Playbook Niemcy: BDSG, TDDDG i co niemieckie organy ochrony danych faktycznie egzekwują
Jak nadzorowane jest RODO w Niemczech — federalny BfDI, szesnaście krajowych organów ochrony danych, BDSG i specyficzne dla plików cookie TDDDG (dawniej TTDSG). Na co zwrócić uwagę, jeśli działasz na rynku niemieckim lub do niego.
Lukas Kontur · · 5 min czytania
Niemcy są największym jednolitym rynkiem w Unii Europejskiej, z około 84,6 milionami mieszkańców, i mają najbardziej rozdrobniony krajobraz egzekwowania ochrony danych spośród wszystkich państw członkowskich. Istnieje jeden federalny organ nadzorczy — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, w skrócie BfDI — i szesnaście organów na poziomie krajów związkowych, po jednym na każde Bundesland. To z organami krajowymi większość operatorów ma do czynienia w pierwszej kolejności, ponieważ większość administratorów z sektora prywatnego podlega nadzorowi krajowemu, a nie federalnemu.
Ten playbook to operacyjne spojrzenie na to, co to oznacza w praktyce: z którym organem rozmawiasz, jakie prawa mają zastosowanie nad GDPR i co niemieckie DPAs faktycznie egzekwują.
Stos prawny
Trzy elementy ustawodawstwa mają znaczenie, w tej kolejności konkretności.
1. GDPR
General Data Protection Regulation Unii Europejskiej stosuje się bezpośrednio w Niemczech, jak w każdym państwie członkowskim. Zasady merytoryczne dotyczące podstawy prawnej, praw osób, których dane dotyczą, i rozliczalności pochodzą stąd.
2. Bundesdatenschutzgesetz (BDSG)
BDSG to niemiecka federalna ustawa o ochronie danych. Implementuje klauzule otwierające GDPR — miejsca, w których rozporządzenie wyraźnie zaprasza państwa członkowskie do uchwalania prawa — i dodaje zasady dotyczące danych pracowniczych, monitoringu wideo i roli Datenschutzbeauftragter. Dwie praktyczne konsekwencje dla operatorów:
- Obowiązkowe powołania DPO są szersze niż w GDPR Art. 37. Zgodnie z BDSG § 38, każdy administrator w Niemczech zatrudniający co najmniej 20 pracowników, którzy regularnie przetwarzają dane osobowe za pomocą środków zautomatyzowanych, musi powołać Datenschutzbeauftragter. Ten próg jest specyficzny dla Niemiec i obejmuje wiele MŚP, które nie potrzebowałyby DPO w Hiszpanii czy we Włoszech.
- Dane pracownicze podlegają BDSG § 26, który określa szczegółowe wymagania dotyczące przetwarzania danych osobowych w kontekście zatrudnienia.
3. TDDDG (dawniej TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, w skrócie TDDDG, to niemiecka implementacja ePrivacy Directive Art. 5(3) — prawa o plikach cookie. Została przemianowana z TTDSG w 2024 roku, aby odzwierciedlić rozszerzony zakres na usługi cyfrowe szerzej.
Dla operatorów witryn operacyjnym przepisem jest TDDDG § 25, który wymaga zgody opt-in przed jakimkolwiek przechowywaniem informacji w urządzeniu końcowym użytkownika lub uzyskiwaniem do nich dostępu, z wyjątkiem przypadków ściśle niezbędnych. To jest przepis, według którego oceniane są cookie banners w Niemczech.
Niemieckie DPAs we wspólnych wytycznych Datenschutzkonferenz (DSK), najgłośniej w oświadczeniu DSK z 11 lipca 2023 roku w sprawie usług telemedialnych, zajęły stanowisko, że:
- "Ściśle niezbędne" jest interpretowane wąsko — pliki cookie koszyka, tokeny sesji i pliki cookie CSRF kwalifikują się; analityka, nawet analityka własna, na ogół nie.
- Przycisk odrzucenia musi być na tej samej warstwie banera co przycisk akceptacji.
- Wcześniej zaznaczone pola i komunikaty "kontynuując przeglądanie, wyrażasz zgodę" nie stanowią zgody.
Kto kogo nadzoruje
Mapa nadzoru ma znaczenie, ponieważ skargi są kierowane do organu, w którym administrator jest ustanowiony, a nie do tego, w którym mieszka osoba, której dane dotyczą.
- Organ federalny — BfDI. Nadzoruje federalne organy publiczne, dostawców telekomunikacyjnych i operatorów usług pocztowych. Dla typowego operatora komercyjnej witryny BfDI nie jest Twoim organem nadzorczym.
- Organy krajowe — szesnaście Landesdatenschutzbeauftragte. Nadzorują administratorów z sektora prywatnego i organy publiczne na poziomie krajowym. Najgłośniejsze to Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) dla prywatnych administratorów w Bawarii, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) i komisarz Berlina (BlnBDI), który widzi nieproporcjonalną część spraw z sektora technologicznego po prostu dlatego, że tak wiele niemieckich firm technologicznych ma siedzibę w Berlinie.
Jeśli Twoja niemiecka osoba prawna jest w Monachium, rozmawiasz z BayLDA. Jeśli jest we Frankfurcie, rozmawiasz z HBDI. Jeśli nie masz niemieckiego ustanowienia, ale kierujesz usługi na rynek niemiecki, wiodący organ nadzorczy poza Niemcami stosuje się przez mechanizm "one-stop-shop" GDPR — ale niemiecki użytkownik nadal może złożyć skargę lokalnie, a niemiecki DPA tę skargę przekieruje.
Najnowsze trendy w egzekwowaniu
Trzy obszary były widoczne w niemieckim egzekwowaniu.
Egzekwowanie banerów cookie
Niemieckie DPAs opublikowały wytyczne i decyzje dotyczące banerów, które ukrywały przycisk odrzucenia lub wstępnie ładowały trackery. Konkretne nakazy, kary i szczegóły spraw są udokumentowane w rocznych raportach organów.
Wzorzec, który przyciąga egzekwowanie, to ten, który nasz skaner oznacza jako pre_consent_tracking: baner się pojawia, ale sieć już pracuje.
Wynik ryzyka to wewnętrzny sygnał skanera; nie jest determinacją prawną. Bazowy zrzut sieciowy — które żądania zostały wysłane przed decyzją o zgodzie i co zawierały — to artefakt, który zbadałby organ regulacyjny lub DPO.
Dane pracownicze pozostają obszarem federalnej uwagi
BfDI i kilka organów krajowych opublikowało wytyczne dotyczące narzędzi monitorowania pracowników, śledzenia czasu i wykorzystania generatywnej AI w danych pracowniczych. Operatorzy korzystający z platform HR z globalnymi dostawcami powinni spodziewać się pytań o transfery i o podstawę prawną w ramach BDSG § 26, a nie zwykłego GDPR Art. 6(1)(f).
Transfery do Stanów Zjednoczonych
Nawet po wejściu w życie EU-US Data Privacy Framework w lipcu 2023 roku, niemieckie DPAs kontynuowały badanie transferów do USA. W przypadku transferów do krajów spoza UE bez decyzji o adekwatności, ocena skutków transferu w ramach SCCs jest progiem, który stosują niemieckie DPA od czasu Schrems II. W przypadku transferów do Stanów Zjednoczonych EU-US Data Privacy Framework zapewnia adekwatność konkretnie dla odbiorców certyfikowanych w jego ramach; transfery do niecertyfikowanych odbiorców w USA nadal opierają się na SCCs z dodatkowymi środkami. Operatorzy polegający wyłącznie na SCCs, bez udokumentowanej analizy, powinni spodziewać się pytań.
Lista kontrolna operatora
Jeśli działasz na rynku niemieckim lub do niego, praktyczna krótka lista:
- Potwierdź, czy Twój próg powołania DPO został przekroczony zgodnie z BDSG § 38, a nie tylko GDPR Art. 37.
- Audytuj swój baner zgody względem TDDDG § 25 i wytycznych DSK: odrzucenie musi być na tej samej warstwie co akceptacja, brak wstępnie załadowanych trackerów, brak nakłaniania.
- Zidentyfikuj, który organ krajowy nadzoruje Twoją niemiecką osobę prawną, i przeczytaj jego opublikowane obszary zainteresowania — różnią się.
- Udokumentuj swój mechanizm transferu dla każdego procesora z siedzibą w USA.
- Uruchom skan swoich niemieckojęzycznych stron docelowych i porównaj z artykułem wiedzy o śledzeniu przed zgodą.
Niemiecki rynek jest duży, wyrafinowany i dobrze nadzorowany. Niemieckie DPAs publikują wytyczne dotyczące zgodności banerów cookie i wydały nakazy egzekucyjne wobec operatorów, których banery nie spełniały tych wytycznych. Wzorzec, który działa, jest prosty: nie ładuj niczego niepodstawowego, pytaj jasno, szanuj odpowiedź.
Ostatnia aktualizacja: