Priročnik za Nemčijo: BDSG, TDDDG in kaj nemški DPA dejansko izvršujejo
Kako se GDPR nadzira v Nemčiji — zvezni BfDI, šestnajst deželnih organov za varstvo podatkov, BDSG in zakon TDDDG (prej TTDSG), ki ureja piškotke. Na kaj biti pozoren, če delujete v ali na nemški trg.
Lukas Kontur · · 5 min branja
Nemčija je največji posamezni trg v Evropski uniji s približno 84,6 milijona prebivalcev in ima najbolj razdrobljeno krajino izvrševanja varstva podatkov med vsemi državami članicami. Obstaja en zvezni nadzorni organ — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, okrajšano BfDI — in šestnajst deželnih organov, eden na Bundesland. Deželni organi so tisti, s katerimi se večina upravljavcev sreča prva, saj večina zasebnih upravljavcev spada pod deželni in ne zvezni nadzor.
Ta priročnik je delovni operativni pogled na to, kaj to pomeni v praksi: s katerim organom se pogovarjate, kateri zakoni veljajo poleg GDPR in kaj nemški DPAs dejansko izvršujejo.
Pravni sklad
Pomembni so trije deli zakonodaje, in sicer po naslednji specifičnosti.
1. GDPR
General Data Protection Regulation Evropske unije se v Nemčiji uporablja neposredno kot v vsaki državi članici. Vsebinska pravila o pravni podlagi, pravicah posameznikov in odgovornosti izhajajo od tu.
2. Bundesdatenschutzgesetz (BDSG)
BDSG je nemški zvezni zakon o varstvu podatkov. Implementira odpiralne klavzule GDPR — mesta, kjer uredba izrecno povabi države članice k zakonodajnemu urejanju — in dodaja pravila o podatkih zaposlenih, video nadzoru ter vlogi Datenschutzbeauftragter. Dve praktični posledici za upravljavce:
- Obvezna imenovanja DPO so širša kot pri GDPR Art. 37. V skladu z BDSG § 38 mora vsak upravljavec v Nemčiji z najmanj 20 zaposlenimi, ki redno obdelujejo osebne podatke z avtomatiziranimi sredstvi, imenovati Datenschutzbeauftragter. Ta prag je nemško specifičen in zajame mnoge MSP, ki ne bi potrebovali DPO v Španiji ali Italiji.
- Podatke zaposlenih ureja BDSG § 26, ki določa specifične zahteve za obdelavo osebnih podatkov v zaposlitvenem kontekstu.
3. TDDDG (prej TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, okrajšano TDDDG, je nemška implementacija ePrivacy Directive Art. 5(3) — zakona o piškotkih. Leta 2024 je bil preimenovan iz TTDSG, da odraža razširjeno področje uporabe na digitalne storitve širše.
Za upravljavce spletnih mest je operativna določba TDDDG § 25, ki zahteva opt-in privolitev pred kakršnim koli shranjevanjem na ali dostopom do informacij na uporabnikovi terminalski opremi, razen kadar je to nujno potrebno. To je pravilo, po katerem se v Nemčiji ocenjujejo cookie banners.
Nemški DPAs so v skupni smernici Datenschutzkonferenz (DSK), najbolj prominentno v izjavi DSK z dne 11. julija 2023 o telemedijskih storitvah, zavzeli stališče, da:
- "Nujno potrebno" se razlaga ozko — piškotki za košarico, žetoni seje in piškotki CSRF se kvalificirajo; analitika, tudi lastna analitika, na splošno ne.
- Gumb za zavrnitev mora biti na isti plasti pasice kot gumb za sprejem.
- Vnaprej označena polja in obvestila "z nadaljnjim brskanjem soglašate" ne predstavljajo privolitve.
Kdo nadzoruje koga
Karta nadzora je pomembna, ker se pritožbe usmerjajo k organu, kjer ima upravljavec sedež, ne pa kjer prebiva posameznik.
- Zvezni organ — BfDI. Nadzoruje zvezne javne organe, ponudnike telekomunikacij in poštne operaterje. Za tipičnega komercialnega operaterja spletnega mesta BfDI ni vaš nadzornik.
- Deželni organi — šestnajst Landesdatenschutzbeauftragte. Nadzorujejo upravljavce iz zasebnega sektorja in deželne javne organe. Najbolj prominentni so Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) za zasebne upravljavce na Bavarskem, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) in berlinski pooblaščenec (BlnBDI), ki prejema nesorazmerno velik delež primerov tehnološkega sektorja preprosto zato, ker ima toliko nemških tehnoloških podjetij sedež v Berlinu.
Če je vaš nemški pravni subjekt v Münchnu, se pogovarjate z BayLDA. Če je v Frankfurtu, se pogovarjate s HBDI. Če nimate nemškega sedeža, vendar usmerjate storitve na nemški trg, velja vodilni nadzorni organ zunaj Nemčije prek mehanizma "vse na enem mestu" iz GDPR — toda nemški uporabnik se lahko še vedno pritoži lokalno in nemški DPA bo pritožbo usmeril.
Nedavni trendi izvrševanja
V nemškem izvrševanju so bila vidna tri področja.
Izvrševanje glede pasic za piškotke
Nemški DPAs so objavili smernice in odločitve glede pasic, ki so skrivale gumb za zavrnitev ali predhodno nalagale sledilce. Specifični nalogi, globe in podrobnosti primerov so dokumentirani v letnih poročilih organov.
Vzorec, ki pritegne izvrševanje, je tisti, ki ga naš skener označi kot pre_consent_tracking: pasica se prikaže, omrežje pa je že zaposleno.
Ocena tveganja je signal znotraj skenerja; ni pravna ugotovitev. Temeljni omrežni zajem — katere zahteve so se sprožile pred odločitvijo o privolitvi in kaj so nosile — je artefakt, ki bi ga preučil regulator ali DPO.
Podatki zaposlenih ostajajo področje zveznega zanimanja
BfDI in več deželnih organov so objavili smernice o orodjih za nadzor zaposlenih, beleženju delovnega časa in uporabi generativne UI na podatkih zaposlenih. Upravljavci, ki uporabljajo HR platforme z globalnimi ponudniki, lahko pričakujejo vprašanja o prenosih in pravni podlagi po BDSG § 26 in ne navadnem GDPR Art. 6(1)(f).
Prenosi v Združene države
Tudi po tem, ko je julija 2023 stopil v veljavo EU-US Data Privacy Framework, so nemški DPAs še naprej preučevali ameriške prenose. Za prenose v države izven EU brez sklepa o ustreznosti je ocena učinka prenosa po SCCs meja, ki jo nemški DPA uporabljajo od Schrems II. Za prenose v Združene države EU-US Data Privacy Framework zagotavlja ustreznost posebej za prejemnike, ki so po njem certificirani; prenosi do necertificiranih ameriških prejemnikov še vedno potekajo na podlagi SCCs z dopolnilnimi ukrepi. Upravljavci, ki se zanašajo zgolj na SCCs brez dokumentirane analize, lahko pričakujejo vprašanja.
Kontrolni seznam za upravljavce
Če delujete v ali na nemški trg, je praktični kratki seznam:
- Preverite, ali je bil prag za imenovanje DPO presežen po BDSG § 38, ne le po GDPR Art. 37.
- Preglejte svojo pasico za privolitev glede na TDDDG § 25 in smernice DSK: zavrnitev mora biti na isti plasti kot sprejem, brez predhodno naloženih sledilcev, brez "podtikanja".
- Ugotovite, kateri deželni organ nadzoruje vaš nemški pravni subjekt, in preberite njegova objavljena prednostna področja — razlikujejo se.
- Dokumentirajte svoj prenosni mehanizem za vsakega ameriškega obdelovalca.
- Zaženite skeniranje svojih nemško-jezičnih ciljnih strani in primerjajte s člankom o sledenju pred privolitvijo.
Nemški trg je velik, sofisticiran in dobro nadzorovan. Nemški DPAs objavljajo smernice o skladnosti pasic za piškotke in so izdali odredbe za izvrševanje proti operaterjem, katerih pasice teh smernic niso izpolnjevale. Vzorec, ki deluje, je preprost: ne nalagajte ničesar nebistvenega, jasno povprašajte, spoštujte odgovor.
Nazadnje posodobljeno: