Vokietijos vadovas: BDSG, TDDDG ir ką Vokietijos DPA iš tikrųjų vykdo
Kaip BDAR prižiūrimas Vokietijoje — federalinė BfDI, šešiolika valstijų lygio duomenų apsaugos institucijų, BDSG ir su slapukais susijęs TDDDG (anksčiau TTDSG). Į ką atkreipti dėmesį, jei veikiate Vokietijos rinkoje arba į ją.
Lukas Kontur · · 5 min skaitymo
Vokietija yra didžiausia viena rinka Europos Sąjungoje, apytiksliai su 84,6 mln. gyventojų, ir ji turi labiausiai fragmentuotą duomenų apsaugos vykdymo aplinką iš visų valstybių narių. Yra viena federalinė priežiūros institucija — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, sutrumpintai BfDI — ir šešiolika valstijų lygio institucijų, po vieną kiekvienai Bundesland. Valstijų institucijos yra tos, su kuriomis dauguma operatorių susiduria pirmiausia, nes dauguma privataus sektoriaus duomenų valdytojų patenka į valstijų lygio priežiūrą, o ne federalinę.
Šis vadovas yra praktikuojančio operatoriaus požiūris į tai, ką tai reiškia praktikoje: su kuria institucija jūs kalbate, kurie įstatymai taikomi be GDPR ir ką Vokietijos DPAs iš tikrųjų vykdo.
Teisinis rinkinys
Trys teisės aktai yra svarbūs, šia konkretumo tvarka.
1. GDPR
Europos Sąjungos General Data Protection Regulation Vokietijoje, kaip ir kiekvienoje valstybėje narėje, taikomas tiesiogiai. Materialios taisyklės dėl teisėto pagrindo, duomenų subjektų teisių ir atskaitomybės kyla iš čia.
2. Bundesdatenschutzgesetz (BDSG)
BDSG yra Vokietijos federalinis duomenų apsaugos įstatymas. Jis įgyvendina GDPR atvirumo sąlygas — vietas, kur reglamentas aiškiai kviečia valstybes nares priimti teisės aktus — ir prideda taisykles dėl darbuotojų duomenų, vaizdo stebėjimo ir Datenschutzbeauftragter vaidmens. Dvi praktinės pasekmės operatoriams:
- Privaloma DPO skyrimas yra platesnis nei pagal GDPR Art. 37. Pagal BDSG § 38, bet kuris duomenų valdytojas Vokietijoje, turintis bent 20 darbuotojų, reguliariai tvarkančių asmens duomenis automatizuotomis priemonėmis, privalo paskirti Datenschutzbeauftragter. Ši riba yra specifiška Vokietijai ir apima daugelį mažų ir vidutinių įmonių, kurioms DPO nereikėtų Ispanijoje ar Italijoje.
- Darbuotojų duomenis reglamentuoja BDSG § 26, kuris nustato specifinius reikalavimus asmens duomenų tvarkymui darbo santykių kontekste.
3. TDDDG (anksčiau TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, sutrumpintai TDDDG, yra Vokietijos ePrivacy Directive Art. 5(3) — slapukų teisės — įgyvendinimas. Jis buvo pervadintas iš TTDSG 2024 m., kad atspindėtų išplėstą jo taikymo sritį, apimančią platesnes skaitmenines paslaugas.
Svetainių operatoriams operatyvi nuostata yra TDDDG § 25, kuri reikalauja opt-in sutikimo prieš bet kokį saugojimą ar priėjimą prie informacijos naudotojo galiniame įrenginyje, išskyrus atvejus, kai tai griežtai būtina. Tai taisyklė, pagal kurią Vokietijoje vertinami cookie banners.
Vokietijos DPAs, bendrose Datenschutzkonferenz (DSK) gairėse, ypač 2023 m. liepos 11 d. DSK pareiškime dėl telemedijos paslaugų, laikėsi pozicijos, kad:
- „Griežtai būtina" aiškinama siaurai — krepšelio slapukai, sesijos žetonai ir CSRF slapukai kvalifikuojasi; analitika, net pirmosios šalies analitika, paprastai ne.
- Atmetimo mygtukas turi būti tame pačiame banerio sluoksnyje kaip ir sutikimo mygtukas.
- Iš anksto pažymėti langeliai ir pranešimai „tęsdami naršymą sutinkate" nėra sutikimas.
Kas ką prižiūri
Priežiūros žemėlapis svarbus, nes skundai nukreipiami į instituciją, kur įsikūręs duomenų valdytojas, o ne kur gyvena duomenų subjektas.
- Federalinė institucija — BfDI. Prižiūri federalines viešąsias įstaigas, telekomunikacijų teikėjus ir pašto paslaugų operatorius. Tipiškam komercinės svetainės operatoriui BfDI nėra jūsų prižiūrėtojas.
- Valstijų institucijos — šešiolika Landesdatenschutzbeauftragte. Prižiūri privataus sektoriaus duomenų valdytojus ir valstijų lygio viešąsias įstaigas. Žinomiausios yra Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) privatiems duomenų valdytojams Bavarijoje, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) ir Berlyno komisaras (BlnBDI), kuris mato neproporcingą dalį technologijų sektoriaus bylų vien dėl to, kad tiek daug Vokietijos technologijų įmonių yra įsikūrusios Berlyne.
Jei jūsų Vokietijos juridinis asmuo yra Miunchene, jūs kalbate su BayLDA. Jei jis yra Frankfurte, jūs kalbate su HBDI. Jei neturite įsisteigimo Vokietijoje, bet teikiate paslaugas į Vokietijos rinką, vadovaujanti priežiūros institucija už Vokietijos ribų taikoma per GDPR vieno langelio mechanizmą — tačiau Vokietijos naudotojas vis tiek gali pateikti skundą vietoje, o Vokietijos DPA nukreips skundą.
Naujausios vykdymo tendencijos
Trys sritys buvo matomos Vokietijos vykdymo praktikoje.
Slapukų banerių vykdymas
Vokietijos DPAs paskelbė gaires ir sprendimus dėl banerių, kurie paslėpė atmetimo mygtuką arba iš anksto įkėlė sekimo įrankius. Konkretūs įsakymai, baudos ir bylų detalės yra dokumentuoti institucijų metinėse ataskaitose.
Modelis, kuris sukelia vykdymą, yra tas pats, kurį mūsų skeneris žymi kaip pre_consent_tracking: banerys atsiranda, bet tinklas jau užimtas.
Rizikos balas yra skenerio vidinis signalas; tai nėra teisinis sprendimas. Pagrindinis tinklo gaudymas — kurios užklausos suveikė prieš sutikimo sprendimą ir ką jos nešė — yra artefaktas, kurį tirtų reguliuotojas arba DPO.
Darbuotojų duomenys ir toliau yra federalinio dėmesio sritis
BfDI ir kelios valstijų institucijos paskelbė gaires dėl darbuotojų stebėjimo priemonių, darbo laiko apskaitos ir generatyvaus dirbtinio intelekto naudojimo darbuotojų duomenims. Operatoriai, naudojantys personalo platformas su pasauliniais tiekėjais, turėtų tikėtis klausimų apie duomenų perdavimus ir apie teisėtą pagrindą pagal BDSG § 26, o ne pagal įprastą GDPR Art. 6(1)(f).
Duomenų perdavimai į Jungtines Valstijas
Net po to, kai 2023 m. liepą įsigaliojo EU-US Data Privacy Framework, Vokietijos DPAs toliau tikrino duomenų perdavimus į JAV. Perdavimams į ne ES šalis be tinkamumo sprendimo, Perdavimo poveikio vertinimas pagal SCCs yra slenkstis, kurį Vokietijos DPA taiko nuo Schrems II. Perdavimams į Jungtines Valstijas EU-US Data Privacy Framework suteikia tinkamumą konkrečiai pagal jį sertifikuotiems gavėjams; perdavimai į nesertifikuotus JAV gavėjus vis dar remiasi SCCs su papildomomis priemonėmis. Operatoriai, besiremiantys vien SCCs be dokumentuotos analizės, turėtų tikėtis klausimų.
Operatoriaus kontrolinis sąrašas
Jei veikiate Vokietijos rinkoje arba į ją, praktinis trumpas sąrašas:
- Patvirtinkite, ar jūsų DPO paskyrimo riba yra peržengta pagal BDSG § 38, o ne tik GDPR Art. 37.
- Auditinkite savo sutikimo banerį pagal TDDDG § 25 ir DSK gaires: atmetimas turi būti tame pačiame sluoksnyje kaip sutikimas, jokių iš anksto įkeltų sekimo įrankių, jokio stumdymo.
- Nustatykite, kuri valstijos institucija prižiūri jūsų Vokietijos juridinį asmenį, ir perskaitykite jų paskelbtas dėmesio sritis — jos skiriasi.
- Dokumentuokite savo perdavimo mechanizmą bet kuriam JAV esančiam duomenų tvarkytojui.
- Paleiskite skenavimą savo vokiškų landing puslapių ir palyginkite su sekimo prieš sutikimą žinių straipsniu.
Vokietijos rinka yra didelė, sudėtinga ir gerai prižiūrima. Vokietijos DPAs skelbia gaires dėl slapukų banerių atitikties ir išdavė vykdymo įsakymus prieš operatorius, kurių baneriai neatitiko tų gairių. Modelis, kuris veikia, yra paprastas: neįkelti nieko neesminio, klausti aiškiai, gerbti atsakymą.
Paskutinį kartą atnaujinta: