Tysklandsplaybook: BDSG, TDDDG och vad de tyska tillsynsmyndigheterna faktiskt tillämpar
Hur GDPR övervakas i Tyskland — den federala BfDI, sexton delstatliga dataskyddsmyndigheter, BDSG och den cookie-specifika TDDDG (tidigare TTDSG). Vad du ska hålla utkik efter om du verkar på eller mot den tyska marknaden.
Lukas Kontur · · 5 min läsning
Tyskland är den största enskilda marknaden i Europeiska unionen, med ungefär 84,6 miljoner invånare, och har det mest fragmenterade dataskyddstillsynslandskapet av alla medlemsstater. Det finns en federal tillsynsmyndighet — Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, förkortat BfDI — och sexton delstatliga myndigheter, en per Bundesland. De delstatliga myndigheterna är de som de flesta verksamhetsutövare först stöter på, eftersom de flesta personuppgiftsansvariga i privat sektor faller under delstatlig snarare än federal tillsyn.
Denna playbook är en arbetande aktörs syn på vad det betyder i praktiken: vilken myndighet du talar med, vilka lagar som gäller utöver GDPR, och vad de tyska DPAs faktiskt har tillämpat.
Den juridiska stacken
Tre lagstiftningsstycken spelar roll, i denna specificitetsordning.
1. GDPR
Europeiska unionens General Data Protection Regulation gäller direkt i Tyskland som i varje medlemsstat. De materiella reglerna om rättslig grund, registrerades rättigheter och ansvarsskyldighet kommer härifrån.
2. Bundesdatenschutzgesetz (BDSG)
BDSG är den tyska federala dataskyddslagen. Den implementerar GDPR:s öppningsklausuler — de ställen där förordningen uttryckligen inbjuder medlemsstaterna att lagstifta — och lägger till regler om anställdas uppgifter, kameraövervakning och rollen för Datenschutzbeauftragter. Två praktiska konsekvenser för verksamhetsutövare:
- Obligatoriska DPO-utnämningar är bredare än enligt GDPR Art. 37. Enligt BDSG § 38 måste varje personuppgiftsansvarig i Tyskland med minst 20 anställda som regelbundet behandlar personuppgifter med automatiserade medel utse en Datenschutzbeauftragter. Denna tröskel är tyskspecifik och fångar många små och medelstora företag som inte skulle behöva en DPO i Spanien eller Italien.
- Anställdas uppgifter regleras av BDSG § 26, som anger specifika krav för behandling av personuppgifter i anställningssammanhang.
3. TDDDG (tidigare TTDSG)
Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, förkortat TDDDG, är den tyska implementeringen av ePrivacy Directive Art. 5(3) — cookielagen. Den döptes om från TTDSG 2024 för att återspegla dess utvidgade tillämpningsområde till digitala tjänster mer generellt.
För webbplatsoperatörer är den operativa bestämmelsen TDDDG § 25, som kräver opt-in-samtycke före all lagring på eller åtkomst till information på en användares terminalutrustning, utom där det är strikt nödvändigt. Detta är regeln enligt vilken cookie banners bedöms i Tyskland.
De tyska DPAs har, i gemensam vägledning från Datenschutzkonferenz (DSK), mest framträdande i DSK-uttalandet av den 11 juli 2023 om telemediatjänster, intagit följande hållning:
- "Strikt nödvändig" tolkas snävt — varukorgscookies, sessionstoken och CSRF-cookies kvalificerar; analytics, även förstaparts analytics, gör i regel inte det.
- En avvisningsknapp måste finnas på samma bannernivå som accepteraknappen.
- Förbockade rutor och meddelanden av typen "genom fortsatt surfning samtycker du" utgör inte samtycke.
Vem som övervakar vem
Tillsynskartan spelar roll eftersom klagomål dirigeras till myndigheten där den personuppgiftsansvarige är etablerad, inte där den registrerade är bosatt.
- Federal myndighet — BfDI. Övervakar federala offentliga organ, telekomleverantörer och postoperatörer. För en typisk kommersiell webbplatsoperatör är BfDI inte din tillsynsmyndighet.
- Delstatliga myndigheter — sexton Landesdatenschutzbeauftragte. Övervakar personuppgiftsansvariga i privat sektor och offentliga organ på delstatsnivå. De mest framträdande är Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) för privata personuppgiftsansvariga i Bayern, Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) och Berlinkommissionären (BlnBDI), som ser en oproportionerlig andel teknikbranschsärenden helt enkelt för att så många tyska teknikbolag har sitt säte i Berlin.
Om din tyska juridiska person finns i München talar du med BayLDA. Om den finns i Frankfurt talar du med HBDI. Om du inte har någon tysk etablering men riktar tjänster mot den tyska marknaden gäller den ledande tillsynsmyndigheten utanför Tyskland via GDPR:s one-stop-shop-mekanism — men en tysk användare kan ändå klaga lokalt, och den tyska DPA:n kommer att vidarebefordra klagomålet.
Senaste tillsynstrender
Tre områden har varit synliga i tysk tillsyn.
Cookiebannertillsyn
Tyska DPAs har publicerat vägledning och beslut om banners som dolde avvisningsknappen eller förladdade spårare. Specifika beslut, böter och fallinformation finns dokumenterade i myndigheternas årsrapporter.
Mönstret som drar till sig tillsyn är just det vår skanner flaggar som pre_consent_tracking: bannern visas, men nätverket är redan upptaget.
Riskpoängen är en skannerintern signal; den är inte en rättslig bedömning. Den underliggande nätverkscapturen — vilka begäran som avfyrades före samtyckesbeslutet och vad de bar — är den artefakt som en tillsynsmyndighet eller DPO skulle granska.
Anställdas uppgifter förblir ett federalt fokusområde
BfDI och flera delstatsmyndigheter har publicerat vägledning om verktyg för medarbetarövervakning, tidsregistrering och användning av generativ AI på anställdas uppgifter. Verksamhetsutövare som använder HR-plattformar med globala leverantörer bör räkna med frågor om överföringar och om rättslig grund enligt BDSG § 26 snarare än vanlig GDPR Art. 6(1)(f).
Överföringar till USA
Även efter att EU-US Data Privacy Framework trädde i kraft i juli 2023 har tyska DPAs fortsatt att granska överföringar till USA. För överföringar till tredjeländer utan adekvansbeslut är en Transfer Impact Assessment baserad på SCCs den ribba tyska DPA:er har tillämpat sedan Schrems II. För överföringar till USA tillhandahåller EU-US Data Privacy Framework adekvans specifikt för mottagare som är certifierade enligt det; överföringar till icke-certifierade amerikanska mottagare vilar fortfarande på SCCs med kompletterande åtgärder. Verksamhetsutövare som förlitar sig enbart på SCCs, utan dokumenterad analys, bör räkna med frågor.
Operatörscheckklista
Om du verkar på eller mot den tyska marknaden, den praktiska kortlistan:
- Bekräfta om din tröskel för DPO-utnämning har överskridits enligt BDSG § 38, inte bara enligt GDPR Art. 37.
- Granska din samtyckesbanner mot TDDDG § 25 och DSK-vägledningen: avvisning måste vara på samma nivå som acceptera, inga förladdade spårare, ingen nudging.
- Identifiera vilken delstatlig myndighet som övervakar din tyska juridiska person, och läs dess publicerade fokusområden — de varierar.
- Dokumentera din överföringsmekanism för varje USA-baserad personuppgiftsbiträde.
- Kör en skanning av dina tyskspråkiga landningssidor och jämför med kunskapsartikeln om spårning före samtycke.
Den tyska marknaden är stor, sofistikerad och välövervakad. Tyska DPAs publicerar vägledning om cookiebannerefterlevnad och har utfärdat tillsynsbeslut mot verksamhetsutövare vars banners inte uppfyllde den vägledningen. Mönstret som fungerar är det enkla: ladda inget icke-väsentligt, fråga tydligt, respektera svaret.
Senast uppdaterad: