Privacy Statnive Live · Parhum Khoshbakht

TDDDG § 25(ドイツ):サーバーサイド限定という制約

ドイツの TDDDG § 25 は CNIL よりも厳格で、ライン川以北における「同意なし」の意味を根本から変えます。条文の内容と、それに合わせた設計方針を解説します。

本記事はプライバシーに関する調査資料であり、法的助言ではありません。詳細はフッターの免責事項をご覧ください。

TL;DR

  • § 25 TDDDG は、あらゆる汎欧州展開の拘束的制約です。 ドイツに合わせて設定すれば、残りの EU は自動的に成立します。
  • 正当な利益は § 25 の同意を代替しません。 DSK の 2024 年 11 月 20 日付 Orientierungshilfe バージョン 1.2 はこの点について明確であり、2026 年 5 月時点でも運用中のガイダンスです。
  • 唯一の同意なしアーキテクチャは、純粋なサーバーサイド処理です — Cookie なし、localStorage なし、フィンガープリンティングプローブなし、クライアント側識別子の読み取りなし。§ 25 の「Zugriff auf Informationen(情報へのアクセス)」は Cookie を超えてあらゆるクライアント側データ読み取りに及びます。
  • 文書化された第 6 条(1)(f) Legitimate Interest Assessment は依然として必要です — サーバーサイドの取り込みに続く GDPR 処理層について。LIA は § 25 のカーブアウトを解錠しませんが、個人データ処理を根拠付けます。
  • 2024-2026 年に BayLDA、NRW LDI、BlnBDI、HmbBfDI で執行が活発です — TDDDG に適合した同意なしの GA4 / Meta Pixel / Hotjar 展開を標的としています。最大罰則: § 28(1) No. 13 により 30 万ユーロ、加えて GDPR 第 83 条の罰金が並行適用されます。

なぜドイツは異なるのか

2026 年の EU 同意なしアクセス解析マップは一様ではありません。フランスの CNIL は詳細なオーディエンス計測カーブアウトを構築し — イタリアの Garante、スペインの AEPD、オランダの AP もそれぞれ独自のものを構築しました。ドイツは構築していません。Datenschutzkonferenz — ドイツの 17 のデータ保護規制当局すべての協調機関 — は、その Orientierungshilfe für Anbieter:innen von digitalen Diensten(バージョン 1.2、2024 年 11 月 20 日)で § 25 TDDDG は lex specialis であり、ユーザーの端末機器上での保存またはアクセスは、同意または厳格な必要性によってのみ許可される ことを確認しました。GDPR 第 6 条(1)(f) の正当な利益は、保存/アクセス操作そのものの代替的な有効根拠ではありません。

これがドイツをあらゆる汎欧州アクセス解析展開の拘束的制約にしています。ドイツに合わせて設定するサイト運営者は、EU の他のすべての場所に合わせて設定されています。フランスの Sheet 16 にのみ合わせて設定するサイト運営者は、ドイツのサイト運営者に対して別の、より厳格な答えを依然として負っています。

以下に続くのは、ドイツの答えです。ルールそのもの、2024 年 5 月の改名、狭い例外、「サーバーサイド限定」が運用姿勢である理由、それでも依然として存在しなければならない GDPR 第 6 条(1)(f) Legitimate Interest Assessment、Statnive Live がどう位置付けられるか、サイト運営者が貼り付け可能なドイツ語プライバシーポリシーブロック、アカウンタビリティ証跡を生む 8 つのプライバシー監査イベントをカバーします。

TDDDG 概要

ドイツの Telekommunikation-Telemedien-Datenschutz-Gesetz は、2021 年 12 月 1 日に TTDSG として施行されました(連邦政府による ePrivacy 第 5 条(3) の国内法への国内化)。2024 年 5 月、ドイツが EU Digital Services Act を国内化した際、この法律は TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz に改名されました。実質的内容は変更されず、名称のみがより広範な DSA の範囲を反映しました。

§ 25 は運用上の Cookie /ストレージ条項であり、ePrivacy 指令 2002/58/EC(2009/136/EC で改正)第 5 条(3) の直接的な国内化です。

§ 25(1) TDDDG(英訳): 「エンドユーザーの端末機器に情報を保存すること、または端末機器に既に保存されている情報にアクセスすることは、明確かつ包括的な情報に基づいてエンドユーザーが同意した場合にのみ許可される。エンドユーザーへの情報提供および同意は、規則 (EU) 2016/679 [GDPR] に従って行われなければならない。」

§ 25(2) は次の 2 つの場合のみ例外を設けます:

  • (i) 唯一の目的が公衆電気通信ネットワーク経由のメッセージ送信であること、および
  • (ii) 保存またはアクセスが、ユーザーが明示的に要求したデジタルサービスを提供するために絶対的に不可欠であること。

これが例外の全体です。ドイツの条文にはオーディエンス計測カーブアウトはありません。フランスの Sheet 16、イタリアの 2021 年 Cookie ガイドライン、スペインのオーディエンス計測ガイドに相当するものはありません。§ 25(2) は厳格に必要な場合 — ショッピングカート Cookie、認証セッション、CSRF トークン — をカバーし、それがリスト全体です。

§ 28(1) No. 13 および § 28(2) TDDDG のもとでの 罰則 は、1 件あたり最大 30 万ユーロ です。GDPR 第 83 条のもとでの罰金(最大 2,000 万ユーロまたは全世界売上の 4%)が個人データ処理層に並行適用されます。

DSK の立場と、なぜ正当な利益が救済しないのか

Datenschutzkonferenz(DSK) — ドイツの連邦・州 DPA の協調機関 — は 2024 年 11 月 20 日に Orientierungshilfe für Anbieter:innen von digitalen Diensten バージョン 1.2 を公表しました。ガイダンスは 2 点について明確です。

第 1 点: § 25 TDDDG は lex specialis です。 ユーザーの端末機器上のあらゆる保存またはアクセスについて、§ 25 の同意(または厳格な必要性)要件が支配します。GDPR の第 6 条の合法根拠条項は、保存/アクセス操作そのものの代替根拠を提供しません。

第 2 点: 正当な利益は § 25 の同意を代替できません。 サイト運営者が完璧に文書化された第 6 条(1)(f) Legitimate Interest Assessment を持っていたとしても、その LIA は 収集された後の個人データの処理 をカバーするのであって、端末機器アクセスを通じた 収集行為そのもの をカバーするものではありません。両者は異なる層によって規律され、異なる根拠を必要とします。

実務上の効果: Cookie を設定し、localStorage に書き込み、またはクライアント側識別子を読み取るアクセス解析展開は、§ 25 TDDDG をトリガーします。展開には同意が必要です。以上。どれほどの「正当な利益」推論も、§ 25 層での同意要件を回復しません。

これがドイツの立場がフランスよりもはるかに厳格な理由です。CNIL の Sheet 16 カーブアウトは、国内 国内化に組み込まれた定義済みのオーディエンス計測例外とともに ePrivacy 第 5 条(3) を解釈します。ドイツの § 25(2) は、そのオーディエンス計測例外なしに ePrivacy 第 5 条(3) を解釈します。両方の解釈は根本的な指令と整合しており、指令が許容する加盟国の裁量内で単に異なる場所に着地しただけです。

唯一の同意なしアーキテクチャ: サーバーサイド限定

同意なしで § 25 TDDDG を満たす唯一のアーキテクチャは、サイト運営者のサーバーが 訪問者の端末機器に保存せず、訪問者の端末機器から情報にアクセスしない ものです。ブラウザは、避けがたい HTTP リクエストの一部としてデフォルトで送信するもの — IP、User-Agent、Referer ヘッダー — のみを送信します。サーバーはそれらのヘッダーを読み取り、アクセス解析を導出し、何も書き戻しません。Cookie なし。localStorage なし。フィンガープリンティングプローブなし。クライアント側識別子構築なし。追加情報を送信するようデバイスに指示することなし。

これは § 25 TDDDG の範囲外に完全に収まります。ePrivacy 第 5 条(3) の「端末機器上の保存またはアクセス」トリガーは、ブラウザのデフォルトリクエスト動作を超えた端末機器との相互作用が発生しないため発火しません。EDPB Guidelines 2/2023 v2.0 はこのカーブアウトを明示的にカバーしています: サイト運営者がデバイスに情報を送信するよう指示せず、デバイスストレージへの書き込みや読み取りを行わない場合、第 5 条(3) は適用されません。

これはまた、27 加盟国すべて、最も厳しい加盟国を含めて満たす唯一の同意なしアーキテクチャです。フランスにとっては過剰ですが、ドイツにとっては必要です。ドイツのトラフィックを持つサイト運営者は — たとえ少数であっても — サーバーサイド限定ベースラインに合わせて設計すべきです。2 つのスタック(ドイツ用と他のすべての場所用)を構築するコストが、ほぼ常に統一された厳格なベースラインのコストを上回るからです。

GDPR 第 6 条(1)(f) LIA — 依然として必要

端末機器層で § 25 TDDDG をバイパスしても、GDPR の問題は解消されません。サーバーがリクエストから IP、User-Agent、Referer を読み取った時点で、それは個人データを処理しています。CJEU の Breyer 判決(C-582/14、2016 年 10 月 19 日)は、動的 IP が Web サイト運営者の手にあると個人データであることを決着させました。User-Agent はそれ自体でフィンガープリント可能な識別子です。

この処理に対する GDPR 第 6 条のもとでの合法根拠は、ファーストパーティオーディエンス計測について現実的には第 6 条(1)(f) — 正当な利益 — です。DSK は 2024 年ガイダンスでこの立場を受け入れていますが、§ 25 TDDDG の端末機器アクセス要件が独立して満たされる(つまり厳格に必要な例外が適用される、または端末機器アクセスが発生しない)ことを明示的な条件としてのみ受け入れています。サーバーサイド限定アーキテクチャはこの条件を構成上満たします。

LIA そのものは EDPB Guidelines 1/2024 に従って文書化されなければなりません:

  • 利益の特定。 管理者の Web サイトの運営、改善、安全確保(Breyer パラ 60–64 で認識された機能的構成要素);オーディエンスとコンテンツエンゲージメントの計測(2024 年 10 月 4 日決定の CJEU C-621/22 KNLTB パラ 47–49 で認識された商業的構成要素)。
  • 必要性。 オーディエンス計測は、必要な指標を生成しつつ、より侵襲性の低い手段で合理的に達成できません。最小化: 永続識別子なし;保存前に生 IP を破棄;日次ローテーション、サイトスコープのソルト;/24 IPv4 切り捨て;User-Agent はメジャーバージョンまで削減;リファラーはホスト名のみ;最寄り 10 単位への集計。
  • 均衡。 データ主体の利益: 憲章第 7 条(私生活)および第 8 条(データ保護)。合理的期待: 訪問者はサイト運営者が個別の日をまたぐまたはサイトをまたぐ監視ではなく、集計訪問数とページ人気度を把握することを期待しています — アーキテクチャはその期待と一致します。影響: 最小限 — 行動広告なし、プロファイリングなし、第三者共有なし、データ主体に影響する意思決定なし。緩和策: 1 日の終わりのソルト破棄、IP 切り捨て、保持上限、第 21 条のオプトアウト、適用可能な場合の DPA、EU 限定ホスティング、セルフホスト展開向けのオープンソースコードパス。

LIA は一度きりの作業ではありません。EDPB は年次更新と実質的変更時の更新を推奨しています — 例えば、Breyer 分析に影響する CJEU の付託、Digital Omnibus の採択、またはドイツの国内ガイダンスの更新。

Statnive Live の位置付け

Statnive Live は § 25 TDDDG を構成上満たすよう構築されています。ドイツのサイト向けのサイト運営者の設定手順:

  1. DE 管轄を選択する。 Statnive Live のサイトポリシーパネルは 11 管轄列挙を公開します。DE を選択するとハードルール検証がトリガーされます。
  2. ハードルール検証が permissive を禁止する。 ドイツのサイト運営者は permissive モードを選択できません — 検証はエラー 「Permissive consent mode is incompatible with § 25 TDDDG (Germany). Select consent-free or consent-required.」 で保存を拒否します。これはポリシー保存時と、すべての取り込みリクエストにおけるポリシーロード時に強制されるため、構成は帯域外で変更できません。
  3. consent-free をデフォルトとする。 これはトラッカーで Cookie、localStorage、フィンガープリンティングをオフにします;サーバーサイドの日次ローテーション BLAKE3-HMAC 訪問者シグネチャを有効化します;ホスト名のみのリファラー変換を有効化します;IP 切り捨てを有効化します;User-Agent 最小化を有効化します。アーキテクチャは § 25 TDDDG の「端末機器の保存またはアクセスなし」ベースラインに一致します。
  4. 保管時はハッシュ化 Cookie ID、しかし Cookie 設定なし。 consent-free がアクティブな時、ブラウザに _statnive Cookie は設定されません。そのモードでは保管時にハッシュ化する Cookie がありません。(consent-required または hybrid モードで同意が付与された場合、UUID がブラウザに発行されます;サーバーサイドストレージは SHA-256(master_secret || site_id || cookieID)h: プレフィックス付きで保存します。ブラウザは生の UUID を見ますが、データベースは決して見ません。)
  5. GPC と DNT の順守。 DE 管轄では consent.respect_gpc = true がデフォルトです。Sec-GPC: 1 を送信する訪問者は、訪問者識別子が計算される に短絡されます — 拒否する訪問者に対して仮名レコードは作成されないため、何も書き込まれなかった以上、削除すべきものは何もありません。GPC とハイブリッドモードの記事がエンドツーエンドのテストプランをカバーします。
  6. DSAR エンドポイントの順守。 POST /api/privacy/opt-outGET /api/privacy/accessPOST /api/privacy/erase は、管轄に関係なくすべての Statnive Live 展開で公開されています。ドイツのサイト運営者は、consent-free モードでは Cookie のない展開でのアクセスおよび消去請求の件数が本質的に少ないとしても、配線を持っています — ソルトがローテーションすれば、ほとんどの訪問者には訪問者単位のレコードが残らないからです。
  7. 公開法的開示ルートがバイナリに埋め込まれています。 /privacy/legal/privacy-policy/en/legal/privacy-policy/de/legal/lia/legal/dpa は同じ Go バイナリによって提供されます。/legal/privacy-policy/de ルートは、次のセクションで説明する原文のドイツ語条項を提供します。

11 管轄列挙(DEFRITESNLBEIEUKOTHER-EUIROTHER-NON-EU)と 4 つの同意モード(permissiveconsent-freeconsent-requiredhybrid)は 44 セルに合成されます。DE 行には 2 つの有効なセル — consent-freeconsent-required — しかありません。検証の仕事は、残り 22 セルが存在することを防ぐことです。

ドイツ語プライバシーポリシーブロック

ドイツのサイト向けに Statnive Live の consent-free モードを運用するサイト運営者は、/datenschutz(または同等の法的ページ)で次の条項を提供できます。文言は research-53 §08 からの原文テキストであり、上記の § 25 TDDDG 分析を反映しています。

Reichweitenmessung. Diese Website verwendet [Statnive Live] zur rein server-seitigen Reichweitenmessung. Es werden keine Cookies, kein Local Storage und keine vergleichbaren Technologien auf Ihrem Endgerät gespeichert oder ausgelesen. Insbesondere findet kein Zugriff im Sinne des § 25 Abs. 1 TDDDG statt. Verarbeitet werden ausschließlich Daten, die Ihr Browser für die Auslieferung der Seite ohnehin überträgt (IP-Adresse, Browser-Kennung in stark reduzierter Form, aufgerufene URL, Referrer-Domain). Wir kürzen Ihre IP-Adresse vor jeder weiteren Verarbeitung um das letzte Oktett und ersetzen sie durch eine pseudonymisierte Signatur, deren Salt nach 24 Stunden vernichtet wird.

Rechtsgrundlage. Soweit personenbezogene Daten im Sinne der DSGVO verarbeitet werden, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Eine Interessenabwägung gemäß EDSA-Leitlinien 1/2024 wurde dokumentiert.

Widerspruchsrecht gemäß Art. 21 DSGVO: [OPT-OUT-BUTTON].

この条項は同時に 3 つのことを行います。訪問者に 何が起こっているかreine server-seitige Reichweitenmessung)を伝え、規制当局に なぜ § 25 TDDDG が適用されないか(端末機器の保存またはアクセスなし)を伝え、データ主体に GDPR の根拠は何か(第 6 条(1)(f) +文書化された LIA)と どう異議申し立てするか(第 21 条のオプトアウトリンク)を伝えます。

これはサイト運営者自身のプライバシーポリシーの代替ではありません。サイト運営者は依然として、管理者の身元、目的、データのカテゴリー、保持期間、受領者、GDPR 第 13–22 条で列挙された権利をカバーする完全な通知を負っています。上記の条項は、その広範な通知の Reichweitenmessung セクションに収まります。

第 21 条のオプトアウトは、Statnive Live ではユーザーの選択を表す strictly-necessary Cookie として実装されています — これは § 25(2)(ii) TDDDG のもとで許容されます。ユーザーが明示的に要求したサービス設定(異議申し立て権)を実装するためです。代替として、訪問者の h: シグネチャをキーとし、適切な TTL を持つサプレッションリストでオプトアウトをサーバー側に永続化することもできます。

監査証跡 — 8 つのプライバシーイベント

Statnive Live は、プライバシーと法的な領域をカバーする 8 つの構造化監査イベントを発行します。これらは、DPO または監査人のための、第 28 条(3)(h) のアカウンタビリティ証拠です:

  • privacy.opt_out_received — 第 21 条の異議申し立てが登録されました。
  • privacy.dsar_access_requested — 第 15 条の開示請求が開始されました。
  • privacy.dsar_erase_requested — 第 17 条の消去請求が開始されました。
  • privacy.consent_givenstatnive.acceptConsent() が呼び出されました(consent-required および hybrid モードで関連、consent-free では関係なし)。
  • privacy.consent_withdrawnstatnive.withdrawConsent() が呼び出されました。
  • legal.lia_viewed/legal/lia ページが配信されました。
  • legal.dpa_viewed/legal/dpa ページが配信されました。
  • legal.privacy_policy_viewed/legal/privacy-policy/{lang} ページが配信されました。

ドイツの consent-free 展開では、典型的なイベントミックスは opt_out_received(少量 — アーキテクチャが異議申し立て不能なため、ほとんどの訪問者は異議申し立てしません)、時折の dsar_*_requested(データ主体権利はモードに関係なく技術的可用性機能)、そして legal.*_viewed の安定した流れ(訪問者がポリシーページを読んでいることを追跡する透明性シアター)です。

イベントは、サイト運営者の環境がサポートする任意のログシンクに出力されます — コンテナ展開では stdout/stderr、伝統的なホストでは syslog、セルフホスト構成では専用の監査テーブル。監査イベントは構造化 JSON であり、Loki、Elasticsearch、または任意の構造化ログパイプラインにクリーンに解析されます。

監査証跡は、Berlin DPA または Bavarian BayLDA が査察を開始した時にサイト運営者が示すものです。プライバシーポリシーの条項は公開向けの立場であり、監査イベントは立場が実際に実装されていることの同時並行的な証拠です。

ドイツのサイト運営者が得るもの

実務上の成果:

  • オーディエンス計測ワークフローに Cookie バナーが不要 — 端末機器の保存またはアクセスが一切発生しないことに基づく — ePrivacy 例外解釈ではなく、構成上満たされる最も厳しい現行欧州の立場です。
  • 文書化された第 6 条(1)(f) LIA — サーバーが取り込み時に IP、User-Agent、Referer を読み取った後に行う個人データ処理の GDPR 根拠として。LIA テンプレートは /legal/lia にあります;サイト運営者の処理コンテキストに合わせて法務とカスタマイズしてください。
  • プライバシーポリシーブロック — § 25 Abs. 1 TDDDG を名指しし、なぜ適用されないかを説明するもの。ブロックは /legal/privacy-policy/de にあり、サイト運営者の /datenschutz ページに貼り付け可能です。
  • 27 加盟国すべてを満たす構成 — 最も厳しいセルを展開することで。フランスのトラフィック、イタリアのトラフィック、オランダのトラフィックを追加しても再アーキテクチャは不要です;既存の構成は、CNIL Sheet 16、Garante の 2021 年 Cookie ガイドライン、AEPD オーディエンス計測ガイド、オランダ AP の分析 Cookie 立場にも適格です。国別マップが差分を解説します。
  • Digital Omnibus 第 88a 条(3)(c) 提案との前方互換性。 委員会の文言がそのまま採択されれば、consent-free Statnive Live 展開は初日に適格です。

提供しないもの: ドイツの同意バナーを無料で設定する能力、または正当な利益に基づいてドイツで GA4 を運用する能力。どちらも達成不可能です;DSK の 2024 年ガイダンスが両方の経路を閉じています。

FAQ

ドイツのサイト運営者は依然として何らかの目的のためにバナーが必要ですか?

可能性はあります — ただしオーディエンス計測のためではありません。同意バナーは、§ 25(1) TDDDG(デバイス上の保存またはアクセス)をトリガーし、§ 25(2)(i)-(ii) の範囲外に該当する処理についてのみ必要です。これには、サードパーティ広告 Cookie、リターゲティングピクセル、Cookie を設定するソーシャル共有ウィジェット、ページ読み込み時に Cookie を設定する埋め込み YouTube/Vimeo 動画、A/B テストバリアント Cookie などが含まれます。これらの目的のため、サイト運営者は Reject を Accept と同じくらい簡単にする UX と、適用可能な場合は German Consent Management Ordinance 認識を備えたバナーを負っています。

オーディエンス計測層 — 訪問者カウント、ページ人気度、リファラー分析 — は、本記事の条件のもとでは バナーを必要としません。サイト運営者は、アクセス解析をオーディエンス計測専用層に統合するか、コマースアトリビューション、A/B テスト、マーケティングキャンペーンアトリビューションのために別の同意ゲート層を追加するかを選択します。

German Consent Management Ordinance — Einwilligungsverwaltungsverordnung — は 2024 年 12 月 20 日に連邦参議院で承認され、§ 26(2) TDDDG のもとで 2025 年 4 月 1 日 に施行されました。これは Personal Information Management Services(PIMS)を認識し、Web サイトは認識された同意管理サービスからのシグナルを順守しなければなりません。EinwV は実質的な § 25 ルールを変更しません — ルールが同意を要求する時に同意のための認識された PIMS 経路を追加するだけです。

consent-free 展開では、EinwV は同意が求められていないため、ほぼ無関係です。consent-required または hybrid 展開では、EinwV 認識経路がブラウザレベル同意シグナルを順守するための長期的なメカニズムです — Statnive Live が今日どうブラウザレベルシグナル処理を実装するかについては GPC とハイブリッドモードの記事を参照してください。

BGH の Planet49 判決は何かを変えますか?

BGH I ZR 7/16 Planet49(2020 年 5 月 28 日決定、CJEU C-673/17 of 1 October 2019 の後続)におけるドイツ連邦通常裁判所の判決は、事前チェック済みチェックボックスが有効な同意を生まないこと、および以前の § 15(3) TMG のもとでのオプトアウトアプローチが GDPR 後では不十分であることをドイツ法で確認しました。判決は § 25 における同意の方向性を強化するものであり、弱めるものではありません。BGH Planet49 をドイツの同意レジームの軟化と解釈するサイト運営者は、判決を誤読しています。

いいえ。DSK の 2024 年ガイダンスは明確です: 正当な利益は端末機器アクセス層で § 25 TDDDG の同意を代替しません。徹底的に文書化された LIA は、後続の個人データ処理についての GDPR 第 6 条の根拠として必要ですが、§ 25 層での Cookie ストレージカーブアウトを解錠しません。これは一貫した EDPB 意見書 5/2019 の立場であり、UK ICO の 2026 年 4 月の Storage and Access Technologies ガイダンスによって再確認されました。

同意なしでドイツ法を満たす方法は、そもそもデバイスに書き込まないことです。Cookie をアーキテクチャから除外すれば、正当な利益の問題は GDPR 第 6 条のみの問題になり、§ 25 の問題ではなくなります。

やるべきこと・避けるべきこと

DoDon’t
Statnive Live で DE 管轄を選択;consent-free モードをデフォルトとする(ハードルール検証が強制)。ドイツのサイトを permissive モードに設定する — § 25 TDDDG が禁止し、検証は保存を拒否します。
EU モードではデフォルトで GPC と DNT を順守;訪問者シグネチャを計算する前に取り込みを短絡する。Cookie レスアクセス解析を自動的に § 25 適合とみなす — DSK は、Cookie なしでも、エンドデバイス情報への アクセス も § 25 をトリガーすることを確認しました。
§ 25 Abs. 1 TDDDG と第 21 条異議申し立て権を名指しした原文の Reichweitenmessung 条項を /datenschutz に公開する。文書化された LIA +プライバシーポリシー開示なしに「DE では同意バナー不要」と主張する。DSK の立場は両方を要求します。
サーバーが取り込み時に行う個人データ処理について、EDPB Guidelines 1/2024 に従って第 6 条(1)(f) Legitimate Interest Assessment を文書化する。端末機器アクセス層で § 25 の同意の代替として正当な利益に依拠する。DSK Orientierungshilfe バージョン 1.2 は明確: それは不可能です。
公開前に有資格のドイツ法務 — 典型的には Fachanwalt für IT-Recht — と相互参照する。ドイツで同意前に GA4 / Meta Pixel / Hotjar を運用する。BayLDA、NRW LDI、BlnBDI、HmbBfDI はすべてそれに対してサイト運営者を制裁しています。

結論

ドイツの § 25 TDDDG は、端末機器の同意に関する最も厳しい現行欧州の立場です。ドイツ法にはオーディエンス計測カーブアウトはなく、DSK は正当な利益が § 25 要件を代替しないことを確認し、罰則は § 28(1) No. 13 のもとで 1 件あたり最大 30 万ユーロに加え、GDPR 第 83 条のもとでの罰金が並行適用されます。

ドイツで成立する唯一の同意なしアーキテクチャは、端末機器上の保存またはアクセスが発生しないものです。Statnive Liveconsent-free モード+ DE 管轄は、まさにそのアーキテクチャであり、許容的なドイツの構成を保存することを拒否するハードルール検証によって強制されます。/legal/privacy-policy/de のプライバシーポリシーブロックは、§ 25 Abs. 1 TDDDG と第 21 条異議申し立て権を名指しします。8 つのプライバシー監査イベントが同時並行的なアカウンタビリティ証跡を発行します。

ドイツに合わせて設定するサイト運営者は、構成上、残りの EU に合わせて設定されています。厳格なベースラインが上方に合成されます。2026 年 EU 同意なしアクセス解析プレイブック はより広範な枠組みです;CNIL Sheet 16 記事はフランスの代替案です;国別マップは残りの加盟国を解説します。ドイツのサイト運営者の経路は、本記事が説明したものです。

本記事はプライバシーに関する調査資料であり、法的助言ではありません。 consent.respect_gpc = true と文書化された Legitimate Interest Assessment を備え、DE 管轄向けに consent-free モードで設定された Statnive Live は、§ 25 TDDDG のもとで「端末機器の保存またはアクセスなし」展開として適格となるよう設計されています。アーキテクチャは § 25(1) トリガーを除去し、LIA は後続処理の GDPR 第 6 条(1)(f) 根拠をカバーします。すべての Statnive 顧客はデータ管理者であり続け、自身の設定および DPIA について責任を負います。公開前に、有資格のドイツ法務 — 記録の DPO または Fachanwalt für IT-Recht — と相互参照してください。

規制関連参照の状況 — 2026 年 5 月 13 日時点: TDDDG(2024 年 5 月 14 日に TTDSG から改名;その時点から 2026 年 5 月までの間、§ 25 への文言改正なし);§ 25 TDDDG;§ 28(1) No. 13 TDDDG;DSK Orientierungshilfe für Anbieter:innen von digitalen Diensten バージョン 1.2、2024 年 11 月 20 日(依然運用中;2026 年 5 月時点で後継版なし;Cookie レスのトラッキングがエンドデバイス情報にアクセスする場合も § 25 をトリガーすることを確認);Einwilligungsverwaltungsverordnung(EinwV)、2024 年 12 月 20 日連邦参議院承認、2025 年 4 月 1 日施行;BGH I ZR 7/16 Planet49、2020 年 5 月 28 日;CJEU C-673/17 Planet49、2019 年 10 月 1 日(ECLI:EU:C:2019:801);CJEU C-582/14 Breyer、2016 年 10 月 19 日(ECLI:EU:C:2016:779);CJEU C-621/22 KNLTB、2024 年 10 月 4 日(ECLI:EU:C:2024:857);EDPB Guidelines 2/2023 v2.0、2024 年 10 月 7 日;EDPB Guidelines 1/2024、2024 年 10 月 8 日;草案 EDPB Guidelines 01/2025 on Pseudonymisation(2025 年 1 月 16 日草案採択;2026 年 5 月時点で最終版未公表);2026 年 2 月 11 日 EDPB-EDPS 合同意見書 2/2026(Digital Omnibus について);EDPB 意見書 5/2019。2024-2026 年に BayLDA / NRW LDI / BlnBDI / HmbBfDI による、同意なしに展開された GA4 / Meta Pixel / Hotjar に対する継続的な § 25 TDDDG 執行。

Statnive を無料で入手