Playbook Duitsland: BDSG, TDDDG en wat de Duitse toezichthouders daadwerkelijk handhaven
Hoe de AVG in Duitsland wordt gehandhaafd — de federale BfDI, zestien deelstatelijke gegevensbeschermingsautoriteiten, het BDSG en het cookie-specifieke TDDDG (voorheen TTDSG). Waar u op moet letten als u op of naar de Duitse markt opereert.
Lukas Kontur · · 5 min leestijd
Duitsland is de grootste afzonderlijke markt in de Europese Unie, met circa 84,6 miljoen inwoners, en heeft het meest gefragmenteerde gegevensbeschermings-handhavingslandschap van alle lidstaten. Er is één federale toezichthouder — de Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, afgekort BfDI — en zestien deelstatelijke autoriteiten, één per Bundesland. Met de deelstatelijke autoriteiten hebben de meeste exploitanten als eerste te maken, omdat de meerderheid van de privaatrechtelijke verwerkingsverantwoordelijken onder het toezicht van de deelstaten valt en niet onder dat van de federatie.
Dit playbook is de operationele blik van een praktijkbeoefenaar op wat dat in de praktijk betekent: met welke autoriteit u praat, welke wetten naast de GDPR gelden, en wat de Duitse DPAs daadwerkelijk hebben gehandhaafd.
De juridische stack
Drie wetgevingsstukken zijn van belang, in deze volgorde van specificiteit.
1. GDPR
De General Data Protection Regulation van de Europese Unie geldt rechtstreeks in Duitsland, zoals in elke lidstaat. De materiële regels over rechtsgrond, rechten van betrokkenen en verantwoordingsplicht komen hier vandaan.
2. Bundesdatenschutzgesetz (BDSG)
Het BDSG is de Duitse federale gegevensbeschermingswet. Het vult de openingsclausules van de GDPR in — de plekken waar de verordening de lidstaten uitdrukkelijk uitnodigt om wetgeving te maken — en voegt regels toe over werknemersgegevens, videobewaking en de rol van de Datenschutzbeauftragter. Twee praktische gevolgen voor exploitanten:
- Verplichte aanstelling van een DPO is breder dan onder GDPR Art. 37. Onder BDSG § 38 moet elke verwerkingsverantwoordelijke in Duitsland met ten minste 20 medewerkers die regelmatig persoonsgegevens met geautomatiseerde middelen verwerken, een Datenschutzbeauftragter aanstellen. Deze drempel is Duits-specifiek en betreft veel mkb-bedrijven die in Spanje of Italië geen DPO nodig zouden hebben.
- Werknemersgegevens worden geregeld door BDSG § 26, dat specifieke vereisten stelt voor de verwerking van persoonsgegevens in de arbeidscontext.
3. TDDDG (voorheen TTDSG)
De Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, afgekort TDDDG, is de Duitse implementatie van ePrivacy Directive Art. 5(3) — de cookiewet. Hij werd in 2024 hernoemd van TTDSG om zijn uitgebreide reikwijdte tot digitale diensten in bredere zin te weerspiegelen.
Voor website-exploitanten is de relevante bepaling TDDDG § 25, die opt-in-toestemming vereist voor elke opslag op of toegang tot informatie op het eindapparaat van een gebruiker, behalve waar dit strikt noodzakelijk is. Dit is de regel waaraan cookie banners in Duitsland worden getoetst.
De Duitse DPAs hebben in gezamenlijke richtsnoeren van de Datenschutzkonferenz (DSK), het meest prominent in de DSK-verklaring van 11 juli 2023 over telemediadiensten, het standpunt ingenomen dat:
- "Strikt noodzakelijk" eng wordt uitgelegd — winkelmandcookies, sessietokens en CSRF-cookies kwalificeren; analytics, ook first-party-analytics, in de regel niet.
- Een weiger-knop zich op dezelfde bannerlaag moet bevinden als de accepteer-knop.
- Voorgeselecteerde vakjes en mededelingen als "door verder te bladeren stemt u in" geen toestemming vormen.
Wie wie beaufsichtigt
De toezichtskaart is van belang omdat klachten worden doorgestuurd naar de autoriteit waar de verwerkingsverantwoordelijke is gevestigd, niet waar de betrokkene woont.
- Federale autoriteit — BfDI. Beaufsichtigt federale openbare instanties, telecomaanbieders en postoperatoren. Voor een typische commerciële website-exploitant is de BfDI niet uw toezichthouder.
- Deelstatelijke autoriteiten — zestien Landesdatenschutzbeauftragte. Beaufsichtigen privaatrechtelijke verwerkingsverantwoordelijken en deelstatelijke openbare instanties. De meest prominente zijn het Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) voor private verwerkingsverantwoordelijken in Beieren, de Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) en de Berlijnse commissaris (BlnBDI), die een onevenredig groot deel van de tech-zaken ziet, simpelweg omdat zoveel Duitse techbedrijven in Berlijn gevestigd zijn.
Als uw Duitse rechtspersoon in München zit, praat u met de BayLDA. Zit u in Frankfurt, dan praat u met de HBDI. Heeft u geen Duitse vestiging maar richt u uw diensten op de Duitse markt, dan geldt via het one-stop-shop-mechanisme van de GDPR de leidende toezichthouder buiten Duitsland — maar een Duitse gebruiker kan nog steeds lokaal klagen, en de Duitse DPA zal de klacht doorsturen.
Recente handhavingstrends
Drie gebieden zijn zichtbaar geweest in de Duitse handhaving.
Cookie-banner-handhaving
Duitse DPAs hebben richtsnoeren en besluiten gepubliceerd over banners die de weiger-knop verstopten of trackers vooraf laadden. Specifieke besluiten, boetes en zaakdetails zijn gedocumenteerd in de jaarverslagen van de autoriteiten.
Het patroon dat handhaving aantrekt, is precies dat wat onze scanner als pre_consent_tracking markeert: de banner verschijnt, maar het netwerk is al druk.
De risicoscore is een scanner-intern signaal; het is geen juridische beoordeling. De onderliggende netwerkopname — welke verzoeken vóór de toestemmingsbeslissing zijn afgevuurd en wat ze meedroegen — is het artefact dat een toezichthouder of DPO zou onderzoeken.
Werknemersgegevens blijven een aandachtsgebied van de federatie
De BfDI en meerdere deelstatelijke autoriteiten hebben richtsnoeren gepubliceerd over hulpmiddelen voor werknemersmonitoring, tijdsregistratie en het gebruik van generatieve AI op werknemersgegevens. Exploitanten die HR-platforms met wereldwijde leveranciers gebruiken, moeten vragen verwachten over doorgiften en over de rechtsgrond onder BDSG § 26 in plaats van de gewone GDPR Art. 6(1)(f).
Doorgiften naar de Verenigde Staten
Zelfs nadat het EU-US Data Privacy Framework in juli 2023 in werking trad, zijn de Duitse DPAs Amerikaanse doorgiften kritisch blijven beoordelen. Voor doorgiften naar niet-EU-landen zonder adequaatheidsbesluit is een Transfer Impact Assessment op basis van SCCs de maatstaf die Duitse DPA's hanteren sinds Schrems II. Voor doorgiften naar de Verenigde Staten biedt het EU-US Data Privacy Framework adequaatheid specifiek voor onder dit kader gecertificeerde ontvangers; doorgiften naar niet-gecertificeerde Amerikaanse ontvangers steunen nog steeds op SCCs met aanvullende maatregelen. Exploitanten die alleen op SCCs vertrouwen, zonder gedocumenteerde analyse, moeten vragen verwachten.
Operator-checklist
Als u op of naar de Duitse markt opereert, de praktische korte lijst:
- Bevestig of uw drempel voor DPO-aanstelling is overschreden onder BDSG § 38, niet alleen onder GDPR Art. 37.
- Audit uw toestemmingsbanner tegen TDDDG § 25 en de DSK-richtsnoeren: weigeren moet op dezelfde laag liggen als accepteren, geen vooraf geladen trackers, geen nudging.
- Identificeer welke deelstatelijke autoriteit toezicht houdt op uw Duitse rechtspersoon, en lees hun gepubliceerde aandachtsgebieden — die variëren.
- Documenteer uw doorgiftemechanisme voor elke in de VS gevestigde verwerker.
- Voer een scan uit van uw Duitstalige landingspagina's en vergelijk deze met het knowledge-artikel over tracking vóór toestemming.
De Duitse markt is groot, geavanceerd en goed beaufsichtigd. Duitse DPAs publiceren richtsnoeren over cookie-banner-compliance en hebben handhavingsbesluiten uitgevaardigd tegen exploitanten waarvan de banners niet aan die richtsnoeren voldeden. Het patroon dat werkt, is het eenvoudige: niets niet-essentieels laden, duidelijk vragen, het antwoord respecteren.
Laatst bijgewerkt: