Saksan-pelikirja: BDSG, TDDDG ja mitä Saksan tietosuojaviranomaiset todella valvovat
Miten GDPR:ää valvotaan Saksassa — liittovaltion BfDI, kuusitoista osavaltiotason tietosuojaviranomaista, BDSG ja eväste-erityinen TDDDG (entinen TTDSG). Mihin kiinnittää huomiota, jos toimit Saksan markkinoilla tai niille.
Lukas Kontur · · 4 min lukuaika
Saksa on Euroopan unionin suurin yksittäinen markkina, jossa asuu noin 84,6 miljoonaa ihmistä, ja sillä on kaikkien jäsenvaltioiden hajanaisin tietosuojan valvontamaisema. On olemassa yksi liittovaltion valvontaviranomainen — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, lyhennettynä BfDI — ja kuusitoista osavaltiotason viranomaista, yksi kutakin Bundeslandia kohti. Osavaltioviranomaiset ovat ne, joihin useimmat operaattorit törmäävät ensimmäiseksi, koska useimmat yksityisen sektorin rekisterinpitäjät kuuluvat osavaltiotason valvonnan alle eikä liittovaltion.
Tämä pelikirja on toimivan operaattorin näkemys siitä, mitä se käytännössä tarkoittaa: mitä viranomaista puhuttelet, mitä lakeja sovelletaan GDPR:n päälle ja mitä Saksan DPAs ovat todella valvoneet.
Lainsäädäntöpino
Kolme lainsäädännön osaa on merkittäviä, tässä spesifisyysjärjestyksessä.
1. GDPR
Euroopan unionin General Data Protection Regulation -asetus pätee Saksassa suoraan kuten jokaisessa jäsenvaltiossa. Käsittelyperustetta, rekisteröidyn oikeuksia ja vastuullisuutta koskevat aineelliset säännöt tulevat täältä.
2. Bundesdatenschutzgesetz (BDSG)
BDSG on Saksan liittovaltion tietosuojalaki. Se panee toimeen GDPR:n avoimet lausekkeet — kohdat, joissa asetus nimenomaisesti kutsuu jäsenvaltioita säätämään lakia — ja lisää sääntöjä työntekijätiedoista, videovalvonnasta ja Datenschutzbeauftragterin roolista. Kaksi käytännön seurausta operaattoreille:
- Pakolliset DPO-nimitykset ovat laajempia kuin GDPR Art. 37:n mukaan. BDSG § 38:n nojalla jokaisen Saksassa toimivan rekisterinpitäjän, jolla on vähintään 20 työntekijää, jotka säännöllisesti käsittelevät henkilötietoja automaattisin keinoin, on nimitettävä Datenschutzbeauftragter. Tämä kynnys on Saksalle erityinen ja kattaa monia pk-yrityksiä, jotka eivät tarvitsisi DPO:ta Espanjassa tai Italiassa.
- Työntekijätietoja säätelee BDSG § 26, joka asettaa erityisvaatimuksia henkilötietojen käsittelylle työsuhdekontekstissa.
3. TDDDG (entinen TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, lyhennettynä TDDDG, on Saksan toimeenpano ePrivacy Directive Art. 5(3):lle — evästelaille. Se nimettiin uudelleen TTDSG:stä vuonna 2024 heijastamaan sen laajennettua soveltamisalaa digitaalisiin palveluihin laajemmin.
Verkkosivusto-operaattoreille toimiva säännös on TDDDG § 25, joka vaatii opt-in-suostumuksen ennen mitään tietojen tallentamista käyttäjän päätelaitteelle tai niihin pääsyä, paitsi kun se on ehdottoman välttämätöntä. Tämän säännön nojalla cookie banners arvioidaan Saksassa.
Saksan DPAs ovat Datenschutzkonferenzin (DSK) yhteisessä ohjeistuksessa, näkyvimmin DSK:n 11. heinäkuuta 2023 antamassa lausunnossa telemediapalveluista, ottaneet kannan, jonka mukaan:
- "Ehdottoman välttämätön" tulkitaan kapeasti — ostoskori-evästeet, istuntotokenit ja CSRF-evästeet täyttävät vaatimukset; analytiikka, myös ensimmäisen osapuolen analytiikka, ei yleensä.
- Hylkää-painikkeen on oltava samassa bannerikerroksessa kuin hyväksy-painikkeen.
- Esirastitetut ruudut ja "jatkamalla selailua suostut" -ilmoitukset eivät muodosta suostumusta.
Kuka valvoo ketä
Valvontakartta on tärkeä, koska valitukset ohjataan rekisterinpitäjän toimipaikan viranomaiselle, ei rekisteröidyn asuinpaikan.
- Liittovaltion viranomainen — BfDI. Valvoo liittovaltion julkisia elimiä, televiestintäpalvelujen tarjoajia ja postipalvelun operaattoreita. Tyypilliselle kaupalliselle verkkosivusto-operaattorille BfDI ei ole valvojasi.
- Osavaltioviranomaiset — kuusitoista Landesdatenschutzbeauftragte. Valvovat yksityisen sektorin rekisterinpitäjiä ja osavaltiotason julkisia elimiä. Näkyvimpiä ovat Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Baijerin yksityisille rekisterinpitäjille, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ja Berliinin valtuutettu (BlnBDI), joka näkee suhteettoman osuuden teknologia-alan tapauksista yksinkertaisesti siksi, että niin monella saksalaisella teknologiayrityksellä on kotipaikka Berliinissä.
Jos saksalainen oikeushenkilösi on Münchenissä, puhut BayLDA:n kanssa. Jos se on Frankfurtissa, puhut HBDI:n kanssa. Jos sinulla ei ole saksalaista toimipaikkaa, mutta suuntaat palveluja Saksan markkinoille, johtava valvontaviranomainen Saksan ulkopuolella pätee GDPR:n yhden luukun mekanismin kautta — saksalainen käyttäjä voi silti valittaa paikallisesti, ja saksalainen DPA ohjaa valituksen.
Viimeaikaiset valvontatrendit
Kolme aluetta on ollut näkyvissä Saksan valvonnassa.
Evästebannereiden valvonta
Saksan DPAs ovat julkaisseet ohjeistuksia ja päätöksiä bannereista, jotka piilottivat hylkää-painikkeen tai latasivat seuraimet ennakkoon. Konkreettiset määräykset, sakot ja tapaustiedot on dokumentoitu viranomaisten vuosiraporteissa.
Kuvio, joka houkuttelee valvontaa, on se, jonka skannerimme merkitsee nimellä pre_consent_tracking: banneri ilmestyy, mutta verkko on jo kiireinen.
Riskipisteet ovat skanneri-sisäinen signaali; ne eivät ole oikeudellinen päätelmä. Taustalla oleva verkkokaappaus — mitkä pyynnöt laukesivat ennen suostumuspäätöstä ja mitä ne kantoivat — on artefakti, jota viranomainen tai DPO tutkisi.
Työntekijätiedot pysyvät liittovaltion huomion alueena
BfDI ja useat osavaltioviranomaiset ovat julkaisseet ohjeistuksia työntekijöiden valvontatyökaluista, ajanseurannasta ja generatiivisen tekoälyn käytöstä työntekijätietoihin. Operaattoreiden, jotka käyttävät HR-alustoja globaaleilta toimittajilta, tulisi odottaa kysymyksiä tiedonsiirroista ja käsittelyperusteesta BDSG § 26:n mukaan tavanomaisen GDPR Art. 6(1)(f):n sijaan.
Siirrot Yhdysvaltoihin
Vaikka EU-US Data Privacy Framework astui voimaan heinäkuussa 2023, Saksan DPAs ovat jatkaneet Yhdysvaltoihin tapahtuvien siirtojen tarkkaa tutkintaa. Siirroille EU:n ulkopuolisiin maihin ilman riittävyyspäätöstä Transfer Impact Assessment SCCs:ien nojalla on standardi, jota Saksan DPA:t ovat soveltaneet Schrems II:sta lähtien. Yhdysvaltoihin tehtäville siirroille EU-US Data Privacy Framework tarjoaa riittävyyden erityisesti sen alla sertifioiduille vastaanottajille; siirrot sertifioimattomille yhdysvaltalaisille vastaanottajille tukeutuvat edelleen SCCs:ihin täydentävien toimenpiteiden kanssa. Operaattoreiden, jotka tukeutuvat pelkkiin SCCs:ihin ilman dokumentoitua analyysia, tulisi odottaa kysymyksiä.
Operaattorin tarkistuslista
Jos toimit Saksan markkinoilla tai niille, käytännön lyhyt lista:
- Vahvista, onko DPO-nimityskynnyksesi ylittynyt BDSG § 38:n mukaan, ei vain GDPR Art. 37:n.
- Tarkasta suostumusbannerisi TDDDG § 25:tä ja DSK-ohjeistusta vastaan: hylkäyksen on oltava samassa kerroksessa kuin hyväksynnän, ei ennakkoon ladattuja seuraimia, ei tönimistä.
- Tunnista, mikä osavaltioviranomainen valvoo saksalaista oikeushenkilöäsi, ja lue heidän julkaistut painopistealueensa — ne vaihtelevat.
- Dokumentoi siirtomekanismisi jokaiselle Yhdysvalloissa sijaitsevalle käsittelijälle.
- Aja skannaus saksankielisistä laskeutumissivuistasi ja vertaa suostumusta edeltävän seurannan tietoartikkeliin.
Saksan markkina on suuri, kehittynyt ja hyvin valvottu. Saksan DPAs julkaisevat ohjeistuksia evästebannereiden vaatimustenmukaisuudesta ja ovat antaneet valvontamääräyksiä operaattoreille, joiden bannerit eivät vastanneet kyseistä ohjeistusta. Toimiva kuvio on yksinkertainen: älä lataa mitään ei-välttämätöntä, kysy selvästi, kunnioita vastausta.
Viimeksi päivitetty: