Playbook Germania: BDSG, TDDDG și ce aplică efectiv autoritățile germane
Cum este supravegheat RGPD în Germania — autoritatea federală BfDI, șaisprezece autorități statale de protecție a datelor, BDSG-ul și TDDDG-ul specific cookie-urilor (fostul TTDSG). La ce să fiți atent dacă operați pe sau către piața germană.
Lukas Kontur · · 6 min de citit
Germania este cea mai mare piață unică din Uniunea Europeană, cu aproximativ 84,6 milioane de locuitori, și are cel mai fragmentat peisaj de aplicare a protecției datelor dintre toate statele membre. Există o singură autoritate federală de supraveghere — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, prescurtată BfDI — și șaisprezece autorități la nivel de land, câte una per Bundesland. Autoritățile statale sunt cele cu care majoritatea operatorilor au de-a face mai întâi, deoarece majoritatea operatorilor din sectorul privat se află sub supraveghere statală, nu federală.
Acest playbook este perspectiva operațională a unui practician asupra a ceea ce înseamnă acest lucru concret: cu ce autoritate vorbiți, ce legi se aplică pe lângă GDPR și ce au aplicat efectiv DPAs germane.
Stiva juridică
Trei piese legislative contează, în această ordine a specificității.
1. GDPR
General Data Protection Regulation al Uniunii Europene se aplică direct în Germania, ca în orice stat membru. Regulile substanțiale privind temeiul legal, drepturile persoanei vizate și răspunderea provin de aici.
2. Bundesdatenschutzgesetz (BDSG)
BDSG este legea federală germană privind protecția datelor. Implementează clauzele de deschidere ale GDPR — locurile în care regulamentul invită explicit statele membre să legifereze — și adaugă reguli privind datele angajaților, supravegherea video și rolul Datenschutzbeauftragter. Două consecințe practice pentru operatori:
- Numirea obligatorie a unui DPO este mai amplă decât conform GDPR Art. 37. Conform BDSG § 38, orice operator din Germania cu cel puțin 20 de angajați care prelucrează în mod regulat date cu caracter personal cu mijloace automate trebuie să numească un Datenschutzbeauftragter. Acest prag este specific Germaniei și prinde multe IMM-uri care nu ar avea nevoie de un DPO în Spania sau Italia.
- Datele angajaților sunt guvernate de BDSG § 26, care stabilește cerințe specifice pentru prelucrarea datelor cu caracter personal în context de muncă.
3. TDDDG (fost TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, prescurtat TDDDG, este implementarea germană a ePrivacy Directive Art. 5(3) — legea cookie-urilor. A fost redenumit din TTDSG în 2024 pentru a reflecta extinderea sferei sale către serviciile digitale în general.
Pentru operatorii de site-uri, dispoziția operativă este TDDDG § 25, care impune un consimțământ opt-in înainte de orice stocare pe sau accesare a informațiilor de pe echipamentul terminal al utilizatorului, cu excepția cazurilor în care este strict necesar. Aceasta este regula după care sunt evaluate cookie banners în Germania.
DPAs germane au adoptat, prin orientări comune ale Datenschutzkonferenz (DSK), cel mai vizibil în declarația DSK din 11 iulie 2023 privind serviciile de telemedia, următoarea poziție:
- „Strict necesar" se interpretează restrictiv — cookie-urile pentru coș, tokenurile de sesiune și cookie-urile CSRF se califică; analytics, chiar și analytics first-party, în general nu.
- Un buton de respingere trebuie să fie pe același nivel al bannerului ca butonul de acceptare.
- Casetele bifate în prealabil și mesajele de tipul „prin continuarea navigării, vă dați consimțământul" nu constituie consimțământ.
Cine pe cine supraveghează
Harta supravegherii contează deoarece plângerile sunt direcționate către autoritatea de la sediul operatorului, nu de la reședința persoanei vizate.
- Autoritatea federală — BfDI. Supraveghează organele publice federale, furnizorii de telecomunicații și operatorii de servicii poștale. Pentru un operator comercial tipic de site-uri, BfDI nu este autoritatea dumneavoastră de supraveghere.
- Autoritățile statale — șaisprezece Landesdatenschutzbeauftragte. Supraveghează operatorii din sectorul privat și organele publice de la nivel de land. Cele mai cunoscute sunt Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) pentru operatori privați din Bavaria, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) și comisarul Berlinului (BlnBDI), care vede o pondere disproporționată din cazurile sectorului tech, pur și simplu pentru că atât de multe companii germane de tehnologie au sediul în Berlin.
Dacă entitatea dumneavoastră juridică germană este în München, vorbiți cu BayLDA. Dacă este în Frankfurt, vorbiți cu HBDI. Dacă nu aveți un sediu în Germania, dar direcționați servicii către piața germană, autoritatea principală de supraveghere din afara Germaniei se aplică prin mecanismul ghișeului unic al GDPR — dar un utilizator german se poate plânge totuși local, iar DPA-ul german va direcționa plângerea.
Tendințe recente de aplicare
Trei domenii au fost vizibile în aplicarea germană.
Aplicarea privind bannerele de cookie-uri
DPAs germane au publicat orientări și decizii privind bannerele care îngropau butonul de respingere sau pre-încărcau trackere. Ordinele specifice, amenzile și detaliile cazurilor sunt documentate în rapoartele anuale ale autorităților.
Tiparul care atrage aplicare este cel pe care scannerul nostru îl semnalează ca pre_consent_tracking: bannerul apare, dar rețeaua este deja activă.
Scorul de risc este un semnal intern al scannerului; nu este o determinare juridică. Captura de rețea de bază — ce cereri s-au declanșat înainte de decizia de consimțământ și ce transportau — este artefactul pe care l-ar examina o autoritate sau un DPO.
Datele angajaților rămân un domeniu de atenție federală
BfDI și mai multe autorități statale au publicat orientări privind instrumentele de monitorizare a angajaților, înregistrarea timpului de lucru și utilizarea AI generativă pe datele angajaților. Operatorii care utilizează platforme HR cu furnizori globali ar trebui să se aștepte la întrebări despre transferuri și despre temeiul legal conform BDSG § 26, mai degrabă decât conform obișnuitului GDPR Art. 6(1)(f).
Transferurile către Statele Unite
Chiar și după intrarea în vigoare a EU-US Data Privacy Framework în iulie 2023, DPAs germane au continuat să examineze critic transferurile către SUA. Pentru transferuri către țări non-UE fără o decizie de adecvare, un Transfer Impact Assessment în baza SCCs este standardul aplicat de DPAs germane de la Schrems II. Pentru transferuri către Statele Unite, EU-US Data Privacy Framework oferă adecvare specific pentru destinatarii certificați conform acestuia; transferurile către destinatari americani necertificați se bazează în continuare pe SCCs cu măsuri suplimentare. Operatorii care se bazează exclusiv pe SCCs, fără o analiză documentată, ar trebui să se aștepte la întrebări.
Lista de verificare a operatorului
Dacă operați pe sau către piața germană, lista practică pe scurt:
- Confirmați dacă pragul de numire a DPO a fost depășit conform BDSG § 38, nu doar conform GDPR Art. 37.
- Auditați bannerul de consimțământ în raport cu TDDDG § 25 și orientările DSK: respingerea trebuie să fie pe același nivel ca acceptarea, fără trackere pre-încărcate, fără nudging.
- Identificați ce autoritate statală supraveghează entitatea dumneavoastră juridică germană și citiți domeniile sale prioritare publicate — variază.
- Documentați mecanismul de transfer pentru orice procesator stabilit în SUA.
- Rulați o scanare a paginilor dumneavoastră de destinație în limba germană și comparați-o cu articolul de cunoștințe despre trackingul înainte de consimțământ.
Piața germană este mare, sofisticată și bine supravegheată. DPAs germane publică orientări privind conformitatea bannerelor de cookie-uri și au emis ordine de aplicare împotriva operatorilor ale căror bannere nu au respectat aceste orientări. Tiparul care funcționează este cel simplu: nu încărcați nimic neesențial, întrebați clar, respectați răspunsul.
Ultima actualizare: