Priručnik za Njemačku: BDSG, TDDDG i što njemačke DPA-ove zaista provode
Kako se GDPR nadzire u Njemačkoj — savezni BfDI, šesnaest pokrajinskih tijela za zaštitu podataka, BDSG i TDDDG specifičan za kolačiće (ranije TTDSG). Na što pripaziti ako poslujete u ili prema njemačkom tržištu.
Lukas Kontur · · 5 min čitanja
Njemačka je najveće pojedinačno tržište u Europskoj uniji, s oko 84,6 milijuna stanovnika, i ima najfragmentiraniji krajolik provedbe zaštite podataka od svih država članica. Postoji jedno savezno nadzorno tijelo — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, skraćeno BfDI — i šesnaest tijela na razini pokrajine, jedno po Bundesland. Pokrajinska tijela su ona s kojima se većina operatora prvo susreće, jer većina voditelja obrade iz privatnog sektora potpada pod pokrajinski, a ne savezni nadzor.
Ovaj priručnik je operativni pogled na to što to znači u praksi: s kojim tijelom razgovarate, koji se zakoni primjenjuju uz GDPR i što su njemačke DPAs zaista provodile.
Pravni stack
Tri dijela zakonodavstva bitna su, ovim redoslijedom specifičnosti.
1. GDPR
General Data Protection Regulation Europske unije primjenjuje se izravno u Njemačkoj kao i u svakoj državi članici. Materijalna pravila o pravnoj osnovi, pravima ispitanika i odgovornosti dolaze odavde.
2. Bundesdatenschutzgesetz (BDSG)
BDSG je njemački savezni zakon o zaštiti podataka. Provodi otvarajuće klauzule GDPR-a — mjesta gdje uredba izričito poziva države članice da zakonodavno djeluju — i dodaje pravila o podacima zaposlenika, videonadzoru i ulozi Datenschutzbeauftragter-a. Dvije praktične posljedice za operatore:
- Obvezna imenovanja DPO-a šira su nego prema GDPR Art. 37. Prema BDSG § 38, svaki voditelj obrade u Njemačkoj s najmanje 20 zaposlenika koji redovito obrađuju osobne podatke automatiziranim sredstvima mora imenovati Datenschutzbeauftragter-a. Ovaj prag je specifičan za Njemačku i obuhvaća mnoge MSP-ove koji ne bi trebali DPO-a u Španjolskoj ili Italiji.
- Podaci zaposlenika uređeni su BDSG § 26, koji utvrđuje posebne zahtjeve za obradu osobnih podataka u kontekstu zaposlenja.
3. TDDDG (ranije TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, skraćeno TDDDG, njemačka je provedba ePrivacy Directive Art. 5(3) — zakona o kolačićima. Preimenovan je iz TTDSG 2024. godine kako bi se odražavao njegov prošireni opseg na digitalne usluge općenito.
Za operatore web-mjesta, mjerodavna odredba je TDDDG § 25, koja zahtijeva opt-in privolu prije bilo kakve pohrane ili pristupa informacijama na korisnikovoj terminalnoj opremi, osim kada je to strogo nužno. To je pravilo prema kojem se cookie banners ocjenjuju u Njemačkoj.
Njemačke DPAs, u zajedničkoj smjernici Datenschutzkonferenz-a (DSK), istaknuto u izjavi DSK-a od 11. srpnja 2023. o telemedijskim uslugama, zauzele su stajalište da:
- „Strogo nužno" čita se usko — kolačići košarice, tokeni sesije i CSRF kolačići kvalificiraju se; analitika, čak i first-party analitika, u pravilu ne.
- Gumb za odbijanje mora biti na istom sloju bannera kao gumb za prihvaćanje.
- Unaprijed označene kućice i obavijesti „nastavkom pregledavanja dajete privolu" ne predstavljaju privolu.
Tko koga nadzire
Mapa nadzora bitna je jer se pritužbe usmjeravaju tijelu gdje je voditelj obrade nastanjen, a ne gdje ispitanik boravi.
- Savezno tijelo — BfDI. Nadzire savezna javna tijela, pružatelje telekomunikacijskih usluga i poštanske operatore. Za tipičnog komercijalnog operatora web-mjesta, BfDI nije vaš nadzornik.
- Pokrajinska tijela — šesnaest Landesdatenschutzbeauftragte. Nadziru voditelje obrade iz privatnog sektora i javna tijela na razini pokrajine. Najistaknutiji su Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) za privatne voditelje obrade u Bavarskoj, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) i berlinska povjerenica (BlnBDI), koja vidi nerazmjerno velik udio predmeta iz tehnološkog sektora jednostavno zato što tako mnogo njemačkih tehnoloških tvrtki ima sjedište u Berlinu.
Ako je vaš njemački pravni subjekt u Münchenu, razgovarate s BayLDA. Ako je u Frankfurtu, razgovarate s HBDI. Ako nemate njemačkog poslovnog nastana, ali usmjeravate usluge prema njemačkom tržištu, primjenjuje se vodeće nadzorno tijelo izvan Njemačke putem GDPR one-stop-shop mehanizma — ali njemački korisnik i dalje se može žaliti lokalno, a njemačka DPA proslijedit će pritužbu.
Nedavni trendovi provedbe
Tri područja bila su vidljiva u njemačkoj provedbi.
Provedba cookie bannera
Njemačke DPAs objavile su smjernice i odluke o bannerima koji su skrivali gumb za odbijanje ili unaprijed učitavali pratitelje. Konkretni nalozi, kazne i detalji slučajeva dokumentirani su u godišnjim izvješćima tijela.
Obrazac koji privlači provedbu je onaj koji naš skener označava kao pre_consent_tracking: banner se pojavljuje, ali je mreža već zauzeta.
Risk score je interni signal skenera; nije pravna ocjena. Temeljno hvatanje mreže — koji su se zahtjevi okinuli prije odluke o privoli i što su nosili — artefakt je koji bi regulator ili DPO ispitao.
Podaci zaposlenika i dalje su područje savezne pažnje
BfDI i nekoliko pokrajinskih tijela objavili su smjernice o alatima za nadzor zaposlenika, praćenju vremena i upotrebi generativne AI-a na podacima zaposlenika. Operatori koji koriste HR platforme s globalnim dobavljačima trebali bi očekivati pitanja o prijenosima i o pravnoj osnovi prema BDSG § 26, a ne običnom GDPR Art. 6(1)(f).
Prijenosi u Sjedinjene Američke Države
Čak i nakon što je EU-US Data Privacy Framework stupio na snagu u srpnju 2023., njemačke DPAs nastavile su strogo nadzirati američke prijenose. Za prijenose u treće zemlje bez odluke o primjerenosti, Transfer Impact Assessment na osnovi SCCs je mjerilo koje njemačke DPA-ove primjenjuju od Schrems II. Za prijenose u Sjedinjene Američke Države, EU-US Data Privacy Framework pruža primjerenost konkretno za primatelje certificirane pod njim; prijenosi necertificiranim američkim primateljima i dalje se oslanjaju na SCCs s dopunskim mjerama. Operatori koji se oslanjaju samo na SCCs, bez dokumentirane analize, trebali bi očekivati pitanja.
Popis za operatore
Ako poslujete u ili prema njemačkom tržištu, praktični kratki popis:
- Provjerite je li vaš prag za imenovanje DPO-a prekoračen prema BDSG § 38, a ne samo prema GDPR Art. 37.
- Revidirajte svoj banner privole u odnosu na TDDDG § 25 i DSK smjernice: odbijanje mora biti na istom sloju kao prihvaćanje, bez unaprijed učitanih pratitelja, bez nudginga.
- Identificirajte koje pokrajinsko tijelo nadzire vaš njemački pravni subjekt i pročitajte njegova objavljena područja fokusa — razlikuju se.
- Dokumentirajte mehanizam prijenosa za svakog obrađivača sa sjedištem u SAD-u.
- Pokrenite skeniranje svojih landing stranica na njemačkom jeziku i usporedite s člankom o znanju o praćenju prije privole.
Njemačko tržište je veliko, sofisticirano i dobro nadzirano. Njemačke DPAs objavljuju smjernice o usklađenosti cookie bannera i izdavale su naloge za provedbu protiv operatora čiji banneri nisu bili u skladu s tim smjernicama. Obrazac koji radi je jednostavan: ne učitavati ništa što nije nužno, pitati jasno, poštovati odgovor.
Zadnje ažurirano: