TDDDG § 25 في ألمانيا: قيد المعالجة من جانب الخادم فقط
§ 25 TDDDG الألماني أشد صرامة من CNIL — ويعيد تشكيل ما يعنيه «بدون موافقة» شمال نهر الراين. هذه هي القاعدة، وكيفية التصميم لها.
هذا بحث في الخصوصية وليس استشارة قانونية. راجعوا التذييل للاطلاع على إخلاء المسؤولية الكامل.
الخلاصة
- § 25 TDDDG هو القيد المُلزِم لأي نشر عبر أوروبا. اضبطوا لألمانيا؛ بقية الاتحاد الأوروبي يتراكب صعوداً.
- المصلحة المشروعة لا تحل محل موافقة § 25. إرشادات DSK Orientierungshilfe الإصدار 1.2 بتاريخ 20 نوفمبر 2024 لا لبس فيها بشأن ذلك — وتبقى الإرشادات السارية حتى مايو 2026.
- البنية الوحيدة بدون موافقة هي معالجة خادمية محضة بدون Cookie، بدون localStorage، بدون مسبارات بصمة، بدون قراءة معرّفات من جانب العميل. «Zugriff auf Informationen» في § 25 يمتد إلى ما هو أبعد من Cookies إلى أي قراءة لبيانات من جانب العميل.
- تقييم المصلحة المشروعة الموثّق وفق المادة 6(1)(f) لا يزال يجب أن يكون موجوداً لطبقة معالجة GDPR التي تلي الاستيعاب من جانب الخادم — LIA لا يفتح إعفاء § 25، لكنه يؤسّس معالجة البيانات الشخصية.
- الإنفاذ نشط عبر BayLDA و NRW LDI و BlnBDI و HmbBfDI في 2024-2026 — يستهدف نشر GA4 / Meta Pixel / Hotjar بدون موافقة متوافقة مع TDDDG. أقصى عقوبة: 300,000€ وفق § 28(1) رقم 13 بالإضافة إلى غرامات المادة 83 من GDPR بالتوازي.
لماذا ألمانيا مختلفة
خريطة الاتحاد الأوروبي لعام 2026 للتحليلات بدون موافقة ليست موحّدة. CNIL الفرنسية بنت إعفاء قياس جمهور مفصّلاً — Garante الإيطالية و AEPD الإسبانية و AP الهولندية بنوا إعفاءاتهم الخاصة. ألمانيا لم تفعل. Datenschutzkonferenz — الهيئة المنسّقة لجميع 17 منظماً ألمانياً لحماية البيانات — أكّدت في Orientierungshilfe für Anbieter:innen von digitalen Diensten (الإصدار 1.2، 20 نوفمبر 2024) أن § 25 TDDDG هو lex specialis والموافقة أو الضرورة الصارمة فقط تسمحان بالتخزين أو الوصول على الجهاز الطرفي للمستخدم. المصلحة المشروعة وفق المادة 6(1)(f) من GDPR ليست أساساً بديلاً صالحاً لعملية التخزين/الوصول نفسها.
هذا يجعل ألمانيا القيد المُلزِم لأي نشر تحليلات عبر أوروبا. المشغّل الذي يضبط لألمانيا مضبوط لكل مكان آخر في الاتحاد الأوروبي. المشغّل الذي يضبط فقط لـ Sheet 16 الفرنسية لا يزال يدين للمشغّل الألماني بإجابة منفصلة وأكثر صرامة.
ما يلي هو الإجابة الألمانية. القاعدة نفسها، وإعادة التسمية في مايو 2024، والإعفاء الضيق، ولماذا «خادمي فقط» هو موقف التشغيل، وتقييم المصلحة المشروعة وفق المادة 6(1)(f) من GDPR الذي يجب مع ذلك أن يكون موجوداً، وأين يقف Statnive Live، وكتلة سياسة الخصوصية باللغة الألمانية التي يمكن للمشغّل لصقها، وأحداث التدقيق الثمانية للخصوصية التي تنتج مسار المساءلة.
TDDDG، باختصار
Telekommunikation-Telemedien-Datenschutz-Gesetz الألماني دخل حيز التنفيذ في 1 ديسمبر 2021 بصفته TTDSG (نقل الحكومة الفيدرالية للمادة 5(3) من ePrivacy إلى القانون الوطني). في مايو 2024، عندما نقلت ألمانيا قانون الخدمات الرقمية للاتحاد الأوروبي، أُعيد تسمية القانون إلى TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. الجوهر لم يتغير؛ الاسم فقط عكس نطاق DSA الأوسع.
§ 25 هو حكم Cookie/التخزين التشغيلي والنقل المباشر للمادة 5(3) من توجيه ePrivacy 2002/58/EC (بصيغته المعدلة بـ 2009/136/EC).
§ 25(1) TDDDG (ترجمة إنجليزية): «تخزين معلومات في الأجهزة الطرفية للمستخدم النهائي أو الوصول إلى المعلومات المخزّنة بالفعل في الأجهزة الطرفية يُسمح به فقط إذا كان المستخدم النهائي قد وافق على أساس معلومات واضحة وشاملة. يجب أن تُقدَّم المعلومات للمستخدم النهائي والموافقة وفقاً للائحة (الاتحاد الأوروبي) 2016/679 [GDPR].»
§ 25(2) يستثني فقط حالتين:
- (i) الغرض الوحيد هو نقل رسالة عبر شبكة اتصالات عامة، و
- (ii) التخزين أو الوصول ضروري للغاية لتوفير خدمة رقمية طلبها المستخدم صراحةً.
هذا هو الإعفاء بالكامل. لا يوجد إعفاء قياس جمهور في النص الألماني. لا يوجد ما يعادل Sheet 16 الفرنسية أو إرشادات Cookies الإيطالية لعام 2021 أو دليل قياس الجمهور الإسباني. § 25(2) يغطي الحالات الضرورية بشكل صارم — Cookie سلة التسوق، جلسة مصادقة، رمز CSRF — وهذه هي القائمة بأكملها.
العقوبات وفق § 28(1) رقم 13 و § 28(2) TDDDG تصل إلى 300,000€ لكل انتهاك. غرامات GDPR وفق المادة 83 (حتى 20 مليون يورو أو 4% من الإيرادات العالمية) تنطبق بالتوازي لطبقة معالجة البيانات الشخصية.
موقف DSK ولماذا المصلحة المشروعة لا تنقذكم
Datenschutzkonferenz (DSK) — الهيئة المنسّقة لـ DPAs الفيدرالية والولائية في ألمانيا — نشرت Orientierungshilfe für Anbieter:innen von digitalen Diensten الإصدار 1.2 في 20 نوفمبر 2024. الإرشادات لا لبس فيها بشأن نقطتين.
النقطة الأولى: § 25 TDDDG هو lex specialis. لأي تخزين أو وصول على الأجهزة الطرفية للمستخدم، يحكم متطلب الموافقة (أو الضرورة الصارمة) لـ § 25. أحكام الأساس القانوني في المادة 6 من GDPR لا توفّر أساساً بديلاً لعملية التخزين/الوصول نفسها.
النقطة الثانية: المصلحة المشروعة لا يمكن أن تحل محل موافقة § 25. حتى إذا كان لدى المشغّل تقييم مصلحة مشروعة موثّق بشكل مثالي وفق المادة 6(1)(f)، فإن LIA يغطي معالجة البيانات الشخصية بعد جمعها — وليس عملية جمعها عبر الوصول إلى الأجهزة الطرفية. الاثنان محكومان بطبقات مختلفة ويتطلبان أسساً مختلفة.
التأثير العملي: نشر تحليلات يضع Cookie، أو يكتب إلى localStorage، أو يقرأ معرّفاً من جانب العميل يُشغّل § 25 TDDDG. النشر يحتاج إلى موافقة. نقطة. لا أي قدر من تفكير «المصلحة المشروعة» يستعيد متطلب الموافقة في طبقة § 25.
هذا هو السبب في أن الموقف الألماني أكثر صرامة بكثير من موقف فرنسا. إعفاء Sheet 16 لـ CNIL يفسّر المادة 5(3) من ePrivacy باستثناء قياس جمهور محدّد مُدمج في النقل الوطني. § 25(2) الألماني يفسّر المادة 5(3) من ePrivacy بدون استثناء قياس الجمهور ذاك. كلا التفسيرين متّسقان مع التوجيه الأساسي؛ ينزلان ببساطة في أماكن مختلفة ضمن السلطة التقديرية للدولة العضو التي يسمح بها التوجيه.
البنية الوحيدة بدون موافقة: خادمية فقط
البنية الوحيدة التي تنجو من § 25 TDDDG بدون موافقة هي تلك التي لا يخزّن فيها خادم المشغّل على المعلومات من الأجهزة الطرفية للزائر ولا يصل إليها. المتصفح يرسل فقط ما يرسله افتراضياً كجزء من طلب HTTP لا مفر منه — IP، User-Agent، رؤوس Referer. يقرأ الخادم تلك الرؤوس، ويستخلص تحليلاته، ولا يكتب أي شيء عائد. لا Cookie. لا localStorage. لا مسبار بصمة. لا بناء معرّف من جانب العميل. لا تعليمات للجهاز لإرسال معلومات إضافية.
هذا يقع خارج § 25 TDDDG تماماً. مُحفّز «التخزين أو الوصول على الأجهزة الطرفية» في المادة 5(3) من ePrivacy لا ينطلق لأنه لا يحدث تفاعل مع الأجهزة الطرفية يتجاوز السلوك الافتراضي لطلب المتصفح. إرشادات EDPB 2/2023 v2.0 تغطي صراحة هذا الاستثناء: حيث لا يأمر المشغّل الجهاز بإرسال المعلومات ولا يكتب إلى أو يقرأ من تخزين الجهاز، المادة 5(3) لا تنطبق.
هذه أيضاً البنية الوحيدة بدون موافقة التي تحقّق جميع الـ 27 دولة عضو بما في ذلك الأشد صرامة. إنها مبالغ فيها لفرنسا؛ ضرورية لألمانيا. المشغّلون الذين لديهم حركة مرور ألمانية — حتى حصة صغيرة — يجب أن يصمّموا لخط الأساس الخادمي فقط لأن تكلفة هندسة مكدّسَين (واحد لألمانيا، واحد لكل مكان آخر) تتجاوز دائماً تقريباً تكلفة خط الأساس الصارم الموحّد.
LIA وفق المادة 6(1)(f) من GDPR — لا يزال مطلوباً
تجاوز § 25 TDDDG في طبقة الأجهزة الطرفية لا يلغي سؤال GDPR. بمجرد أن يقرأ الخادم IP و User-Agent و Referer من الطلب، فهو يعالج بيانات شخصية. حكم محكمة العدل الأوروبية في Breyer (C-582/14، 19 أكتوبر 2016) حسم أن IP الديناميكي هو بيانات شخصية في أيدي مشغّل موقع. User-Agent هو معرّف قابل للبصم بمفرده.
الأساس القانوني وفق المادة 6 من GDPR لهذه المعالجة هو واقعياً المادة 6(1)(f) — المصالح المشروعة — لقياس جمهور الطرف الأول. DSK قبلت هذا الموقف في إرشاداتها لعام 2024، لكن فقط بشرط صريح بأن متطلب الوصول إلى الأجهزة الطرفية في § 25 TDDDG مُحقَّق بشكل مستقل (أي ينطبق استثناء الضرورة الصارمة، أو لا يحدث وصول إلى الأجهزة الطرفية). البنية الخادمية فقط تستوفي ذلك الشرط بحكم البناء.
تقييم المصلحة المشروعة نفسه يجب أن يكون موثّقاً وفق إرشادات EDPB 1/2024:
- تحديد المصلحة. تشغيل وتحسين وتأمين موقع المسؤول عن المعالجة (المكوّن الوظيفي المعترف به في Breyer الفقرات 60–64)؛ قياس الجمهور وتفاعل المحتوى (المكوّن التجاري المعترف به في محكمة العدل الأوروبية C-621/22 KNLTB الفقرات 47–49، صدر في 4 أكتوبر 2024).
- الضرورة. لا يمكن تحقيق قياس الجمهور بشكل معقول بوسائل أقل تطفّلاً مع إنتاج المقاييس المطلوبة. التقليل: لا معرّف دائم؛ IP الخام يُتلَف قبل التخزين؛ ملح يومي دوّار محدود بالموقع؛ اقتطاع /24 IPv4؛ User-Agent مُقلَّص إلى الإصدارات الرئيسية؛ المرجع مُقلَّص إلى المضيف فقط؛ تجميع إلى أقرب 10.
- الموازنة. مصالح صاحب البيانات: المادة 7 من الميثاق (الحياة الخاصة) والمادة 8 (حماية البيانات). التوقعات المعقولة: زائر يتوقع من المشغّل معرفة أعداد الزيارات الإجمالية وشعبية الصفحة، وليس رصداً فردياً عبر الأيام أو عبر المواقع — البنية تطابق ذلك التوقع. التأثير: ضئيل — لا إعلان سلوكي، لا تنميط، لا مشاركة مع طرف ثالث، لا قرارات تؤثر على صاحب البيانات. التخفيفات: إتلاف الملح في نهاية اليوم، اقتطاع IP، سقف الاحتفاظ، إلغاء الاشتراك وفق المادة 21، DPA في مكانها حيث ينطبق، استضافة في الاتحاد الأوروبي فقط، مسارات كود مفتوحة المصدر للنشر بالاستضافة الذاتية.
LIA ليس تمريناً لمرة واحدة. EDPB يوصي بتحديث سنوي وعند التغيير الجوهري — على سبيل المثال، عند إحالة محكمة العدل الأوروبية التي تؤثر على تحليل Breyer، أو عند اعتماد Digital Omnibus، أو عند تحديثات الإرشادات الوطنية الألمانية.
أين يقف Statnive Live
Statnive Live مبني ليحقّق § 25 TDDDG بحكم البناء. خطوات تكوين المشغّل لموقع ألماني:
- اختاروا الولاية القضائية DE. لوحة سياسة الموقع في Statnive Live تكشف تعداد 11 ولاية قضائية. اختيار
DEيُشغّل مُحقِّق القاعدة الصارمة. - مُحقِّق القاعدة الصارمة يحظر permissive. المشغّل الألماني لا يستطيع اختيار وضع
permissive— المُحقِّق يرفض الحفظ مع الخطأ: «وضع الموافقة المتساهل غير متوافق مع § 25 TDDDG (ألمانيا). اختاروا consent-free أو consent-required.» هذا مفروض عند حفظ السياسة وعند تحميل السياسة في كل طلب استيعاب، لذا لا يمكن تغيير التكوين خارج النطاق. - الافتراضي إلى consent-free. هذا يطفئ Cookies و localStorage والبصمة في الأداة؛ يُفعّل توقيع زائر BLAKE3-HMAC اليومي الدوّار من جانب الخادم؛ يُفعّل تحويل المرجع المحدود بالمضيف؛ يُفعّل اقتطاع IP؛ يُفعّل تصغير User-Agent. البنية تطابق خط أساس «لا تخزين أو وصول إلى الأجهزة الطرفية» لـ § 25 TDDDG.
- معرّف Cookie مُجزّأ في حالة السكون، لكن لا Cookie مُعيَّن. عندما يكون
consent-freeنشطاً، لا يُعيَّن أي Cookie_statniveعلى المتصفح. لا يوجد Cookie لتجزئته في حالة السكون في ذلك الوضع. (في وضعconsent-requiredأوhybridمع منح الموافقة، يُصدَر UUID إلى المتصفح؛ التخزين من جانب الخادم هوSHA-256(master_secret || site_id || cookieID)مع بادئةh:. المتصفح يرى UUID الخام؛ قاعدة البيانات لا تراه أبداً.) - GPC و DNT مُحترَمان. في الولاية القضائية
DE،consent.respect_gpc = trueهو الافتراضي. الزوار الذين يرسلونSec-GPC: 1يُقصَر دائرتهم قبل حساب معرّف الزائر — لا يُنشَأ أي سجل مستعار لزائر يرفض، لذا لا يوجد شيء لحذفه لأنه لم يُكتَب شيء. منشور GPC والوضع الهجين يغطي خطة الاختبار من البداية إلى النهاية. - نقاط نهاية DSAR مُحترَمة.
POST /api/privacy/opt-outوGET /api/privacy/accessوPOST /api/privacy/eraseمكشوفة على كل نشر Statnive Live بصرف النظر عن الولاية القضائية. المشغّل الألماني لديه التوصيل حتى لو كان، في وضعconsent-free، حجم طلبات الوصول والمحو على نشر بدون Cookie منخفض بطبيعته — معظم الزوار لا يتركون أي سجل لكل زائر بمجرد أن يدور الملح. - مسارات إفصاح قانونية عامة مُدمَجة في الثنائي.
/privacyو/legal/privacy-policy/enو/legal/privacy-policy/deو/legal/liaو/legal/dpaتُقدَّم بواسطة نفس ثنائي Go. مسار/legal/privacy-policy/deيقدّم البند الألماني الحرفي الموصوف في القسم التالي.
تعداد 11 ولاية قضائية (DE / FR / IT / ES / NL / BE / IE / UK / OTHER-EU / IR / OTHER-NON-EU) وأوضاع الموافقة الأربعة (permissive / consent-free / consent-required / hybrid) يتركّبان في 44 خلية. صف DE لديه خليتين صالحتين فقط — consent-free و consent-required. مهمة المُحقِّق هي منع وجود الخلايا الـ 22 الأخرى.
كتلة سياسة الخصوصية الألمانية
مشغّل يدير وضع consent-free في Statnive Live لموقع ألماني يمكنه تقديم البند التالي في /datenschutz (أو الصفحة القانونية المكافئة). الصياغة هي النص الحرفي من بحث 53 §08 وتعكس تحليل § 25 TDDDG أعلاه.
Reichweitenmessung. Diese Website verwendet [Statnive Live] zur rein server-seitigen Reichweitenmessung. Es werden keine Cookies, kein Local Storage und keine vergleichbaren Technologien auf Ihrem Endgerät gespeichert oder ausgelesen. Insbesondere findet kein Zugriff im Sinne des § 25 Abs. 1 TDDDG statt. Verarbeitet werden ausschließlich Daten, die Ihr Browser für die Auslieferung der Seite ohnehin überträgt (IP-Adresse, Browser-Kennung in stark reduzierter Form, aufgerufene URL, Referrer-Domain). Wir kürzen Ihre IP-Adresse vor jeder weiteren Verarbeitung um das letzte Oktett und ersetzen sie durch eine pseudonymisierte Signatur, deren Salt nach 24 Stunden vernichtet wird.
Rechtsgrundlage. Soweit personenbezogene Daten im Sinne der DSGVO verarbeitet werden, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Eine Interessenabwägung gemäß EDSA-Leitlinien 1/2024 wurde dokumentiert.
Widerspruchsrecht gemäß Art. 21 DSGVO: [OPT-OUT-BUTTON].
البند يفعل ثلاثة أشياء في وقت واحد. يخبر الزائر بما يحدث (reine server-seitige Reichweitenmessung)؛ يخبر المنظّم لماذا § 25 TDDDG لا ينطبق (لا تخزين أو وصول إلى الأجهزة الطرفية)؛ ويخبر صاحب البيانات بماذا يكون أساس GDPR (المادة 6(1)(f) بالإضافة إلى LIA موثّق) وكيف يعترض (رابط إلغاء اشتراك المادة 21).
ليس بديلاً عن سياسة الخصوصية الخاصة بالمشغّل. المشغّل لا يزال يدين بإشعار كامل يغطي هوية المسؤول عن المعالجة، والأغراض، وفئات البيانات، وفترة الاحتفاظ، والمستلمين، والحقوق المعدّدة في المواد 13–22 من GDPR. البند أعلاه يندرج ضمن قسم Reichweitenmessung من ذلك الإشعار الأوسع.
إلغاء الاشتراك في المادة 21 مُنفَّذ في Statnive Live كـ Cookie ضروري بشكل صارم يعبّر عن اختيار المستخدم — وهو مسموح به وفق § 25(2)(ii) TDDDG لأنه ينفّذ تفضيل الخدمة الذي طلبه المستخدم صراحة (الحق في الاعتراض). بدلاً من ذلك، يمكن استمرار إلغاء الاشتراك من جانب الخادم عبر قائمة قمع مفتاحها توقيع h: للزائر مع TTL مناسب.
مسار التدقيق — 8 أحداث خصوصية
Statnive Live يُصدر 8 أحداث تدقيق منظّمة تغطي سطح الخصوصية والقانون. هذه هي دليل المساءلة وفق المادة 28(3)(h) جاهزة لـ DPO أو مدقق:
privacy.opt_out_received— اعتراض المادة 21 سُجّل.privacy.dsar_access_requested— طلب حق الوصول وفق المادة 15 بُدِئ.privacy.dsar_erase_requested— طلب حق المحو وفق المادة 17 بُدِئ.privacy.consent_given—statnive.acceptConsent()استُدعِي (مناسب في أوضاعconsent-requiredوhybrid، وليسconsent-free).privacy.consent_withdrawn—statnive.withdrawConsent()استُدعِي.legal.lia_viewed— صفحة/legal/liaقُدِّمت.legal.dpa_viewed— صفحة/legal/dpaقُدِّمت.legal.privacy_policy_viewed— صفحة/legal/privacy-policy/{lang}قُدِّمت.
لنشر consent-free ألماني، المزيج النموذجي للأحداث هو opt_out_received (حجم منخفض — معظم الزوار لا يعترضون أبداً لأن البنية غير قابلة للاعتراض)، و dsar_*_requested العرضي (حقوق صاحب البيانات هي ميزات إتاحة تقنية بصرف النظر عن الوضع)، وتدفق ثابت من legal.*_viewed (تتبع مسرح الشفافية أن الزوار يقرأون صفحات السياسة).
الأحداث تُصدر إلى أي وعاء سجل تدعمه بيئة المشغّل — stdout/stderr في النشر بالحاويات، syslog على المضيفين التقليديين، أو جدول تدقيق مخصّص في إعدادات الاستضافة الذاتية. أحداث التدقيق هي JSON منظّم بحيث تُحلَّل بشكل نظيف في Loki أو Elasticsearch أو أي خط أنابيب سجل منظّم.
مسار التدقيق هو ما يُشير إليه المشغّل إذا فتح DPA البرليني أو BayLDA البافاري تفتيشاً. البند في سياسة الخصوصية هو الموقف العام؛ أحداث التدقيق هي الدليل المتزامن على أن الموقف مُنفَّذ فعلاً.
ما الذي يمنحه هذا لمشغّل ألماني
النتيجة العملية:
- لا لافتة Cookie مطلوبة لتدفق عمل قياس الجمهور، على أساس أنه لا يحدث أي تخزين أو وصول إلى الأجهزة الطرفية على الإطلاق — الموقف الأوروبي الأشد صرامة الحالي مُحقَّق بحكم البناء، وليس بتفسير إعفاء ePrivacy.
- LIA وفق المادة 6(1)(f) موثّق كأساس GDPR لمعالجة البيانات الشخصية التي يقوم بها الخادم بعد قراءة IP و User-Agent و Referer عند الاستيعاب. قالب LIA في
/legal/lia؛ خصّصوه لسياق معالجة المشغّل مع مستشار قانوني. - كتلة سياسة الخصوصية التي تُسمّي § 25 Abs. 1 TDDDG وتشرح لماذا لا ينطبق. الكتلة تعيش في
/legal/privacy-policy/deوجاهزة للصق في صفحة/datenschutzالخاصة بالمشغّل. - تكوين يحقّق جميع الـ 27 دولة عضو بنشر الخلية الأشد صرامة. إضافة حركة المرور الفرنسية أو الإيطالية أو الهولندية لا تتطلب إعادة هندسة؛ التكوين الموجود يتأهل أيضاً لـ CNIL Sheet 16 وإرشادات Cookies الإيطالية لعام 2021 ودليل قياس الجمهور لـ AEPD وموقف Cookies التحليلية للـ AP الهولندي. الخريطة قطراً بقطر تجول في الفروق.
- توافق مستقبلي مع اقتراح المادة 88a(3)(c) من Digital Omnibus. إذا اعتُمد نص المفوضية سليماً، نشر
consent-freeلـ Statnive Live يتأهل في اليوم الأول.
ما لا يمنحه: القدرة على ضبط لافتة موافقة ألمانية مجاناً، أو تشغيل GA4 في ألمانيا على أساس المصلحة المشروعة. لا يمكن تحقيق أي منهما؛ إرشادات DSK لعام 2024 تغلق كلا المسارين.
الأسئلة الشائعة
هل لا يزال المشغّل الألماني يحتاج إلى لافتة لأي غرض؟
ربما — لكن ليس لقياس الجمهور. لافتة الموافقة مطلوبة فقط للمعالجة التي تُشغّل § 25(1) TDDDG (التخزين أو الوصول على الجهاز) وتقع خارج § 25(2)(i)-(ii). يشمل ذلك أي Cookies إعلانية من طرف ثالث، وبكسلات إعادة الاستهداف، وأدوات المشاركة الاجتماعية التي تُعيّن Cookies، ومقاطع فيديو YouTube/Vimeo المضمّنة التي تُعيّن Cookies عند تحميل الصفحة، و Cookies اختبار A/B، وما إلى ذلك. لتلك الأغراض يدين المشغّل بلافتة مع UX رفض سهل مثل القبول واعتراف لائحة إدارة الموافقة الألمانية حيث ينطبق.
طبقة قياس الجمهور — أعداد الزوار، شعبية الصفحة، تحليل المرجع — لا تحتاج إلى لافتة بموجب الشروط في هذا المنشور. المشغّل يختار ما إذا كان سيُوحّد التحليلات على طبقة قياس الجمهور فقط أو يضيف طبقة منفصلة تتطلب موافقة لإسناد التجارة الإلكترونية أو اختبار A/B أو إسناد حملة التسويق.
ماذا عن لائحة إدارة الموافقة (EinwV)؟
لائحة إدارة الموافقة الألمانية — Einwilligungsverwaltungsverordnung — وافق عليها Bundesrat في 20 ديسمبر 2024 ودخلت حيز التنفيذ في 1 أبريل 2025 وفق § 26(2) TDDDG. تعترف بخدمات إدارة المعلومات الشخصية (PIMS)؛ يجب على المواقع احترام الإشارات من خدمات إدارة الموافقة المعترف بها. EinwV لا تغيّر القاعدة الجوهرية § 25 — تضيف مسار PIMS معترف به للموافقة التي تتطلبها القاعدة عند الحاجة إلى الموافقة.
لنشر consent-free، EinwV غير ذات صلة إلى حد كبير لأنه لا يُطلَب موافقة. لنشر consent-required أو hybrid، مسار اعتراف EinwV هو الآلية طويلة الأجل لاحترام إشارات الموافقة على مستوى المتصفح — راجعوا منشور GPC والوضع الهجين لمعرفة كيف ينفّذ Statnive Live اليوم معالجة الإشارات على مستوى المتصفح.
هل يغيّر حكم BGH Planet49 أي شيء؟
حكم المحكمة الفيدرالية الألمانية في BGH I ZR 7/16 Planet49 (صدر في 28 مايو 2020، بعد محكمة العدل الأوروبية C-673/17 في 1 أكتوبر 2019) أكّد في القانون الألماني أن مربعات الاختيار المُحدَّدة مسبقاً لا تنتج موافقة صالحة وأن نُهج إلغاء الاشتراك وفق § 15(3) TMG السابق كانت غير كافية بعد GDPR. الحكم يعزّز اتجاه الموافقة في § 25 — لا يضعفه. المشغّلون الذين يفسّرون BGH Planet49 كتخفيف لنظام الموافقة الألماني قد أساءوا قراءة الحكم.
هل يمكنني استخدام المصلحة المشروعة لـ Cookies في ألمانيا إذا كان LIA الخاص بي شاملاً جداً؟
لا. إرشادات DSK لعام 2024 صريحة: المصلحة المشروعة لا تحل محل موافقة § 25 TDDDG في طبقة الوصول إلى الأجهزة الطرفية. LIA موثّق بشكل شامل مطلوب لأساس المادة 6 من GDPR للمعالجة اللاحقة للبيانات الشخصية، لكنه لا يفتح إعفاء تخزين Cookie في طبقة § 25. هذا هو الموقف المتّسق لرأي EDPB 5/2019 ومُؤكَّد بدليل ICO البريطاني الصادر في أبريل 2026 بشأن تقنيات التخزين والوصول.
طريقة تحقيق القانون الألماني بدون موافقة هي عدم الكتابة إلى الجهاز في المقام الأول. هندسة Cookie للخارج؛ سؤال المصلحة المشروعة يصبح سؤال المادة 6 من GDPR فقط، وليس سؤال § 25.
ما تفعلونه، وما تتجنّبونه
| افعلوا | تجنّبوا |
|---|---|
اختاروا الولاية القضائية DE في Statnive Live؛ الافتراضي إلى وضع consent-free (مُحقِّق القاعدة الصارمة يفرضه). | ضبط موقع ألماني على وضع permissive — § 25 TDDDG يحظره؛ المُحقِّق يرفض الحفظ. |
| احترموا GPC و DNT افتراضياً في وضع الاتحاد الأوروبي؛ قِصَر دائرة الاستيعاب قبل حساب توقيع الزائر. | معاملة التحليلات بدون Cookies على أنها متوافقة تلقائياً مع § 25 — DSK أكّدت أن الوصول إلى معلومات الجهاز النهائي يُشغّل § 25 أيضاً، حتى بدون Cookies. |
انشروا بند Reichweitenmessung الحرفي في /datenschutz يُسمّي § 25 Abs. 1 TDDDG وحق الاعتراض وفق المادة 21. | ادعاء «لا حاجة إلى لافتة موافقة في DE» بدون LIA الموثّق + إفصاح سياسة الخصوصية. موقف DSK يتطلب كليهما. |
| وثّقوا تقييم المصلحة المشروعة وفق المادة 6(1)(f) وفق إرشادات EDPB 1/2024 لمعالجة البيانات الشخصية التي يقوم بها الخادم عند الاستيعاب. | الاعتماد على المصلحة المشروعة كبديل لموافقة § 25 في طبقة الوصول إلى الأجهزة الطرفية. DSK Orientierungshilfe الإصدار 1.2 لا لبس فيها: لا يمكن. |
| استشيروا مستشاراً قانونياً ألمانياً مؤهّلاً — عادةً Fachanwalt für IT-Recht — قبل النشر. | تشغيل GA4 / Meta Pixel / Hotjar قبل الموافقة في ألمانيا. BayLDA و NRW LDI و BlnBDI و HmbBfDI كلها عاقبت المشغّلين على ذلك. |
الخلاصة النهائية
§ 25 TDDDG الألماني هو الموقف الأوروبي الحالي الأشد صرامة بشأن موافقة الأجهزة الطرفية. لا يوجد إعفاء قياس جمهور في القانون الألماني، DSK أكّدت أن المصلحة المشروعة لا تحل محل متطلب § 25، والعقوبات تصل إلى 300,000€ لكل انتهاك وفق § 28(1) رقم 13 بالإضافة إلى غرامات GDPR وفق المادة 83.
البنية الوحيدة بدون موافقة التي تنجو من ألمانيا هي تلك التي لا يحدث فيها أي تخزين أو وصول على الأجهزة الطرفية. وضع consent-free في Statnive Live بالإضافة إلى الولاية القضائية DE هو بالضبط تلك البنية، مفروضة بمُحقِّق قاعدة صارمة يرفض حفظ تكوين ألماني متساهل. كتلة سياسة الخصوصية في /legal/privacy-policy/de تُسمّي § 25 Abs. 1 TDDDG وحق الاعتراض وفق المادة 21. أحداث التدقيق الثمانية للخصوصية تُصدر مسار المساءلة المتزامن.
المشغّل الذي يضبط لألمانيا هو، بحكم البناء، مضبوط لبقية الاتحاد الأوروبي. خط الأساس الصارم يتراكب صعوداً. دليل تحليلات الاتحاد الأوروبي بدون موافقة لعام 2026 هو الإطار الأوسع؛ منشور CNIL Sheet 16 هو البديل الفرنسي؛ الخريطة قطراً بقطر تجول في الدول الأعضاء المتبقية. مسار المشغّل الألماني هو الذي وصفه هذا المنشور.
هذا بحث في الخصوصية وليس استشارة قانونية. Statnive Live، المُكوَّن في وضع consent-free للولاية القضائية DE مع consent.respect_gpc = true وتقييم مصلحة مشروعة موثّق، هو مُهندَس للتأهل كنشر بلا تخزين أو وصول إلى الأجهزة الطرفية وفق § 25 TDDDG. البنية تزيل مُحفّز § 25(1)؛ LIA يغطي أساس المادة 6(1)(f) من GDPR للمعالجة اللاحقة. كل عميل Statnive يبقى المسؤول عن البيانات ويتحمّل مسؤولية تكوينه وDPIA الخاصة به. اعتمدوا على مستشار قانوني ألماني مؤهّل — DPO المسجّل أو Fachanwalt für IT-Recht — قبل النشر.
حالة المراجع التنظيمية حتى 13 مايو 2026: TDDDG (أُعيد تسميته من TTDSG في 14 مايو 2024؛ لا تعديل نصي على § 25 بين ذلك ومايو 2026)؛ § 25 TDDDG؛ § 28(1) رقم 13 TDDDG؛ DSK Orientierungshilfe für Anbieter:innen von digitalen Diensten الإصدار 1.2 بتاريخ 20 نوفمبر 2024 (لا تزال سارية؛ لا إصدار خلف حتى مايو 2026؛ تؤكّد أن التتبع بدون Cookies يُشغّل § 25 أيضاً عندما يصل إلى معلومات الجهاز النهائي)؛ Einwilligungsverwaltungsverordnung (EinwV) وافق عليها Bundesrat في 20 ديسمبر 2024، سارية في 1 أبريل 2025؛ BGH I ZR 7/16 Planet49 بتاريخ 28 مايو 2020؛ محكمة العدل الأوروبية C-673/17 Planet49 بتاريخ 1 أكتوبر 2019 (ECLI:EU:C:2019:801)؛ محكمة العدل الأوروبية C-582/14 Breyer بتاريخ 19 أكتوبر 2016 (ECLI:EU:C:2016:779)؛ محكمة العدل الأوروبية C-621/22 KNLTB بتاريخ 4 أكتوبر 2024 (ECLI:EU:C:2024:857)؛ إرشادات EDPB 2/2023 v2.0 بتاريخ 7 أكتوبر 2024؛ إرشادات EDPB 1/2024 بتاريخ 8 أكتوبر 2024؛ مسودة إرشادات EDPB 01/2025 بشأن الترميز المستعار (اعتُمدت كمسودة في 16 يناير 2025؛ النهائي لم يُنشر بعد حتى مايو 2026)؛ الرأي المشترك EDPB-EDPS 2/2026 بتاريخ 11 فبراير 2026 بشأن Digital Omnibus؛ رأي EDPB 5/2019. إنفاذ مستمر 2024-2026 لـ § 25 TDDDG من قبل BayLDA / NRW LDI / BlnBDI / HmbBfDI ضد GA4 / Meta Pixel / Hotjar المنشورة بدون موافقة.