kasutaja saab siiski kohapeal kaevata ja Saksa DPA suunab kaebuse edasi.
Hiljutised täitetegevuse suundumused
Saksamaa täitetegevuses on olnud nähtaval kolm valdkonda.
Küpsisebänneri täitetegevus
Saksamaa DPAs on avaldanud juhendeid ja otsuseid bännerite kohta, mis peitsid keeldumisnuppu või laadisid jälgijaid ette. Konkreetsed korraldused, trahvid ja juhtumi üksikasjad on dokumenteeritud asutuste aastaaruannetes.
Muster, mis täitetegevust tõmbab, on see, mille meie skanner märgistab nimega pre_consent_tracking: banner ilmub, aga võrk on juba hõivatud.
Riskihinne on skanneri-sisene signaal; see ei ole õiguslik otsus. Aluseks olev võrgusalvestus — millised päringud käivitusid enne nõusolekuotsust ja mida need kandsid — on artefakt, mida järelevalveasutus või DPO uuriks.
Töötajate andmed on jätkuvalt föderaalse tähelepanu valdkond
BfDI ja mitu osariigi asutust on avaldanud juhiseid töötajate jälgimisvahendite, ajaarvestuse ja generatiivse tehisintellekti kasutamise kohta töötajate andmetel. Operaatorid, kes kasutavad HR-platvorme ülemaailmsetelt tarnijatelt, peaksid eeldama küsimusi andmeedastuse ja õigusliku aluse kohta BDSG § 26 alusel, mitte tavapärase GDPR Art. 6(1)(f) alusel.
Edastused Ameerika Ühendriikidesse
Isegi pärast seda, kui EU-US Data Privacy Framework jõustus 2023. aasta juulis, on Saksamaa DPAs jätkanud USA-sse tehtavate edastuste uurimist. Edastuste puhul EL-i mittekuuluvatesse riikidesse, kus puudub piisavusotsus, on edastuse mõjuhinnang SCCs alusel see tase, mida Saksamaa DPA-d on kohaldanud alates Schrems II-st. Ameerika Ühendriikidesse tehtavate edastuste puhul pakub EU-US Data Privacy Framework piisavust konkreetselt selle raames sertifitseeritud vastuvõtjatele; edastused sertifitseerimata USA vastuvõtjatele sõltuvad endiselt SCCs-idest koos täiendavate meetmetega. Operaatorid, kes tuginevad pelgalt SCCs-idele ilma dokumenteeritud analüüsita, peaksid eeldama küsimusi.
Operaatori kontrollnimekiri
Kui tegutsete Saksa turul või selle poole, praktiline lühike nimekiri:
- Kinnitage, kas teie DPO ametissenimetamise lävi on ületatud BDSG § 38 järgi, mitte ainult GDPR Art. 37 järgi.
- Auditeerige oma nõusolekubänner TDDDG § 25-e ja DSK juhiste vastu: keeldumine peab olema samal kihil kui nõustumine, ei ühtegi ette laaditud jälgijat, ei mingit tõukamist.
- Tuvastage, milline osariigi asutus teie Saksa juriidilisele isikule järelevalvet teostab, ja lugege nende avaldatud fookusvaldkondi — need erinevad.
- Dokumenteerige oma edastusmehhanism iga USA-põhise töötleja kohta.
- Käivitage skann oma saksakeelsetel maandumislehtedel ja võrrelge nõusolekueelse jälgimise teabeartikliga.
Saksamaa turg on suur, keerukas ja hästi järelevalves. Saksamaa DPAs avaldavad juhiseid küpsisebännerite vastavuse kohta ja on andnud täitekorraldusi operaatoritele, kelle bännerid neile juhistele ei vastanud. Muster, mis töötab, on lihtne: ära lae midagi mitteolulist, küsi selgelt, austa vastust.
Viimati uuendatud: