Privacy Statnive Live · Parhum Khoshbakht

德国 TDDDG § 25:仅服务器端约束

德国 TDDDG § 25 比 CNIL 更严格 —— 并重塑了莱茵河以北「无同意」的含义。本文介绍规则本身,以及如何为其设计。

本文为隐私研究内容,不构成法律意见。完整免责声明见页脚。

TL;DR

  • § 25 TDDDG 是任何泛欧部署的约束。 按德国配置,EU 其余部分自然兼容。
  • 合法利益不能替代 § 25 同意。 DSK 的 2024 年 11 月 20 日《Orientierungshilfe》v1.2 版对此态度明确 —— 截至 2026 年 5 月仍是生效指南。
  • 唯一的无同意架构是纯服务器端处理,无 Cookie、无 localStorage、无指纹识别探测、无客户端标识符读取。§ 25 的「对信息的访问」(Zugriff auf Informationen)涵盖超出 Cookie 的任何客户端数据读取。
  • 书面的第 6(1)(f) 条合法利益评估仍必须存在,针对服务器端 ingest 之后的 GDPR 处理层 —— LIA 并不解锁 § 25 豁免,但为个人数据处理奠定基础。
  • 2024-2026 年 BayLDA、NRW LDI、BlnBDI 与 HmbBfDI 执法活跃 —— 针对未通过 TDDDG 合规同意部署 GA4 / Meta Pixel / Hotjar。最高罚款:按 § 28(1) No. 13 处以 30 万欧元,加 GDPR 第 83 条罚款并行。

为什么德国不同

2026 年 EU 无同意网站统计总表并不一致。法国 CNIL 建立了细致的受众测量豁免 —— 意大利 Garante、西班牙 AEPD 和荷兰 AP 也建立了各自的豁免。德国没有。Datenschutzkonferenz —— 德国所有 17 家数据保护监管机构的协调机构 —— 在其《Orientierungshilfe für Anbieter:innen von digitalen Diensten》(v1.2 版,2024 年 11 月 20 日)中确认:§ 25 TDDDG 是lex specialis,只有同意或严格必要才允许在用户终端设备上存储或访问。 GDPR 第 6(1)(f) 条合法利益对存储 / 访问操作本身不是有效替代基础。

这使德国成为任何泛欧网站统计部署的约束。按德国配置的运营者,对 EU 其余地方也已配置好。仅按法国第 16 号指南配置的运营者,仍需向德国运营者提供另一个、更严格的答复。

下文是德国答复。规则本身、2024 年 5 月改名、狭窄豁免、为什么「仅服务器端」是运行姿态、依然必须存在的 GDPR 第 6(1)(f) 条合法利益评估、Statnive Live 处于哪里、运营者可以粘贴的德语隐私政策段落,以及产生问责追踪的 8 个隐私审计事件。

TDDDG 简述

德国 Telekommunikation-Telemedien-Datenschutz-Gesetz 于 2021 年 12 月 1 日以 TTDSG 名义生效(联邦政府对 ePrivacy 第 5(3) 条的国内法转置)。2024 年 5 月,德国转置 EU 数字服务法案时,该法律被改名为 TDDDG —— Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz。实质未变;只是名称反映了更广的 DSA 范围。

§ 25 是 Cookie / 存储的操作性条款,是 ePrivacy 指令 2002/58/EC(经 2009/136/EC 修订)第 5(3) 条的直接转置。

§ 25(1) TDDDG(英文翻译):“Storing information in the end user’s terminal equipment or accessing information already stored in the terminal equipment is only permitted if the end user has consented on the basis of clear and comprehensive information. The information to the end user and the consent shall be provided in accordance with Regulation (EU) 2016/679 [GDPR].”

§ 25(2) 仅在两种情形下豁免:

  • (i)唯一目的是通过公共电信网络传输消息,以及
  • (ii)存储或访问对于提供用户明确请求的数字服务是绝对必要的。

这就是全部豁免。德国文本中没有受众测量豁免。没有与法国第 16 号指南、意大利 2021 年 Cookie 指南或西班牙受众测量指南等价的内容。§ 25(2) 覆盖严格必要的情形 —— 购物车 Cookie、认证会话、CSRF 令牌 —— 这就是全部清单。

罚款按 § 28(1) No. 13 和 § 28(2) TDDDG 高至30 万欧元/次违规。GDPR 第 83 条罚款(高至 2,000 万欧元或全球营业额 4%)对个人数据处理层并行适用。

DSK 立场及为何合法利益救不了您

Datenschutzkonferenz(DSK)—— 德国联邦与州 DPA 的协调机构 —— 于 2024 年 11 月 20 日发布《Orientierungshilfe für Anbieter:innen von digitalen Diensten》 v1.2 版。指南在两点上态度明确。

第一点:§ 25 TDDDG 是lex specialis 对于用户终端设备上的任何存储或访问,§ 25 的同意(或严格必要)要求统辖。GDPR 第 6 条的合法依据条款不为存储 / 访问操作本身提供替代基础。

第二点:合法利益不能替代 § 25 同意。 即使运营者拥有完美书面的第 6(1)(f) 条合法利益评估,该 LIA 覆盖的是个人数据收集后的处理 —— 而不是通过终端设备访问进行收集的行为。两者由不同层管辖,需要不同基础。

实务效果是:设置 Cookie、写入 localStorage 或读取客户端标识符的网站统计部署触发 § 25 TDDDG。该部署需要同意。完。任何「合法利益」推理都不能在 § 25 层恢复同意要求。

这就是为什么德国立场比法国严格得多。CNIL 第 16 号指南豁免按国家转置内置了定义清晰的受众测量例外来解读 ePrivacy 第 5(3) 条。德国 § 25(2) 解读 ePrivacy 第 5(3) 条时没有这一受众测量例外。两种解读都与基础指令一致;只是落在该指令允许的成员国自由裁量范围内的不同位置。

唯一的无同意架构:仅服务器端

唯一在无同意下通过 § 25 TDDDG 的架构是:运营者的服务器不在访客终端设备上存储或访问信息。浏览器只发送其作为不可避免 HTTP 请求一部分默认发送的信息 —— IP、User-Agent、Referer 头。服务器读取这些头,派生其网站统计,不写回任何内容。无 Cookie。无 localStorage。无指纹识别探测。无客户端标识符构造。不指示设备发送额外信息。

这完全落在 § 25 TDDDG 之外。ePrivacy 第 5(3) 条「终端设备上的存储或访问」触发器不触发,因为没有超出浏览器默认请求行为的终端设备交互发生。EDPB 指南 2/2023 v2.0 明确覆盖此豁免:运营者既不指示设备发送信息也不向设备存储读写时,第 5(3) 条不适用。

这也是唯一满足全部 27 个成员国(包括最严格者)的无同意架构。对法国是过度配置;对德国是必要。哪怕只有少量德国流量的运营者也应按仅服务器端基线设计,因为架构两套栈(一套德国、一套其余)的成本几乎总是超过统一严格基线的成本。

GDPR 第 6(1)(f) 条 LIA —— 仍然必要

在终端设备层绕过 § 25 TDDDG 不消除 GDPR 问题。一旦服务器从请求中读取 IP、User-Agent 和 Referer,就是在处理个人数据。CJEU 的 Breyer 判决(C-582/14,2016 年 10 月 19 日)确立了动态 IP 在网站运营者手中属个人数据。User-Agent 本身是可指纹化的标识符。

针对此处理,GDPR 第 6 条的合法基础现实上是第 6(1)(f) 条 —— 合法利益 —— 用于第一方受众测量。DSK 在 2024 年指南中接受这一立场,但仅在明确条件下:§ 25 TDDDG 终端设备访问要求被独立满足(即严格必要例外适用,或没有终端设备访问发生)。仅服务器端架构按构造满足该条件。

LIA 本身必须按 EDPB 指南 1/2024 书面记录:

  • 利益识别。 运营、改进与保护控制者网站(Breyer 第 60-64 段所识别的功能性组件);测量受众与内容参与度(CJEU C-621/22 KNLTB 第 47-49 段所识别的商业性组件,2024 年 10 月 4 日判决)。
  • 必要性。 在产生所需指标的同时,无法以更少侵入性的手段合理实现受众测量。最小化:无持久标识符;存储前丢弃原始 IP;每日轮换、站点范围限定的盐;IPv4 /24 截断;User-Agent 仅保留主版本;引荐来源仅保留主机;聚合至最接近 10 的取整。
  • 平衡。 数据主体利益:宪章第 7 条(私生活)和第 8 条(数据保护)。合理预期:访客预期运营者知道聚合访问数和页面热度,而非个体跨天或跨站监控 —— 架构与该预期匹配。影响:最小 —— 无行为广告、无画像、无第三方共享、无影响数据主体的决策。缓解:每日结束时盐销毁、IP 截断、保留上限、第 21 条退出、适用时签署 DPA、仅 EU 托管、自托管部署的开源代码路径。

LIA 不是一次性练习。EDPB 建议每年刷新并在实质变化时刷新 —— 例如,影响 Breyer 分析的 CJEU 转介、Digital Omnibus 通过,或德国国家指南更新。

Statnive Live 处于哪里

Statnive Live 构建为按构造满足 § 25 TDDDG。德国站点运营者的配置步骤:

  1. 选择 DE 辖区。 Statnive Live 站点策略面板暴露 11 辖区枚举。选择 DE 触发硬规则验证器。
  2. 硬规则验证器禁止 permissive。 德国运营者无法选择 permissive 模式 —— 验证器拒绝保存并报错:“Permissive consent mode is incompatible with § 25 TDDDG (Germany). Select consent-free or consent-required.” 该校验在策略保存时执行,又在每次 ingest 请求加载策略时再次执行,因此配置无法被带外修改。
  3. 默认 consent-free。 这关闭统计脚本中的 Cookie、localStorage 和指纹识别;激活服务器端每日轮换的 BLAKE3-HMAC 访客签名;激活仅主机的引荐来源转换;激活 IP 截断;激活 User-Agent 最小化。架构匹配 § 25 TDDDG「无终端设备存储或访问」基线。
  4. 静态下哈希 Cookie ID,但不设置 Cookie。 consent-free 激活时不在浏览器上设置 _statnive Cookie。该模式下静态没有 Cookie 可哈希。(在已同意的 consent-requiredhybrid 模式下,向浏览器发出 UUID;服务器端存储为 SHA-256(master_secret || site_id || cookieID)h: 前缀。浏览器看到原始 UUID;数据库永远看不到。)
  5. GPC 与 DNT 被遵守。 DE 辖区下,consent.respect_gpc = true 为默认。发送 Sec-GPC: 1 的访客在计算访客标识符之前被短路 —— 不为拒绝访客创建假名化记录,因此无任何东西需要删除,因为什么也没写入。GPC 与混合模式文章覆盖端到端测试计划。
  6. DSAR 端点被遵守。 POST /api/privacy/opt-outGET /api/privacy/accessPOST /api/privacy/erase 在每个 Statnive Live 部署上暴露,无论辖区。即便在 consent-free 模式下,因为非 Cookie 部署上访问与删除请求量本质上很低 —— 一旦盐轮换,多数访客就没留下按访客记录 —— 德国运营者也已具备接线。
  7. 公共法律披露路由内嵌于二进制文件。 /privacy/legal/privacy-policy/en/legal/privacy-policy/de/legal/lia/legal/dpa 由同一个 Go 二进制提供。/legal/privacy-policy/de 路由提供下一节描述的德语原文条款。

11 辖区枚举(DE / FR / IT / ES / NL / BE / IE / UK / OTHER-EU / IR / OTHER-NON-EU)与 4 种同意模式(permissive / consent-free / consent-required / hybrid)组合成 44 个单元。DE 行只有两个有效单元 —— consent-freeconsent-required。验证器的工作就是阻止另外 22 个单元存在。

德语隐私政策段落

为德国站点运行 Statnive Live consent-free 模式的运营者,可以在 /datenschutz(或等价的法律页面)提供以下条款。措辞来自研究 53 §08 的原文,反映上述 § 25 TDDDG 分析。

Reichweitenmessung. Diese Website verwendet [Statnive Live] zur rein server-seitigen Reichweitenmessung. Es werden keine Cookies, kein Local Storage und keine vergleichbaren Technologien auf Ihrem Endgerät gespeichert oder ausgelesen. Insbesondere findet kein Zugriff im Sinne des § 25 Abs. 1 TDDDG statt. Verarbeitet werden ausschließlich Daten, die Ihr Browser für die Auslieferung der Seite ohnehin überträgt (IP-Adresse, Browser-Kennung in stark reduzierter Form, aufgerufene URL, Referrer-Domain). Wir kürzen Ihre IP-Adresse vor jeder weiteren Verarbeitung um das letzte Oktett und ersetzen sie durch eine pseudonymisierte Signatur, deren Salt nach 24 Stunden vernichtet wird.

Rechtsgrundlage. Soweit personenbezogene Daten im Sinne der DSGVO verarbeitet werden, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Eine Interessenabwägung gemäß EDSA-Leitlinien 1/2024 wurde dokumentiert.

Widerspruchsrecht gemäß Art. 21 DSGVO: [OPT-OUT-BUTTON].

该条款同时做三件事。告诉访客正在发生什么reine server-seitige Reichweitenmessung);告诉监管者为什么 § 25 TDDDG 不适用(无终端设备存储或访问);告诉数据主体GDPR 基础是什么(第 6(1)(f) 条加书面 LIA)以及如何反对(第 21 条退出链接)。

它不是运营者自身隐私政策的替代品。运营者仍欠一份完整通知,涵盖控制者身份、目的、数据类别、保留期、接收者以及 GDPR 第 13-22 条列举的权利。上述条款嵌入该更广通知的 Reichweitenmessung 部分。

第 21 条退出在 Statnive Live 中实现为表达用户选择的严格必要 Cookie —— 在 § 25(2)(ii) TDDDG 下允许,因为它实现用户明确请求的服务偏好(反对权)。也可以通过服务器端抑制列表持久化退出,以访客 h: 签名为键并设置足够 TTL。

审计追踪 —— 8 个隐私事件

Statnive Live 输出 8 个结构化审计事件,覆盖隐私与法律相关表面。这些是第 28(3)(h) 条问责证据,可供 DPO 或审计师查阅:

  • privacy.opt_out_received —— 已登记第 21 条反对。
  • privacy.dsar_access_requested —— 已发起第 15 条访问权请求。
  • privacy.dsar_erase_requested —— 已发起第 17 条删除权请求。
  • privacy.consent_given —— statnive.acceptConsent() 被调用(适用于 consent-requiredhybrid 模式,不适用于 consent-free)。
  • privacy.consent_withdrawn —— statnive.withdrawConsent() 被调用。
  • legal.lia_viewed —— 已展示 /legal/lia 页面。
  • legal.dpa_viewed —— 已展示 /legal/dpa 页面。
  • legal.privacy_policy_viewed —— 已展示 /legal/privacy-policy/{lang} 页面。

对德国 consent-free 部署,典型事件组合是:opt_out_received(低量 —— 多数访客从不反对,因为架构本身无可反对)、偶发 dsar_*_requested(数据主体权利是技术可用性特性,与模式无关)以及稳定的 legal.*_viewed(透明度剧场追踪,证明访客确实阅读政策页面)。

事件输出到运营者环境支持的任意日志接收端 —— 容器化部署中的 stdout/stderr、传统主机上的 syslog,或自托管环境中的专用审计表。审计事件为结构化 JSON,可干净地解析到 Loki、Elasticsearch 或任意结构化日志管道。

审计追踪是运营者在柏林 DPA 或巴伐利亚 BayLDA 开启检查时指向的内容。隐私政策段落是公开立场;审计事件是该立场实际得到实施的同步证据。

这给德国运营者带来什么

实际成果:

  • 无需 Cookie 横幅用于受众测量工作流,依据是根本不发生终端设备存储或访问 —— 按构造满足当前欧洲最严格立场,而非依赖 ePrivacy 豁免解读。
  • 书面的第 6(1)(f) 条 LIA作为服务器在 ingest 时读取 IP、User-Agent 和 Referer 之后所做个人数据处理的 GDPR 基础。LIA 模板在 /legal/lia;与法律顾问一起按运营者处理上下文定制。
  • 隐私政策段落点明 § 25 Abs. 1 TDDDG 并解释为何它不适用。该段落位于 /legal/privacy-policy/de,可直接粘贴进运营者的 /datenschutz 页面。
  • 满足全部 27 个成员国的配置,通过部署最严格单元实现。添加法国流量、意大利流量或荷兰流量无需重构架构;现有配置同样符合 CNIL 第 16 号指南、Garante 2021 年 Cookie 指南、AEPD 受众测量指南和荷兰 AP 分析 Cookie 立场。country-by-country 总表演练差异。
  • Digital Omnibus 第 88a(3)(c) 条 提案的向前兼容。若委员会文本原样通过,consent-free Statnive Live 部署第一天即合格。

它不提供:免费设置德国同意横幅的能力,或在德国按合法利益运行 GA4 的能力。两者都不可达;DSK 2024 年指南关闭了两条路径。

FAQ

德国运营者还需要为任何目的设横幅吗?

可能 —— 但不为受众测量。同意横幅仅在触发 § 25(1) TDDDG(设备上的存储或访问)且落在 § 25(2)(i)-(ii) 之外的处理上必要。这包括任何第三方广告 Cookie、再营销像素、设置 Cookie 的社交分享小部件、在页面加载时设置 Cookie 的嵌入式 YouTube/Vimeo 视频、A/B 测试变体 Cookie 等。对这些目的,运营者欠一份带「拒绝与接受一样简单」UX 的横幅,并在适用时遵守德国同意管理条例承认。

受众测量层 —— 访客计数、页面热度、引荐来源分析 —— 在本文条件下不需要横幅。运营者选择是把网站统计统一在仅受众测量层,还是为电商归因、A/B 测试或营销活动归因额外加一层同意控制。

同意管理条例(EinwV)呢?

德国同意管理条例 —— Einwilligungsverwaltungsverordnung —— 于 2024 年 12 月 20 日由 Bundesrat 批准,并于 2025 年 4 月 1 日在 § 26(2) TDDDG 下生效。它承认个人信息管理服务(PIMS);网站必须遵守已承认的同意管理服务的信号。EinwV 不改变实质 § 25 规则 —— 它为该规则要求同意时所需的同意添加了已承认 PIMS 路径。

consent-free 部署,EinwV 基本无关,因为没有在征求同意。对 consent-requiredhybrid 部署,EinwV 承认路径是遵守浏览器层同意信号的长期机制 —— Statnive Live 如何实现当前的浏览器层信号处理,请参见 GPC 与混合模式文章。

BGH Planet49 判决改变什么吗?

德国联邦最高法院 BGH I ZR 7/16 Planet49 判决(2020 年 5 月 28 日判决,承接 CJEU C-673/17 于 2019 年 10 月 1 日的判决)在德国法中确认:预勾选复选框不产生有效同意,GDPR 之后旧 § 15(3) TMG 下的退出做法不充分。判决加强了 § 25 的同意方向 —— 并未削弱。把 BGH Planet49 解读为德国同意制度软化的运营者误读了判决。

不能。DSK 2024 年指南明确:合法利益不能在终端设备访问层替代 § 25 TDDDG 同意。穷尽书面的 LIA 是后续个人数据处理 GDPR 第 6 条基础的必要条件,但不解锁 § 25 层的 Cookie 存储豁免。这是一致的 EDPB 5/2019 意见立场,被 UK ICO 2026 年 4 月《存储与访问技术指南》重申。

在德国无同意满足法律的方式是一开始就不向设备写入。把 Cookie 架构掉;合法利益问题就成为仅 GDPR 第 6 条问题,而非 § 25 问题。

该做什么,不该做什么

该做不该做
在 Statnive Live 中选择 DE 辖区;默认 consent-free 模式(硬规则验证器强制)。把德国站点设为 permissive 模式 —— § 25 TDDDG 禁止;验证器拒绝保存。
在 EU 模式下默认遵守 GPC 与 DNT;在计算访客签名前短路 ingest。把无 Cookie 网站统计当作自动满足 § 25 —— DSK 已确认对终端设备信息的访问也触发 § 25,即便没有 Cookie。
/datenschutz 发布点名 § 25 Abs. 1 TDDDG 与第 21 条反对权的原文 Reichweitenmessung 条款。在没有书面 LIA 与隐私政策披露的情况下声称「DE 不需要同意横幅」。DSK 立场要求两者。
按 EDPB 指南 1/2024 为服务器在 ingest 时所做个人数据处理书面记录第 6(1)(f) 条合法利益评估。在终端设备访问层把合法利益当作 § 25 同意的替代。DSK《Orientierungshilfe》v1.2 版态度明确:不能。
在发布前与合资格德国法律顾问 —— 通常是 Fachanwalt für IT-Recht —— 交叉确认。在德国预先同意运行 GA4 / Meta Pixel / Hotjar。BayLDA、NRW LDI、BlnBDI 和 HmbBfDI 均已就此处罚运营者。

结论

德国 § 25 TDDDG 是当前欧洲对终端设备同意最严格的立场。德国法律没有受众测量豁免,DSK 已确认合法利益不替代 § 25 要求,处罚按 § 28(1) No. 13 高至 30 万欧元/次违规,加 GDPR 第 83 条罚款。

在德国唯一通过的无同意架构是:不在终端设备上存储或访问。Statnive Live consent-free 模式加 DE 辖区正是该架构,由拒绝保存德国 permissive 配置的硬规则验证器强制。/legal/privacy-policy/de 的隐私政策段落点名 § 25 Abs. 1 TDDDG 与第 21 条反对权。8 个隐私审计事件输出同步问责追踪。

按德国配置的运营者按构造已经为 EU 其余部分配置好。严格基线自然兼容。2026 年 EU 无同意网站统计实战手册是更广框架;CNIL 第 16 号指南文章是法国替代;country-by-country 总表走完其余成员国。德国运营者的路径就是本文所述。

本文为隐私研究内容,不构成法律意见。 Statnive Live 在 DE 辖区下配置为 consent-free 模式、consent.respect_gpc = true 并具备书面合法利益评估时,架构上被构造为在 § 25 TDDDG 下作为无终端设备存储或访问的部署而合格。 架构移除 § 25(1) 触发器;LIA 覆盖后续处理的 GDPR 第 6(1)(f) 条基础。每位 Statnive 客户仍是数据控制者,对其配置和 DPIA 负责。在发布前请与合资格德国法律顾问 —— 备案 DPO 或 Fachanwalt für IT-Recht —— 交叉确认。

监管参考的状态截至 2026 年 5 月 13 日:TDDDG(2024 年 5 月 14 日由 TTDSG 改名;至 2026 年 5 月期间 § 25 无文本修改);§ 25 TDDDG;§ 28(1) No. 13 TDDDG;DSK《Orientierungshilfe für Anbieter:innen von digitalen Diensten》v1.2 版,2024 年 11 月 20 日(仍生效;截至 2026 年 5 月无后续版本;确认无 Cookie 跟踪在访问终端设备信息时也触发 § 25);Einwilligungsverwaltungsverordnung(EinwV),2024 年 12 月 20 日由 Bundesrat 批准,2025 年 4 月 1 日生效;BGH I ZR 7/16 Planet49,2020 年 5 月 28 日;CJEU C-673/17 Planet49,2019 年 10 月 1 日(ECLI:EU:C:2019:801);CJEU C-582/14 Breyer,2016 年 10 月 19 日(ECLI:EU:C:2016:779);CJEU C-621/22 KNLTB,2024 年 10 月 4 日(ECLI:EU:C:2024:857);EDPB 指南 2/2023 v2.0,2024 年 10 月 7 日;EDPB 指南 1/2024,2024 年 10 月 8 日;草案 EDPB 关于假名化的指南 01/2025(2025 年 1 月 16 日通过草案;截至 2026 年 5 月未发布最终版);EDPB-EDPS 关于 Digital Omnibus 的联合意见 2/2026,2026 年 2 月 11 日;EDPB 5/2019 意见。持续的 2024-2026 年 BayLDA / NRW LDI / BlnBDI / HmbBfDI 对未经同意部署 GA4 / Meta Pixel / Hotjar 的 § 25 TDDDG 执法。

免费获取 Statnive