Playbook Alemanha: BDSG, TDDDG e o que as DPAs alemãs efetivamente aplicam
Como o RGPD é supervisionado na Alemanha — a BfDI federal, dezasseis autoridades de proteção de dados de nível estadual, a BDSG e a TDDDG específica para cookies (anteriormente TTDSG). A que estar atento se opera no ou para o mercado alemão.
Lukas Kontur · · 6 min de leitura
A Alemanha é o maior mercado individual da União Europeia, com cerca de 84,6 milhões de residentes, e tem a paisagem de aplicação da proteção de dados mais fragmentada de qualquer Estado-Membro. Existe uma autoridade de supervisão federal — a Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abreviada BfDI — e dezasseis autoridades de nível estadual, uma por Bundesland. As autoridades estaduais são as que a maioria dos operadores encontra primeiro, porque a maior parte dos responsáveis pelo tratamento do setor privado está sob a supervisão estadual e não federal.
Este playbook é a perspetiva operativa de um profissional sobre o que isto significa na prática: com que autoridade fala, que leis se aplicam para além do GDPR e o que as DPAs alemãs têm efetivamente aplicado.
A pilha jurídica
Três peças legislativas relevam, por esta ordem de especificidade.
1. GDPR
O General Data Protection Regulation da União Europeia aplica-se diretamente na Alemanha, como em todos os Estados-Membros. As regras substantivas sobre fundamento jurídico, direitos dos titulares e responsabilização provêm daqui.
2. Bundesdatenschutzgesetz (BDSG)
A BDSG é a lei federal alemã de proteção de dados. Implementa as cláusulas de abertura do GDPR — os pontos em que o regulamento convida explicitamente os Estados-Membros a legislar — e adiciona regras sobre dados de trabalhadores, videovigilância e o papel do Datenschutzbeauftragter. Duas consequências práticas para os operadores:
- As nomeações obrigatórias de DPO são mais amplas do que sob o GDPR Art. 37. Nos termos do BDSG § 38, qualquer responsável pelo tratamento na Alemanha com pelo menos 20 trabalhadores que tratem regularmente dados pessoais por meios automatizados deve nomear um Datenschutzbeauftragter. Este limiar é específico da Alemanha e abrange muitas PME que não precisariam de um DPO em Espanha ou em Itália.
- Os dados dos trabalhadores regem-se pelo BDSG § 26, que estabelece requisitos específicos para o tratamento de dados pessoais no contexto laboral.
3. TDDDG (anteriormente TTDSG)
A Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, abreviada TDDDG, é a implementação alemã do ePrivacy Directive Art. 5(3) — a lei dos cookies. Foi renomeada de TTDSG em 2024 para refletir o seu âmbito alargado a serviços digitais em sentido mais amplo.
Para os operadores de sítios web, a disposição operativa é o TDDDG § 25, que exige consentimento opt-in antes de qualquer armazenamento ou acesso a informação no equipamento terminal de um utilizador, salvo quando estritamente necessário. É a regra ao abrigo da qual os cookie banners são avaliados na Alemanha.
As DPAs alemãs, em orientação conjunta da Datenschutzkonferenz (DSK), nomeadamente na declaração da DSK de 11 de julho de 2023 sobre serviços de telemédia, assumiram a posição de que:
- "Estritamente necessário" é interpretado de forma estrita — cookies de carrinho, tokens de sessão e cookies CSRF qualificam-se; analytics, mesmo first-party analytics, em regra não.
- Um botão de recusa deve estar na mesma camada do banner que o botão de aceitação.
- Caixas pré-marcadas e avisos como "ao continuar a navegar, consente" não constituem consentimento.
Quem supervisiona quem
O mapa de supervisão é importante porque as queixas são encaminhadas para a autoridade onde o responsável pelo tratamento está estabelecido, não onde o titular reside.
- Autoridade federal — BfDI. Supervisiona organismos públicos federais, prestadores de telecomunicações e operadores de serviços postais. Para um operador de sítio web comercial típico, a BfDI não é o seu supervisor.
- Autoridades estaduais — dezasseis Landesdatenschutzbeauftragte. Supervisionam responsáveis pelo tratamento do setor privado e organismos públicos de nível estadual. Os mais proeminentes são o Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) para responsáveis privados na Baviera, o Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) e o comissário de Berlim (BlnBDI), que vê uma quota desproporcionada de casos do setor tecnológico simplesmente porque tantas empresas tecnológicas alemãs têm sede em Berlim.
Se a sua entidade jurídica alemã está em Munique, fala com a BayLDA. Se está em Frankfurt, fala com a HBDI. Se não tem estabelecimento alemão mas dirige serviços para o mercado alemão, aplica-se a autoridade de supervisão principal fora da Alemanha através do mecanismo de balcão único do GDPR — mas um utilizador alemão pode ainda assim apresentar queixa localmente, e a DPA alemã encaminhará a queixa.
Tendências recentes de aplicação
Três áreas têm sido visíveis na aplicação alemã.
Aplicação a banners de cookies
As DPAs alemãs publicaram orientações e decisões sobre banners que escondiam o botão de recusa ou pré-carregavam trackers. Ordens, coimas e detalhes de casos específicos estão documentados nos relatórios anuais das autoridades.
O padrão que atrai aplicação é exatamente aquele que o nosso scanner sinaliza como pre_consent_tracking: o banner aparece, mas a rede já está ocupada.
A pontuação de risco é um sinal interno do scanner; não é uma determinação jurídica. A captura de rede subjacente — que pedidos foram disparados antes da decisão de consentimento e o que transportavam — é o artefacto que uma autoridade reguladora ou um DPO examinariam.
Os dados dos trabalhadores continuam a ser uma área de atenção federal
A BfDI e várias autoridades estaduais publicaram orientações sobre ferramentas de monitorização de trabalhadores, registo de tempo e o uso de IA generativa em dados de trabalhadores. Operadores que usem plataformas de RH com fornecedores globais devem esperar perguntas sobre transferências e sobre o fundamento jurídico ao abrigo do BDSG § 26, em vez do habitual GDPR Art. 6(1)(f).
Transferências para os Estados Unidos
Mesmo após a entrada em vigor do EU-US Data Privacy Framework em julho de 2023, as DPAs alemãs continuaram a escrutinar as transferências para os EUA. Para transferências para países fora da UE sem decisão de adequação, uma Avaliação de Impacto de Transferência ao abrigo das SCCs é o padrão que as DPAs alemãs aplicam desde Schrems II. Para transferências para os Estados Unidos, o EU-US Data Privacy Framework proporciona adequação especificamente para destinatários certificados ao seu abrigo; as transferências para destinatários norte-americanos não certificados continuam a apoiar-se em SCCs com medidas suplementares. Os operadores que se baseiam apenas em SCCs, sem análise documentada, devem esperar perguntas.
Lista de verificação do operador
Se opera no ou para o mercado alemão, a lista curta prática:
- Confirme se o limiar de nomeação do seu DPO foi ultrapassado nos termos do BDSG § 38, e não apenas do GDPR Art. 37.
- Audite o seu banner de consentimento à luz do TDDDG § 25 e da orientação da DSK: recusar tem de estar na mesma camada que aceitar, sem trackers pré-carregados, sem nudging.
- Identifique qual a autoridade estadual que supervisiona a sua entidade jurídica alemã e leia as áreas de foco que publica — variam.
- Documente o seu mecanismo de transferência para qualquer subcontratante baseado nos EUA.
- Execute um scan das suas páginas de aterragem em alemão e compare com o artigo de conhecimento sobre tracking antes do consentimento.
O mercado alemão é grande, sofisticado e bem supervisionado. As DPAs alemãs publicam orientações sobre conformidade de banners de cookies e emitiram ordens de aplicação contra operadores cujos banners não cumpriam essas orientações. O padrão que funciona é o simples: não carregar nada não essencial, perguntar com clareza, respeitar a resposta.
Última atualização: