Leabhar imeartha na Gearmáine: BDSG, TDDDG agus a bhfuil DPAnna na Gearmáine ag forfheidhmiú i ndáiríre
Conas a dhéantar GDPR a mhaoirsiú sa Ghearmáin — an BfDI feidearálach, sé údarás cosanta sonraí déag ar leibhéal stáit, an BDSG, agus an TDDDG sainiúil d'fhianáin (TTDSG roimhe seo). Cad le faire amach dó má fheidhmíonn tú i margadh na Gearmáine nó isteach ann.
Lukas Kontur · · 6 nóim léitheoireachta
Is í an Ghearmáin an t-aonmhargadh is mó san Aontas Eorpach, le thart ar 84.6 milliún áitritheoir, agus tá an tírdhreach forfheidhmithe cosanta sonraí is ilroinnte ag aon bhallstát aici. Tá údarás maoirseachta feidearálach amháin ann — an Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, giorraithe mar BfDI — agus sé údarás déag ar leibhéal stáit, ceann in aghaidh gach Bundesland. Is iad na húdaráis stáit na cinn ar a dteagmháil formhór na n-oibreoirí ar dtús, toisc go bhfuil formhór na rialaitheoirí earnála príobháidí faoi mhaoirseacht ar leibhéal stáit seachas feidearálach.
Is é atá sa leabhar imeartha seo ná dearcadh oibreora oibrithe ar a bhfuil i gceist leis sin i gcleachtas: cén t-údarás a labhraíonn tú leis, cé na dlíthe a chuirtear i bhfeidhm sa bhreis ar GDPR, agus cad atá DPAs na Gearmáine tar éis a fhorfheidhmiú i ndáiríre.
An chruach dhlíthiúil
Tá tábhacht le trí phíosa reachtaíochta, san ord sainiúlachta seo.
1. GDPR
Cuirtear General Data Protection Regulation an Aontais Eorpaigh i bhfeidhm go díreach sa Ghearmáin amhail i ngach ballstát. Tagann na rialacha substainteacha ar bhunús dlí, cearta ábhair sonraí, agus cuntasacht as seo.
2. Bundesdatenschutzgesetz (BDSG)
Is é BDSG an tAcht um Chosaint Sonraí feidearálach sa Ghearmáin. Cuireann sé i bhfeidhm clásail oscailte GDPR — na háiteanna ina dtugann an rialachán cuireadh sainráite do na ballstáit reachtaíocht a rith — agus cuireann sé rialacha leis ar shonraí fostaithe, faireachas físe, agus ról an Datenschutzbeauftragter. Dhá iarmhairt phraiticiúil d'oibreoirí:
- Tá ceapacháin éigeantacha DPO níos leithne ná faoi GDPR Art. 37. Faoi BDSG § 38, caithfidh aon rialaitheoir sa Ghearmáin a bhfuil 20 fostaí ar a laghad ann a phróiseálann sonraí pearsanta go rialta le modhanna uathoibrithe Datenschutzbeauftragter a cheapadh. Is tairseach Gearmáine-shainiúil í seo agus beireann sí ar go leor SMBs nach mbeadh DPO de dhíth orthu sa Spáinn nó san Iodáil.
- Rialaítear sonraí fostaithe le BDSG § 26, a leagann amach ceanglais shonracha maidir le próiseáil sonraí pearsanta i gcomhthéacs na fostaíochta.
3. TDDDG (TTDSG roimhe seo)
Is é an Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, giorraithe mar TDDDG, forfheidhmiú na Gearmáine ar ePrivacy Directive Art. 5(3) — an dlí fianáin. Athainmníodh é ó TTDSG in 2024 chun a scóip mhéadaithe do sheirbhísí digiteacha níos leithne a léiriú.
D'oibreoirí suíomhanna gréasáin, is é TDDDG § 25 an fhoráil oibríochtúil, a cheanglaíonn toiliú opt-in roimh aon stóráil ar fhaisnéis ar threalamh críochphointe an úsáideora nó rochtain air, ach amháin nuair is riachtanach go docht é. Is é seo an riail faoina ndéantar meastóireacht ar cookie banners sa Ghearmáin.
Tá DPAs na Gearmáine, i dtreoir chomhpháirteach ó Datenschutzkonferenz (DSK), go feiceálach sa ráiteas ón DSK an 11 Iúil 2023 ar sheirbhísí teilemheán, tar éis an seasamh a ghlacadh:
- Léitear "riachtanach go docht" go cúng — cáilíonn fianáin chiseáin, comharthaí seisiúin, agus fianáin CSRF; ní cháilíonn anailísíocht, fiú anailísíocht céad-pháirtí, go ginearálta.
- Caithfidh cnaipe diúltaithe a bheith ar an gciseal bratach céanna leis an gcnaipe glactha.
- Ní ionann boscaí réamhthiceáilte agus fógraí "má leanann tú ag brabhsáil, tugann tú toiliú" toiliú.
Cé a mhaoirsíonn cé
Tá tábhacht leis an léarscáil mhaoirsíochta mar go ndéantar gearáin a chur i dtreo an údaráis ina bhfuil an rialaitheoir bunaithe, ní áit chónaithe an ábhair sonraí.
- Údarás feidearálach — BfDI. Maoirsíonn sé comhlachtaí poiblí feidearálacha, soláthraithe teileachumarsáide, agus oibreoirí seirbhíse poist. D'oibreoir suíomh gréasáin tráchtála tipiciúil, ní hé BfDI do mhaoirseoir.
- Údaráis stáit — sé cinn déag Landesdatenschutzbeauftragte. Maoirsíonn siad rialaitheoirí earnála príobháidí agus comhlachtaí poiblí ar leibhéal stáit. Is iad na cinn is feiceálaí an Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) do rialaitheoirí príobháideacha sa Bhaváir, an Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), agus coimisinéir Bheirlín (BlnBDI), a fheiceann sciar díréireach de chásanna earnála teicneolaíochta toisc gurb iomaí cuideachta teicneolaíochta Gearmánach atá bunaithe i mBeirlín.
Má tá d'eintiteas dlíthiúil Gearmánach i München, labhraíonn tú le BayLDA. Má tá sé i bhFrankfurt, labhraíonn tú le HBDI. Mura bhfuil bunaíocht Ghearmánach agat ach go ndíríonn tú seirbhísí isteach i margadh na Gearmáine, cuirtear i bhfeidhm an príomhúdarás maoirseachta lasmuigh den Ghearmáin trí mheicníocht aon-stad GDPR — ach is féidir le húsáideoir Gearmánach gearán a dhéanamh go háitiúil fós, agus déanfaidh DPA Gearmánach an gearán a chur ar aghaidh.
Treochtaí forfheidhmithe le déanaí
Tá trí réimse feiceálach i bhforfheidhmiú na Gearmáine.
Forfheidhmiú bratach fianáin
Tá DPAs na Gearmáine tar éis treoir agus cinntí a fhoilsiú ar bhratacha a chuir an cnaipe diúltaithe i bhfolach nó a réamhlódáil rianairí. Tá orduithe sonracha, fíneálacha agus sonraí cáis doiciméadaithe i dtuarascálacha bliantúla na n-údarás.
Is é an patrún a tharraingíonn forfheidhmiú an patrún a bhréagnaíonn ár scanóir mar pre_consent_tracking: tagann an bhratach i láthair, ach tá an líonra gnóthach cheana féin.
Is comhartha inmheánach scanóra í an scór riosca; ní cinneadh dlíthiúil é. Is é an ghabháil líonra bunúsach — na hiarratais a scaoileadh roimh an gcinneadh toilithe agus an rud a d'iompair siad — an déantán a scrúdódh rialtóir nó DPO.
Leanann sonraí fostaithe de bheith mar réimse aire feidearálach
Tá BfDI agus roinnt údarás stáit tar éis treoir a fhoilsiú ar uirlisí monatóireachta fostaithe, rianú ama, agus úsáid intleachta saorga gineadaí ar shonraí fostaithe. Ba cheart d'oibreoirí a úsáideann ardáin AD le díoltóirí domhanda ceisteanna a bheith acu faoi aistrithe agus faoin mbunús dlí faoi BDSG § 26 seachas GDPR Art. 6(1)(f) gnáth.
Aistrithe chuig na Stáit Aontaithe
Fiú amháin tar éis don EU-US Data Privacy Framework dul i bhfeidhm i mí Iúil 2023, lean DPAs na Gearmáine ag scrúdú aistrithe go Stáit Aontaithe Mheiriceá. Maidir le haistrithe chuig tíortha neamh-AE gan cinneadh leordhóthanachta, is é Measúnú Tionchair Aistrithe faoi SCCs an barra atá curtha i bhfeidhm ag DPAs na Gearmáine ó Schrems II. Maidir le haistrithe chuig na Stáit Aontaithe, soláthraíonn an EU-US Data Privacy Framework leordhóthanacht go sonrach d'fhaighteoirí deimhnithe faoi; braitheann aistrithe chuig faighteoirí SAM neamhdheimhnithe fós ar SCCs le bearta forlíontacha. Ba cheart ceisteanna a bheith ag oibreoirí a bhraitheann ar SCCs amháin, gan anailís dhoiciméadaithe.
Seicliosta oibreora
Má oibríonn tú i margadh na Gearmáine nó isteach ann, an liosta gairid praiticiúil:
- Deimhnigh an bhfuil do thairseach cheaptha DPO trasnaithe faoi BDSG § 38, ní díreach GDPR Art. 37.
- Déan iniúchadh ar do bhratach thoilithe i gcoinne TDDDG § 25 agus treoir DSK: caithfidh diúltú a bheith ar an gciseal céanna le glacadh, gan rianairí réamhlódáilte, gan spreagadh.
- Aithin cén t-údarás stáit a mhaoirsíonn d'eintiteas dlíthiúil Gearmánach, agus léigh a gcuid réimsí fócais foilsithe — athraíonn siad.
- Doiciméadaigh do mheicníocht aistrithe d'aon phróiseálaí bunaithe i SAM.
- Rith scan ar do leathanaigh tuirlingthe Ghearmáinise agus déan comparáid leis an alt eolais ar rianú roimh thoiliú.
Tá margadh na Gearmáine mór, sofaisticiúil, agus dea-mhaoirsithe. Foilsíonn DPAs na Gearmáine treoir ar chomhlíonadh bratach fianáin agus tá orduithe forfheidhmithe eisithe acu in aghaidh oibreoirí nár chomhlíon a mbratacha an treoir sin. Is é an patrún a oibríonn an ceann simplí: ná lódáil aon rud neamhriachtanach, iarr go soiléir, tabhair urraim don fhreagra.
Nuashonraithe go déanach: