Playbook tal-Ġermanja: BDSG, TDDDG, u x'jinfurzaw fil-fatt id-DPAs Ġermaniżi
Kif il-GDPR hu sorveljat fil-Ġermanja — il-BfDI federali, sittax-il awtorità tal-protezzjoni tad-data fil-livell tal-istati, il-BDSG, u t-TDDDG speċifiku għall-cookies (qabel TTDSG). X'għandek toqgħod attent jekk topera fi jew lejn is-suq Ġermaniż.
Lukas Kontur · · 5 min qari
Il-Ġermanja hi l-ikbar suq uniku fl-Unjoni Ewropea, b'madwar 84.6 miljun resident, u għandha l-aktar pajsaġġ frammentat ta' infurzar tal-protezzjoni tad-data fost l-istati membri kollha. Hemm awtorità ta' sorveljanza federali waħda — il-Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abbrevjata BfDI — u sittax-il awtorità fil-livell tal-istati, waħda għal kull Bundesland. L-awtoritajiet tal-istati huma dawk li l-biċċa l-kbira tal-operaturi jiltaqgħu magħhom l-ewwel, għax il-maġġoranza tal-kontrolluri tas-settur privat jaqgħu taħt is-sorveljanza fil-livell tal-istati, mhux dik federali.
Dan il-playbook hu viżjoni prattika ta' operatur ta' x'ifisser dan: ma' liema awtorità titkellem, liema liġijiet japplikaw flimkien mal-GDPR, u x'ilhom fil-fatt jinfurzaw id-DPAs Ġermaniżi.
Il-qafas legali
Tliet biċċiet ta' leġiżlazzjoni huma importanti, f'din l-ordni ta' speċifiċità.
1. GDPR
Il-General Data Protection Regulation tal-Unjoni Ewropea japplika direttament fil-Ġermanja bħal f'kull stat membru. Ir-regoli sostantivi dwar il-bażi legali, id-drittijiet tas-suġġetti tad-data u l-obbligu ta' rendikont ġejjin minn hawnhekk.
2. Bundesdatenschutzgesetz (BDSG)
Il-BDSG hu l-att federali Ġermaniż dwar il-protezzjoni tad-data. Jimplimenta l-klawżoli ta' ftuħ tal-GDPR — il-postijiet fejn ir-regolament jistieden espliċitament l-istati membri biex jilleġiżlaw — u jżid regoli dwar id-data tal-impjegati, is-sorveljanza bil-vidjow, u r-rwol tad-Datenschutzbeauftragter. Żewġ konsegwenzi prattiċi għall-operaturi:
- Il-ħatriet obbligatorji tad-DPO huma usa' minn dawk taħt il-GDPR Art. 37. Taħt il-BDSG § 38, kwalunkwe kontrollur fil-Ġermanja b'mill-inqas 20 impjegat li regolarment jipproċessaw data personali b'mezzi awtomatizzati għandu jaħtar Datenschutzbeauftragter. Dan il-limitu hu speċifiku għall-Ġermanja u jolqot ħafna SMEs li ma jkollhomx bżonn DPO fi Spanja jew l-Italja.
- Id-data tal-impjegati hi rregolata mill-BDSG § 26, li jistabbilixxi rekwiżiti speċifiċi għall-ipproċessar ta' data personali fil-kuntest tal-impjieg.
3. TDDDG (qabel TTDSG)
It-Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, abbrevjat TDDDG, hu l-implimentazzjoni Ġermaniża tal-ePrivacy Directive Art. 5(3) — il-liġi tal-cookies. Ġie rinnominat mit-TTDSG fl-2024 biex jirrifletti l-iskop espanduto tiegħu għal servizzi diġitali b'mod aktar wiesa'.
Għall-operaturi ta' siti web, id-dispożizzjoni operattiva hi t-TDDDG § 25, li jeħtieġ kunsens opt-in qabel kwalunkwe ħażna jew aċċess għal informazzjoni fuq l-apparat terminali tal-utent, ħlief fejn strettament meħtieġ. Din hi r-regola skontha huma evalwati l-cookie banners fil-Ġermanja.
Id-DPAs Ġermaniżi ħadu, f'gwida konġunta mid-Datenschutzkonferenz (DSK), l-aktar b'mod prominenti fid-dikjarazzjoni tad-DSK tal-11 ta' Lulju 2023 dwar is-servizzi tal-media telematika, il-pożizzjoni li:
- "Strettament meħtieġ" hu moqri b'mod ristrett — cookies tal-basket, session tokens, u cookies CSRF jikkwalifikaw; l-analytics, anke analytics first-party, ġeneralment le.
- Buttuna ta' rifjut trid tkun fuq l-istess saff tal-banner bħall-buttuna ta' aċċettazzjoni.
- Kaxxi ttikkjati minn qabel u noti "billi tkompli tibbrawżja, taqbel" ma jikkostitwixxux kunsens.
Min jissorvelja lil min
Il-mappa tas-sorveljanza importanti għax l-ilmenti jiġu indirizzati lill-awtorità fejn il-kontrollur hu stabbilit, mhux fejn joqgħod is-suġġett tad-data.
- Awtorità federali — BfDI. Tissorvelja korpi pubbliċi federali, fornituri tat-telekomunikazzjoni, u operaturi ta' servizzi postali. Għal operatur ta' sit web kummerċjali tipiku, il-BfDI mhix is-superviżur tiegħek.
- Awtoritajiet tal-istati — sittax-il Landesdatenschutzbeauftragte. Jissorveljaw kontrolluri tas-settur privat u korpi pubbliċi fil-livell tal-istati. L-aktar prominenti huma l-Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) għall-kontrolluri privati fil-Bavarja, il-Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI), u l-kummissarju ta' Berlin (BlnBDI), li jara sehem sproporzjonat ta' każijiet fis-settur tat-tek sempliċement għax tant kumpaniji Ġermaniżi tat-tek għandhom is-sede tagħhom f'Berlin.
Jekk l-entità legali Ġermaniża tiegħek qiegħda f'Munich, titkellem mal-BayLDA. Jekk qiegħda fi Frankfurt, titkellem mal-HBDI. Jekk m'għandekx stabbiliment Ġermaniż iżda tidderieġi servizzi lejn is-suq Ġermaniż, l-awtorità ta' sorveljanza ewlenija barra l-Ġermanja tapplika permezz tal-mekkaniżmu one-stop-shop tal-GDPR — imma utent Ġermaniż xorta jista' jilmenta lokalment, u d-DPA Ġermaniża tgħaddi l-ilment.
Xejriet reċenti ta' infurzar
Tliet oqsma kienu viżibbli fl-infurzar Ġermaniż.
Infurzar tal-banner tal-cookies
Id-DPAs Ġermaniżi ppubblikaw gwida u deċiżjonijiet dwar banners li dfinu l-buttuna ta' rifjut jew li ppreċarikaw traċċaturi. Ordnijiet speċifiċi, multi, u dettalji tal-każijiet huma dokumentati fir-rapporti annwali tal-awtoritajiet.
Il-pattern li jiġbed l-infurzar hu dak li l-iskener tagħna jissenjala bħala pre_consent_tracking: il-banner jidher, imma n-netwerk diġà hu okkupat.
Il-punteġġ tar-riskju hu sinjal intern tal-iskener; mhux determinazzjoni legali. Il-qbid tan-netwerk sottostanti — liema talbiet iskattaw qabel id-deċiżjoni tal-kunsens u x'kienu qed iġorru — hu l-artefatt li regolatur jew DPO jeżaminaw.
Id-data tal-impjegati tibqa' qasam ta' attenzjoni federali
Il-BfDI u diversi awtoritajiet tal-istati ppubblikaw gwida dwar għodod ta' monitoraġġ tal-impjegati, time-tracking, u l-użu tal-AI ġenerattiva fuq id-data tal-impjegati. Operaturi li jużaw pjattaformi HR b'bejjiegħa globali għandhom jistennew mistoqsijiet dwar trasferimenti u dwar il-bażi legali taħt il-BDSG § 26 minflok il-GDPR Art. 6(1)(f) ordinarju.
Trasferimenti lejn l-Istati Uniti
Anki wara li l-EU-US Data Privacy Framework daħal fis-seħħ f'Lulju 2023, id-DPAs Ġermaniżi komplew jiskrutinizzaw it-trasferimenti lejn l-Istati Uniti. Għal trasferimenti lejn pajjiżi mhux tal-UE mingħajr deċiżjoni ta' adegwatezza, Transfer Impact Assessment taħt l-SCCs hu l-livell li d-DPAs Ġermaniżi applikaw mill-Schrems II. Għal trasferimenti lejn l-Istati Uniti, l-EU-US Data Privacy Framework jipprovdi adegwatezza speċifikament għal riċevituri ċċertifikati taħtu; trasferimenti lejn riċevituri tal-Istati Uniti mhux iċċertifikati xorta joqogħdu fuq l-SCCs b'miżuri supplimentari. L-operaturi li jiddependu fuq l-SCCs waħidhom, mingħajr analiżi dokumentata, għandhom jistennew mistoqsijiet.
Checklist għall-operatur
Jekk topera fi jew lejn is-suq Ġermaniż, il-lista prattika qasira:
- Ikkonferma jekk il-limitu tal-ħatra tad-DPO tiegħek inqabiżx taħt il-BDSG § 38, mhux biss taħt il-GDPR Art. 37.
- Audita l-banner tal-kunsens tiegħek kontra t-TDDDG § 25 u l-gwida tad-DSK: ir-rifjut irid ikun fuq l-istess saff bħall-aċċettazzjoni, l-ebda traċċatur preċarikat, l-ebda nudging.
- Identifika liema awtorità tal-istati tissorvelja l-entità legali Ġermaniża tiegħek, u aqra l-oqsma ta' fokus ippubblikati tagħhom — jvarjaw.
- Iddokumenta l-mekkaniżmu ta' trasferiment tiegħek għal kwalunkwe proċessur ibbażat fl-Istati Uniti.
- Ħaddem skan tal-paġni tal-landing tiegħek bil-Ġermaniż u qabbel mal-artiklu ta' għarfien dwar it-traċċar qabel il-kunsens.
Is-suq Ġermaniż hu kbir, sofistikat u sorveljat tajjeb. Id-DPAs Ġermaniżi jippubblikaw gwida dwar il-konformità tal-banner tal-cookies u ħarġu ordnijiet ta' infurzar kontra operaturi li l-banners tagħhom ma kinux jissodisfaw dik il-gwida. Il-pattern li jaħdem hu dak sempliċi: ma tgħabba xejn mhux essenzjali, tistaqsi b'mod ċar, tirrispetta t-tweġiba.
Aġġornata l-aħħar: