Németország playbook: BDSG, TDDDG, és amit a német adatvédelmi hatóságok ténylegesen érvényesítenek
Hogyan felügyelik a GDPR-t Németországban — a szövetségi BfDI, tizenhat tartományi adatvédelmi hatóság, a BDSG, és a sütikre vonatkozó TDDDG (korábban TTDSG). Mire figyeljen, ha a német piacon vagy oda irányulóan tevékenykedik.
Lukas Kontur · · 5 perc olvasás
Németország az Európai Unió legnagyobb egyetlen piaca, körülbelül 84,6 millió lakossal, és minden tagállam közül a legtöbbre tagolt adatvédelmi végrehajtási környezete van. Egy szövetségi felügyeleti hatóság létezik — a Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, rövidítve BfDI — és tizenhat tartományi szintű hatóság, Bundeslandonként egy. A legtöbb üzemeltető elsőként a tartományi hatóságokkal találkozik, mivel a magánszektorbeli adatkezelők többsége a tartományi szintű felügyelet alá tartozik, nem pedig a szövetségi alá.
Ez a playbook egy működő üzemeltető nézőpontja arról, mit jelent ez a gyakorlatban: melyik hatósággal beszél, milyen törvények érvényesek a GDPR-en felül, és mit érvényesítettek ténylegesen a német DPAs.
A jogi rétegrend
Három jogszabály számít, ebben a specificitási sorrendben.
1. GDPR
Az Európai Unió General Data Protection Regulation-ja közvetlenül alkalmazandó Németországban, mint minden tagállamban. A jogalapra, az érintetti jogokra és az elszámoltathatóságra vonatkozó érdemi szabályok innen származnak.
2. Bundesdatenschutzgesetz (BDSG)
A BDSG a német szövetségi adatvédelmi törvény. A GDPR nyitó záradékait — azokat a helyeket, ahol a rendelet kifejezetten felhívja a tagállamokat jogalkotásra — hajtja végre, és szabályokat ad hozzá a munkavállalói adatokról, a videómegfigyelésről és a Datenschutzbeauftragter szerepéről. Két gyakorlati következmény az üzemeltetők számára:
- A kötelező DPO-kinevezések szélesebb körűek, mint a GDPR Art. 37 alatt. A BDSG § 38 szerint minden németországi adatkezelő, amely legalább 20 alkalmazottal rendszeresen kezel személyes adatokat automatizált eszközökkel, köteles Datenschutzbeauftragter-t kinevezni. Ez a küszöb német-specifikus, és sok olyan KKV-ra vonatkozik, amelynek Spanyolországban vagy Olaszországban nem lenne szüksége DPO-ra.
- A munkavállalói adatokat a BDSG § 26 szabályozza, amely konkrét követelményeket határoz meg a személyes adatok foglalkoztatási kontextusban történő feldolgozására.
3. TDDDG (korábban TTDSG)
A Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, rövidítve TDDDG, az ePrivacy Directive Art. 5(3) német átültetése — a süti törvény. 2024-ben átnevezték TTDSG-ről, hogy tükrözze kibővített hatályát a digitális szolgáltatásokra általánosabban.
A weboldal-üzemeltetők számára a működési rendelkezés a TDDDG § 25, amely opt-in hozzájárulást követel meg minden, a felhasználó terminálberendezésén lévő információ tárolása vagy az ahhoz való hozzáférés előtt, kivéve ahol szigorúan szükséges. Ez az a szabály, amely alapján a cookie banners-t Németországban értékelik.
A német DPAs a Datenschutzkonferenz (DSK) közös iránymutatásaiban, leginkább a DSK 2023. július 11-i, telemédia szolgáltatásokról szóló nyilatkozatában, azt az álláspontot foglalták el, hogy:
- A „szigorúan szükséges" szűken értelmezendő — a kosár sütik, munkamenet tokenek és CSRF sütik megfelelnek; az analitika, még az első féltől származó analitika is, általában nem.
- Az elutasító gombnak a sáv ugyanazon rétegén kell lennie, mint az elfogadó gombnak.
- Az előre bejelölt mezők és a „böngészés folytatásával hozzájárul" típusú értesítések nem minősülnek hozzájárulásnak.
Ki kit felügyel
A felügyeleti térkép azért számít, mert a panaszokat ahhoz a hatósághoz továbbítják, ahol az adatkezelő letelepedett, nem pedig ahol az érintett lakik.
- Szövetségi hatóság — BfDI. A szövetségi közhatalmi szerveket, a távközlési szolgáltatókat és a postai szolgáltatókat felügyeli. Egy tipikus kereskedelmi weboldal-üzemeltető számára a BfDI nem a felügyelet.
- Tartományi hatóságok — tizenhat Landesdatenschutzbeauftragte. A magánszektorbeli adatkezelőket és a tartományi szintű közhatalmi szerveket felügyelik. A legjelentősebbek a Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) a bajorországi magán adatkezelők számára, a Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), és a berlini biztos (BlnBDI), amely aránytalanul nagy részt kap a tech-szektoros ügyekből egyszerűen azért, mert oly sok német tech cég székhelye Berlinben van.
Ha a német jogi entitása Münchenben van, akkor a BayLDA-val beszél. Ha Frankfurtban, akkor a HBDI-vel. Ha nincs német letelepedése, de szolgáltatásokat irányít a német piacra, akkor a Németországon kívüli vezető felügyeleti hatóság alkalmazandó a GDPR egyablakos mechanizmusán keresztül — de egy német felhasználó még mindig helyben panaszkodhat, és a német DPA továbbítja a panaszt.
Legutóbbi végrehajtási trendek
Három területen volt látható német végrehajtás.
Süti sáv végrehajtás
A német DPAs iránymutatást és döntéseket tett közzé olyan sávokkal kapcsolatban, amelyek elrejtették az elutasító gombot vagy előre betöltöttek követőket. Konkrét utasítások, bírságok és ügyrészletek a hatóságok éves jelentéseiben dokumentáltak.
A végrehajtást vonzó minta az, amelyet szkennerünk pre_consent_tracking-ként jelez: a sáv megjelenik, de a hálózat már elfoglalt.
A kockázati pontszám egy szkenner-belső jelzés; nem jogi minősítés. Az alapul szolgáló hálózati felvétel — hogy mely kérések indultak a hozzájárulási döntés előtt és mit hordoztak — az a tárgyi bizonyíték, amelyet egy hatóság vagy DPO megvizsgálna.
A munkavállalói adatok továbbra is szövetségi figyelmet kapó terület
A BfDI és számos tartományi hatóság iránymutatást tett közzé a munkavállalói megfigyelési eszközökről, az időnyilvántartásról és a generatív MI alkalmazásáról a munkavállalói adatokon. A globális szállítókkal HR platformokat használó üzemeltetőknek számítaniuk kell az átruházásokkal kapcsolatos kérdésekre és a BDSG § 26 szerinti jogalapra a sima GDPR Art. 6(1)(f) helyett.
Átruházások az Egyesült Államokba
Még az EU-US Data Privacy Framework 2023 júliusi hatályba lépése után is a német DPAs továbbra is vizsgálják az amerikai átruházásokat. Adekvációs határozat nélküli, EU-n kívüli országokba történő átruházások esetén az SCCs alapján végzett Transfer Impact Assessment az a léc, amelyet a német adatvédelmi hatóságok a Schrems II óta alkalmaznak. Az Egyesült Államokba történő átruházásokhoz az EU-US Data Privacy Framework kifejezetten az alá tanúsított címzettek számára biztosít megfelelőséget; a nem tanúsított amerikai címzettekhez történő átruházások továbbra is SCCs-en lovagolnak kiegészítő intézkedésekkel. Az üzemeltetőknek, akik kizárólag SCCs-re támaszkodnak, dokumentált elemzés nélkül, számítaniuk kell kérdésekre.
Üzemeltetői ellenőrzőlista
Ha a német piacon vagy oda irányulóan tevékenykedik, a gyakorlati rövid lista:
- Erősítse meg, hogy a DPO-kinevezési küszöböt átlépte-e a BDSG § 38 szerint, nem csak a GDPR Art. 37 szerint.
- Auditálja hozzájárulási sávját a TDDDG § 25 és a DSK iránymutatás alapján: az elutasításnak ugyanazon rétegen kell lennie, mint az elfogadásnak, nincs előre betöltött követő, nincs nudgolás.
- Azonosítsa, melyik tartományi hatóság felügyeli a német jogi entitását, és olvassa el azok közzétett fókuszterületeit — ezek változnak.
- Dokumentálja az átruházási mechanizmusát minden amerikai székhelyű feldolgozó esetében.
- Futtasson egy szkennelést a német nyelvű céloldalain, és hasonlítsa össze a hozzájárulás előtti követés tudásanyag cikkével.
A német piac nagy, kifinomult és jól felügyelt. A német DPAs iránymutatást tesz közzé a süti sávok megfelelőségéről, és végrehajtási utasításokat adott ki olyan üzemeltetőkkel szemben, akiknek a sávjai nem feleltek meg ennek az iránymutatásnak. A működő minta egyszerű: ne töltsön be semmi nem létfontosságút, kérdezzen egyértelműen, tartsa tiszteletben a választ.
Utoljára frissítve: