Playbook Germania: BDSG, TDDDG e ciò che le DPA tedesche applicano davvero
Come viene vigilato il GDPR in Germania — il BfDI federale, le sedici autorità di protezione dei dati a livello statale, il BDSG e il TDDDG specifico per i cookie (in precedenza TTDSG). Cosa tenere d'occhio se operate in o verso il mercato tedesco.
Lukas Kontur · · 6 min di lettura
La Germania è il più grande mercato singolo dell'Unione Europea, con circa 84,6 milioni di residenti, e ha il panorama di applicazione della protezione dei dati più frammentato di qualsiasi Stato membro. Esiste un'autorità di vigilanza federale — la Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abbreviata BfDI — e sedici autorità a livello statale, una per Bundesland. Le autorità statali sono quelle con cui la maggior parte dei gestori si confronta per prima, perché la maggioranza dei titolari del settore privato ricade sotto la vigilanza statale anziché federale.
Questo playbook è la visione operativa di un addetto ai lavori su cosa significhi tutto ciò nella pratica: con quale autorità parlate, quali leggi si applicano in aggiunta al GDPR e cosa hanno effettivamente applicato le DPAs tedesche.
Lo stack normativo
Tre testi normativi rilevano, in questo ordine di specificità.
1. GDPR
Il General Data Protection Regulation dell'Unione Europea si applica direttamente in Germania come in ogni Stato membro. Le regole sostanziali su base giuridica, diritti dell'interessato e accountability provengono da qui.
2. Bundesdatenschutzgesetz (BDSG)
Il BDSG è la legge federale tedesca sulla protezione dei dati. Implementa le clausole di apertura del GDPR — i punti in cui il regolamento invita esplicitamente gli Stati membri a legiferare — e aggiunge regole sui dati dei dipendenti, sulla videosorveglianza e sul ruolo del Datenschutzbeauftragter. Due conseguenze pratiche per i gestori:
- Gli obblighi di nomina del DPO sono più ampi di quelli del GDPR Art. 37. Ai sensi del BDSG § 38, ogni titolare in Germania con almeno 20 dipendenti che trattano regolarmente dati personali con mezzi automatizzati deve nominare un Datenschutzbeauftragter. Questa soglia è specifica della Germania e cattura molte PMI che in Spagna o in Italia non avrebbero bisogno di un DPO.
- I dati dei dipendenti sono regolati dal BDSG § 26, che stabilisce requisiti specifici per il trattamento dei dati personali nel contesto lavorativo.
3. TDDDG (in precedenza TTDSG)
La Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, abbreviata TDDDG, è l'attuazione tedesca dell'ePrivacy Directive Art. 5(3) — la legge sui cookie. È stata rinominata da TTDSG nel 2024 per riflettere l'estensione del suo ambito ai servizi digitali in senso più ampio.
Per i gestori di siti web, la disposizione operativa è il TDDDG § 25, che richiede un consenso opt-in prima di qualunque archiviazione o accesso a informazioni nelle apparecchiature terminali dell'utente, salvo quando strettamente necessarie. È la regola in base alla quale i cookie banners sono valutati in Germania.
Le DPAs tedesche, in un orientamento congiunto della Datenschutzkonferenz (DSK), in particolare nella dichiarazione della DSK dell'11 luglio 2023 sui servizi di telemedia, hanno assunto la posizione che:
- "Strettamente necessario" si interpreta in senso stretto — i cookie di carrello, i token di sessione e i cookie CSRF rientrano; le analytics, anche le analytics first-party, in genere no.
- Un pulsante di rifiuto deve trovarsi sullo stesso livello del banner del pulsante di accettazione.
- Caselle preselezionate e avvisi del tipo "continuando la navigazione, presti il consenso" non costituiscono consenso.
Chi vigila su chi
La mappa di vigilanza conta perché i reclami vengono indirizzati all'autorità in cui è stabilito il titolare, non a quella in cui risiede l'interessato.
- Autorità federale — BfDI. Vigila su enti pubblici federali, fornitori di telecomunicazioni e operatori postali. Per un tipico gestore commerciale di sito web, la BfDI non è il vostro vigilante.
- Autorità statali — sedici Landesdatenschutzbeauftragte. Vigilano sui titolari del settore privato e sugli enti pubblici a livello statale. Le più note sono il Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) per i titolari privati in Baviera, l'Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) e la commissaria di Berlino (BlnBDI), che vede una quota sproporzionata di casi del settore tech semplicemente perché tante aziende tech tedesche hanno sede a Berlino.
Se la vostra entità giuridica tedesca è a Monaco, parlate con il BayLDA. Se è a Francoforte, parlate con l'HBDI. Se non avete uno stabilimento tedesco ma indirizzate servizi al mercato tedesco, si applica l'autorità di vigilanza capofila al di fuori della Germania attraverso il meccanismo dello sportello unico del GDPR — ma un utente tedesco può comunque presentare reclamo a livello locale, e la DPA tedesca instraderà il reclamo.
Tendenze recenti di applicazione
Tre aree sono state visibili nell'applicazione tedesca.
Applicazione sui banner cookie
Le DPAs tedesche hanno pubblicato orientamenti e decisioni su banner che nascondevano il pulsante di rifiuto o precaricavano tracker. Ordini specifici, sanzioni e dettagli dei casi sono documentati nei rapporti annuali delle autorità.
Il pattern che attira l'applicazione è quello che il nostro scanner segnala come pre_consent_tracking: il banner appare, ma la rete è già attiva.
Il punteggio di rischio è un segnale interno dello scanner; non è una determinazione giuridica. La cattura di rete sottostante — quali richieste si sono attivate prima della decisione di consenso e cosa trasportavano — è l'artefatto che un'autorità o un DPO esaminerebbe.
I dati dei dipendenti restano un'area di attenzione federale
La BfDI e diverse autorità statali hanno pubblicato orientamenti su strumenti di monitoraggio dei dipendenti, rilevazione delle presenze e uso dell'IA generativa sui dati dei dipendenti. I gestori che usano piattaforme HR con fornitori globali dovrebbero aspettarsi domande sui trasferimenti e sulla base giuridica ai sensi del BDSG § 26 piuttosto che sull'ordinario GDPR Art. 6(1)(f).
Trasferimenti verso gli Stati Uniti
Anche dopo l'entrata in vigore dell'EU-US Data Privacy Framework nel luglio 2023, le DPAs tedesche hanno continuato a esaminare con attenzione i trasferimenti verso gli USA. Per i trasferimenti verso paesi extra-UE privi di decisione di adeguatezza, una Transfer Impact Assessment basata sulle SCCs è il criterio che le DPA tedesche applicano fin da Schrems II. Per i trasferimenti verso gli Stati Uniti, l'EU-US Data Privacy Framework fornisce adeguatezza specificamente per i destinatari ad esso certificati; i trasferimenti verso destinatari statunitensi non certificati continuano a fondarsi sulle SCCs con misure supplementari. I gestori che si affidano alle sole SCCs, senza analisi documentata, dovrebbero aspettarsi domande.
Checklist per il gestore
Se operate in o verso il mercato tedesco, l'elenco breve pratico:
- Verificate se la vostra soglia di nomina del DPO è stata superata ai sensi del BDSG § 38, non solo del GDPR Art. 37.
- Auditate il vostro banner di consenso rispetto al TDDDG § 25 e all'orientamento della DSK: rifiuta deve essere sullo stesso livello di accetta, nessun tracker precaricato, nessun nudging.
- Identificate quale autorità statale vigila sulla vostra entità giuridica tedesca e leggete le aree di attenzione che essa pubblica — variano.
- Documentate il vostro meccanismo di trasferimento per ogni responsabile del trattamento con sede negli USA.
- Eseguite una scansione delle vostre landing page in lingua tedesca e confrontatela con l'articolo della knowledge base sul tracking pre-consenso.
Il mercato tedesco è grande, sofisticato e ben vigilato. Le DPAs tedesche pubblicano orientamenti sulla conformità dei banner cookie e hanno emesso ordini di applicazione contro gestori i cui banner non rispettavano tali orientamenti. Il pattern che funziona è quello semplice: non caricare nulla di non essenziale, chiedere chiaramente, rispettare la risposta.
Ultimo aggiornamento: