Vācijas rokasgrāmata: BDSG, TDDDG un ko Vācijas DPA faktiski īsteno
Kā VDAR tiek uzraudzīts Vācijā — federālā BfDI, sešpadsmit štatu līmeņa datu aizsardzības iestādes, BDSG un sīkdatnēm specifiskais TDDDG (iepriekš TTDSG). Uz ko jāpievērš uzmanība, ja darbojaties Vācijas tirgū vai uz to.
Lukas Kontur · · 5 min lasīšanas
Vācija ir lielākais atsevišķais tirgus Eiropas Savienībā ar aptuveni 84,6 miljoniem iedzīvotāju, un tai ir visfragmentētākā datu aizsardzības īstenošanas vide no visām dalībvalstīm. Pastāv viena federāla uzraudzības iestāde — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, saīsināti BfDI — un sešpadsmit štatu līmeņa iestādes, pa vienai katram Bundesland. Štatu iestādes ir tās, ar kurām lielākā daļa operatoru sastopas vispirms, jo lielākā daļa privātā sektora pārziņu ietilpst štatu līmeņa uzraudzībā, nevis federālā.
Šī rokasgrāmata ir strādājoša operatora skatījums uz to, ko tas nozīmē praksē: ar kuru iestādi jūs runājat, kuri likumi attiecas papildus GDPR, un ko Vācijas DPAs faktiski ir īstenojušas.
Juridiskais kopums
Trīs tiesību akti ir svarīgi, šādā specifiskuma secībā.
1. GDPR
Eiropas Savienības General Data Protection Regulation Vācijā, tāpat kā katrā dalībvalstī, piemērojama tieši. Būtiskie noteikumi par tiesisko pamatu, datu subjektu tiesībām un pārskatatbildību nāk no šejienes.
2. Bundesdatenschutzgesetz (BDSG)
BDSG ir Vācijas federālais datu aizsardzības likums. Tas īsteno GDPR atvēršanas klauzulas — vietas, kur regula tieši aicina dalībvalstis pieņemt likumdošanu — un pievieno noteikumus par darbinieku datiem, video novērošanu un Datenschutzbeauftragter lomu. Divas praktiskas sekas operatoriem:
- Obligāti DPO iecelšanas ir plašākas nekā saskaņā ar GDPR Art. 37. Saskaņā ar BDSG § 38 jebkuram pārzinim Vācijā ar vismaz 20 darbiniekiem, kas regulāri apstrādā personas datus ar automatizētiem līdzekļiem, jāieceļ Datenschutzbeauftragter. Šis slieksnis ir specifisks Vācijai un aptver daudzus MVU, kuriem DPO nebūtu vajadzīgs Spānijā vai Itālijā.
- Darbinieku datus regulē BDSG § 26, kas nosaka specifiskas prasības personas datu apstrādei darba attiecību kontekstā.
3. TDDDG (iepriekš TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, saīsināti TDDDG, ir Vācijas ePrivacy Directive Art. 5(3) — sīkdatņu likuma — īstenošana. Tas tika pārdēvēts no TTDSG 2024. gadā, lai atspoguļotu tā paplašināto darbības jomu, kas plašāk aptver digitālos pakalpojumus.
Tīmekļvietņu operatoriem operatīvais noteikums ir TDDDG § 25, kas pieprasa opt-in piekrišanu pirms jebkādas informācijas glabāšanas vai piekļuves tai lietotāja gala iekārtā, izņemot gadījumus, kad tas ir stingri nepieciešams. Tas ir noteikums, saskaņā ar kuru Vācijā tiek vērtēti cookie banners.
Vācijas DPAs, kopīgās Datenschutzkonferenz (DSK) vadlīnijās, visredzamāk 2023. gada 11. jūlija DSK paziņojumā par telemediju pakalpojumiem, ir ieņēmušas šādu nostāju:
- „Stingri nepieciešams" tiek interpretēts šauri — grozu sīkdatnes, sesiju žetoni un CSRF sīkdatnes kvalificējas; analītika, pat pirmās puses analītika, parasti ne.
- Noraidīšanas pogai jābūt tajā pašā banera slānī kā piekrišanas pogai.
- Iepriekš atzīmētas rūtiņas un paziņojumi „turpinot pārlūkošanu, jūs piekrītat" nav piekrišana.
Kas ko uzrauga
Uzraudzības karte ir svarīga, jo sūdzības tiek novirzītas uz iestādi, kur ir reģistrēts pārzinis, nevis kur dzīvo datu subjekts.
- Federālā iestāde — BfDI. Uzrauga federālās publiskās iestādes, telekomunikāciju sniedzējus un pasta pakalpojumu operatorus. Tipiskam komerciālas tīmekļvietnes operatoram BfDI nav jūsu uzraugs.
- Štatu iestādes — sešpadsmit Landesdatenschutzbeauftragte. Uzrauga privātā sektora pārziņus un štatu līmeņa publiskās iestādes. Pazīstamākās ir Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) privātiem pārziņiem Bavārijā, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) un Berlīnes komisārs (BlnBDI), kas redz nesamērīgu tehnoloģiju sektora lietu daļu vienkārši tāpēc, ka tik daudz Vācijas tehnoloģiju uzņēmumu ir reģistrēti Berlīnē.
Ja jūsu Vācijas juridiskā persona atrodas Minhenē, jūs runājat ar BayLDA. Ja tā ir Frankfurtē, jūs runājat ar HBDI. Ja jums nav uzņēmuma Vācijā, bet jūs virzāt pakalpojumus uz Vācijas tirgu, vadošā uzraudzības iestāde ārpus Vācijas attiecas caur GDPR vienas pieturas aģentūras mehānismu — bet Vācijas lietotājs joprojām var iesniegt sūdzību vietēji, un Vācijas DPA to novirzīs.
Jaunākās īstenošanas tendences
Vācijas īstenošanā ir bijušas redzamas trīs jomas.
Sīkdatņu baneru īstenošana
Vācijas DPAs ir publicējušas vadlīnijas un lēmumus par baneriem, kas apraka noraidīšanas pogu vai iepriekš ielādēja izsekotājus. Konkrēti rīkojumi, sodi un lietu detaļas ir dokumentētas iestāžu gada pārskatos.
Raksts, kas piesaista īstenošanu, ir tas, ko mūsu skeneris atzīmē kā pre_consent_tracking: banera parādīšanās, bet tīkls jau ir aizņemts.
Riska vērtējums ir skenera iekšējais signāls; tas nav juridisks noteikums. Pamatā esošais tīkla tvērums — kuri pieprasījumi aktivizējās pirms piekrišanas lēmuma un ko tie pārnesa — ir artefakts, ko pārbaudītu regulators vai DPO.
Darbinieku dati joprojām ir federālās uzmanības joma
BfDI un vairākas štatu iestādes ir publicējušas vadlīnijas par darbinieku monitoringa rīkiem, darba laika uzskaiti un ģeneratīvā mākslīgā intelekta izmantošanu darbinieku datos. Operatoriem, kas izmanto cilvēkresursu platformas ar globāliem piegādātājiem, jāsagaida jautājumi par pārsūtīšanu un par tiesisko pamatu saskaņā ar BDSG § 26, nevis parasto GDPR Art. 6(1)(f).
Pārsūtīšana uz Amerikas Savienotajām Valstīm
Pat pēc EU-US Data Privacy Framework stāšanās spēkā 2023. gada jūlijā Vācijas DPAs ir turpinājušas rūpīgi pārbaudīt ASV pārsūtīšanu. Pārsūtīšanai uz ārpus ES valstīm bez atbilstības lēmuma Pārsūtīšanas ietekmes novērtējums saskaņā ar SCCs ir slieksnis, ko Vācijas DPA piemēro kopš Schrems II. Pārsūtīšanai uz Amerikas Savienotajām Valstīm EU-US Data Privacy Framework nodrošina atbilstību konkrēti saņēmējiem, kas saskaņā ar to sertificēti; pārsūtīšana uz nesertificētiem ASV saņēmējiem joprojām balstās uz SCCs ar papildu pasākumiem. Operatoriem, kas paļaujas tikai uz SCCs bez dokumentētas analīzes, jāsagaida jautājumi.
Operatora kontrolsaraksts
Ja darbojaties Vācijas tirgū vai uz to, praktisks īss saraksts:
- Apstipriniet, vai jūsu DPO iecelšanas slieksnis ir pārsniegts saskaņā ar BDSG § 38, ne tikai GDPR Art. 37.
- Pārbaudiet savu piekrišanas baneri saskaņā ar TDDDG § 25 un DSK vadlīnijām: noraidīšanai jābūt tajā pašā slānī kā piekrišanai, nekādu iepriekš ielādētu izsekotāju, nekādas pabīdīšanas.
- Identificējiet, kura štata iestāde uzrauga jūsu Vācijas juridisko personu, un izlasiet to publicētās fokusa jomas — tās atšķiras.
- Dokumentējiet savu pārsūtīšanas mehānismu jebkuram ASV bāzētam apstrādātājam.
- Palaidiet skenēšanu savām vāciski valodas galvenajām lapām un salīdziniet ar izsekošanas pirms piekrišanas zināšanu rakstu.
Vācijas tirgus ir liels, sarežģīts un labi uzraudzīts. Vācijas DPAs publicē vadlīnijas par sīkdatņu baneru atbilstību un ir izdevušas īstenošanas rīkojumus pret operatoriem, kuru baneri neatbilda šīm vadlīnijām. Raksts, kas darbojas, ir vienkāršais: nekas nebūtisks netiek ielādēts, jautā skaidri, ciena atbildi.
Pēdējoreiz atjaunināts: