Playbook Nemecko: BDSG, TDDDG a čo nemecké úrady na ochranu osobných údajov skutočne vymáhajú
Ako je GDPR dohliadané v Nemecku — federálny BfDI, šestnásť krajinských úradov na ochranu osobných údajov, BDSG a špecifický TDDDG (predtým TTDSG) pre cookies. Na čo dávať pozor, ak pôsobíte na nemeckom trhu alebo doň.
Lukas Kontur · · 5 min čítania
Nemecko je najväčším jednotným trhom v Európskej únii, s približne 84,6 miliónmi obyvateľov, a má najroztrieštenejšiu krajinu vymáhania ochrany osobných údajov zo všetkých členských štátov. Existuje jeden federálny dozorný úrad — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, skrátene BfDI — a šestnásť úradov na krajinskej úrovni, jeden na každú Bundesland. S krajinskými úradmi sa väčšina prevádzkovateľov stretáva ako s prvými, pretože väčšina prevádzkovateľov zo súkromného sektora spadá pod krajinský dozor, nie federálny.
Tento playbook je pracovný pohľad prevádzkovateľa na to, čo to v praxi znamená: s ktorým úradom hovoríte, aké zákony sa uplatňujú nad rámec GDPR a čo nemecké DPAs skutočne vymáhajú.
Právny stack
Tri legislatívne prvky majú význam, v tomto poradí špecifickosti.
1. GDPR
General Data Protection Regulation Európskej únie sa v Nemecku uplatňuje priamo, ako v každom členskom štáte. Hmotné pravidlá o právnom základe, právach dotknutých osôb a zodpovednosti pochádzajú odtiaľto.
2. Bundesdatenschutzgesetz (BDSG)
BDSG je nemecký federálny zákon o ochrane osobných údajov. Implementuje otváracie klauzuly GDPR — miesta, kde nariadenie výslovne pozýva členské štáty k legislatívnej činnosti — a dopĺňa pravidlá o údajoch zamestnancov, kamerovom dohľade a úlohe Datenschutzbeauftragter. Dva praktické dôsledky pre prevádzkovateľov:
- Povinné menovanie DPO je širšie než podľa GDPR Art. 37. Podľa BDSG § 38 musí každý prevádzkovateľ v Nemecku s aspoň 20 zamestnancami pravidelne spracúvajúcimi osobné údaje pomocou automatizovaných prostriedkov menovať Datenschutzbeauftragter. Tento prah je špecifický pre Nemecko a zachytáva mnoho malých a stredných podnikov, ktoré by v Španielsku alebo Taliansku DPO nepotrebovali.
- Údaje zamestnancov sa riadia BDSG § 26, ktorý stanovuje špecifické požiadavky na spracovanie osobných údajov v kontexte zamestnania.
3. TDDDG (predtým TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, skrátene TDDDG, je nemecká implementácia ePrivacy Directive Art. 5(3) — zákona o cookies. Bol premenovaný z TTDSG v roku 2024, aby odrážal jeho rozšírený rozsah na digitálne služby širšie.
Pre prevádzkovateľov webov je operatívnym ustanovením TDDDG § 25, ktorý vyžaduje opt-in súhlas pred akýmkoľvek uložením informácií v koncovom zariadení používateľa alebo prístupom k nim, s výnimkou prípadov, keď je to nevyhnutne potrebné. Toto je pravidlo, podľa ktorého sa v Nemecku hodnotia cookie banners.
Nemecké DPAs v spoločnom usmernení Datenschutzkonferenz (DSK), najviditeľnejšie vo vyhlásení DSK z 11. júla 2023 o telemediálnych službách, zaujali stanovisko, že:
- "Nevyhnutne potrebné" je vykladané úzko — cookies košíka, tokeny relácie a CSRF cookies sa kvalifikujú; analytika, dokonca ani vlastná analytika, vo všeobecnosti nie.
- Tlačidlo odmietnutia musí byť na rovnakej vrstve banneru ako tlačidlo prijatia.
- Vopred zaškrtnuté polia a oznámenia typu "pokračovaním v prehliadaní vyjadrujete súhlas" nepredstavujú súhlas.
Kto koho dohliada
Mapa dozoru má význam, pretože sťažnosti sa smerujú k úradu, kde je prevádzkovateľ usadený, nie kde žije dotknutá osoba.
- Federálny úrad — BfDI. Dohliada federálne verejné orgány, poskytovateľov telekomunikačných služieb a poštových operátorov. Pre typického prevádzkovateľa komerčného webu BfDI nie je vaším dozorom.
- Krajinské úrady — šestnásť Landesdatenschutzbeauftragte. Dohliadajú prevádzkovateľov zo súkromného sektora a verejné orgány na krajinskej úrovni. Najvýznamnejšie sú Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) pre súkromných prevádzkovateľov v Bavorsku, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) a berlínsky komisár (BlnBDI), ktorý vidí neúmerný podiel prípadov z technologického sektora jednoducho preto, že toľko nemeckých technologických firiem má sídlo v Berlíne.
Ak je vaša nemecká právnická osoba v Mníchove, hovoríte s BayLDA. Ak je vo Frankfurte, hovoríte s HBDI. Ak nemáte nemeckú pobočku, ale smerujete služby na nemecký trh, vedúci dozorný úrad mimo Nemecka sa uplatňuje prostredníctvom mechanizmu "one-stop-shop" GDPR — ale nemecký používateľ môže stále podať sťažnosť lokálne a nemecký DPA sťažnosť presmeruje.
Najnovšie trendy vo vymáhaní
Tri oblasti boli v nemeckom vymáhaní viditeľné.
Vymáhanie banneru cookies
Nemecké DPAs publikovali usmernenia a rozhodnutia o banneroch, ktoré pochovávali tlačidlo odmietnutia alebo vopred načítavali trackery. Konkrétne príkazy, pokuty a podrobnosti prípadov sú zdokumentované vo výročných správach úradov.
Vzor, ktorý priťahuje vymáhanie, je ten, ktorý náš skener označuje ako pre_consent_tracking: banner sa objaví, ale sieť je už zaneprázdnená.
Skóre rizika je interný signál skenera; nie je to právne rozhodnutie. Podkladový sieťový záznam — ktoré požiadavky boli odoslané pred rozhodnutím o súhlase a čo niesli — je artefakt, ktorý by skúmal regulátor alebo DPO.
Údaje zamestnancov zostávajú oblasťou federálnej pozornosti
BfDI a niekoľko krajinských úradov publikovali usmernenia o nástrojoch na monitorovanie zamestnancov, sledovanie času a využití generatívnej AI na údajoch zamestnancov. Prevádzkovatelia využívajúci HR platformy s globálnymi dodávateľmi by mali očakávať otázky o prenosoch a o právnom základe podľa BDSG § 26, nie bežného GDPR Art. 6(1)(f).
Prenosy do Spojených štátov
Aj po vstupe EU-US Data Privacy Framework do platnosti v júli 2023 nemecké DPAs naďalej skúmali prenosy do USA. Pri prenosoch do krajín mimo EÚ bez rozhodnutia o adekvátnosti je posúdenie vplyvu prenosu podľa SCCs hranicou, ktorú nemecké DPA uplatňujú od Schrems II. Pri prenosoch do Spojených štátov EU-US Data Privacy Framework poskytuje adekvátnosť konkrétne pre príjemcov certifikovaných v jeho rámci; prenosy k necertifikovaným americkým príjemcom stále jazdia na SCCs s doplnkovými opatreniami. Prevádzkovatelia spoliehajúci sa výhradne na SCCs, bez zdokumentovanej analýzy, by mali očakávať otázky.
Kontrolný zoznam prevádzkovateľa
Ak pôsobíte na nemeckom trhu alebo doň, praktický krátky zoznam:
- Potvrďte, či bol váš prah menovania DPO prekročený podľa BDSG § 38, nie iba GDPR Art. 37.
- Zauditujte svoj banner súhlasu voči TDDDG § 25 a usmerneniam DSK: odmietnutie musí byť na rovnakej vrstve ako prijatie, žiadne vopred načítané trackery, žiadne navádzanie.
- Identifikujte, ktorý krajinský úrad dohliada vašu nemeckú právnickú osobu, a prečítajte si jeho zverejnené oblasti záujmu — líšia sa.
- Zdokumentujte svoj mechanizmus prenosu pre každého spracovateľa so sídlom v USA.
- Spustite sken svojich nemecky hovoriacich vstupných stránok a porovnajte s článkom znalostí o sledovaní pred súhlasom.
Nemecký trh je veľký, sofistikovaný a dobre dohliadaný. Nemecké DPAs publikujú usmernenia ku zhode banneru cookies a vydali vymáhacie príkazy proti prevádzkovateľom, ktorých bannery tieto usmernenia nespĺňali. Vzor, ktorý funguje, je jednoduchý: nenačítavajte nič nepodstatné, pýtajte sa jasne, rešpektujte odpoveď.
Naposledy aktualizované: