TDDDG § 25 در آلمان: محدودیت «فقط سمت سرور»
ماده § 25 از TDDDG آلمان از CNIL هم سختگیرانهتر است و معنای «بدون رضایت» را در شمال راین از نو تعریف میکند. این قاعده چیست و چطور باید برای آن طراحی کنید.
این یک پژوهش در حوزه حریم خصوصی است، نه مشاوره حقوقی. برای دیدن سلبمسئولیت کامل، به پاورقی مراجعه کنید.
خلاصه
- § 25 از TDDDG محدودیت الزامآور هر استقرار سراسری در اروپاست. برای آلمان پیکربندی کنید؛ بقیه اتحادیه اروپا روی همین بنا، رو به بالا ساخته میشوند.
- منافع مشروع جایگزین رضایت § 25 نمیشود. سند DSK با عنوان Orientierungshilfe (راهنمای جهتدهی) نسخه 1.2 مورخ 20 نوامبر 2024 در این مورد کاملاً صریح است و تا ماه می 2026 همچنان راهنمای معتبر و عملیاتی باقی مانده است.
- تنها معماری بدونرضایت، پردازش کاملاً سمت سرور است؛ بدون کوکی، بدون localStorage، بدون پویشهای اثرانگشت مرورگر و بدون هیچ خواندنِ شناسه سمت کلاینت. عبارت «Zugriff auf Informationen» (دسترسی به اطلاعات) در § 25 فراتر از کوکیها میرود و هر خواندنِ داده سمت کلاینت را در بر میگیرد.
- یک ارزیابی مستندِ منافع مشروع طبق Article 6(1)(f) همچنان باید وجود داشته باشد؛ این ارزیابی برای لایه پردازشِ GDPR است که پس از دریافتِ سمت سرور انجام میشود. این ارزیابی (LIA) قفلِ معافیتِ § 25 را باز نمیکند، اما پایهای برای پردازش دادههای شخصی فراهم میآورد.
- اجرای قانون در BayLDA، NRW LDI، BlnBDI و HmbBfDI در سالهای 2024 تا 2026 فعال است و استقرارهای GA4 / Meta Pixel / Hotjar را که رضایت منطبق با TDDDG ندارند، هدف میگیرد. حداکثر جریمه: 300,000 یورو طبق § 28(1) No. 13 بهعلاوه جریمههای GDPR طبق Article 83 بهصورت موازی.
چرا آلمان فرق دارد
نقشه اروپایی آنالیتیکس بدونرضایت در سال 2026 یکدست نیست. CNIL فرانسه یک معافیتِ سنجش مخاطب با جزئیات کامل ساخته است؛ Garante ایتالیا، AEPD اسپانیا و AP هلند هم نسخه خود را ساختهاند. اما آلمان چنین کاری نکرده است. کنفرانس حفاظت از دادهها (Datenschutzkonferenz) — یعنی نهاد هماهنگکننده هر 17 رگولاتورِ حفاظت از داده آلمان — در سندِ Orientierungshilfe für Anbieter:innen von digitalen Diensten (نسخه 1.2 مورخ 20 نوامبر 2024) تأیید کرد که § 25 از TDDDG قانونِ خاص (lex specialis) است و تنها رضایت یا ضرورتِ سختگیرانه، اجازه ذخیرهسازی یا دسترسی روی دستگاهِ کاربر را میدهد. منافع مشروع طبق Article 6(1)(f) از GDPR، پایه جایگزین معتبری برای خودِ عملیات ذخیرهسازی یا دسترسی نیست.
به همین دلیل، آلمان محدودیت الزامآورِ هر استقرارِ آنالیتیکسِ سراسری در اروپا میشود. کسی که برای آلمان پیکربندی کند، برای همهجای دیگرِ اتحادیه اروپا هم پیکربندی شده است. اما کسی که فقط برای Sheet 16 فرانسه پیکربندی کند، هنوز باید پاسخی جداگانه و سختگیرانهتر به اپراتور آلمانی بدهد.
نوشتهای که در ادامه میآید، همان پاسخ آلمانی است. خودِ قاعده، تغییرِ نام در ماه می 2024، معافیتِ محدود، اینکه چرا «فقط سمت سرور» وضعیتِ عملیاتیِ کار است، ارزیابیِ منافع مشروعِ Article 6(1)(f) از GDPR که با اینحال باز هم باید وجود داشته باشد، اینکه Statnive Live کجا قرار میگیرد، بلوک سیاست حریم خصوصی به زبان آلمانی که اپراتور میتواند مستقیم بچسباند، و 8 رویداد ممیزیِ حریم خصوصی که ردِ پاسخگویی را تولید میکنند.
TDDDG، بهاختصار
قانونِ Telekommunikation-Telemedien-Datenschutz-Gesetz آلمان در 1 دسامبر 2021 با نام TTDSG اجرایی شد (انتقالِ Article 5(3) از دستورالعمل ePrivacy به قانون ملی، به دست دولت فدرال). در ماه می 2024، وقتی آلمان قانون خدمات دیجیتال اتحادیه اروپا (DSA) را به قانون ملی منتقل کرد، نامِ این قانون به TDDDG تغییر یافت — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. محتوا تغییری نکرد؛ تنها نام، دامنه گستردهترِ DSA را بازتاب داد.
ماده § 25 همان ماده عملیاتیِ مربوط به کوکی و ذخیرهسازی است و انتقالِ مستقیمِ Article 5(3) از دستورالعمل ePrivacy یعنی Directive 2002/58/EC (با اصلاحاتِ 2009/136/EC) به شمار میرود.
§ 25(1) TDDDG (ترجمه انگلیسی): “Storing information in the end user’s terminal equipment or accessing information already stored in the terminal equipment is only permitted if the end user has consented on the basis of clear and comprehensive information. The information to the end user and the consent shall be provided in accordance with Regulation (EU) 2016/679 [GDPR].”
§ 25(2) تنها دو حالت را استثنا میکند:
- (i) هدفِ یگانه، انتقالِ یک پیام از طریق یک شبکه مخابراتیِ عمومی باشد، و
- (ii) ذخیرهسازی یا دسترسی برای ارائه یک خدمت دیجیتالی که کاربر صراحتاً درخواست کرده، کاملاً ضروری باشد.
این کلِ معافیت است. در متنِ آلمانی هیچ معافیتی برای سنجش مخاطب وجود ندارد. هیچ معادلی برای Sheet 16 فرانسه، راهنمای کوکیِ 2021 ایتالیا یا راهنمای سنجش مخاطبِ اسپانیا در کار نیست. ماده § 25(2) موارد کاملاً ضروری را پوشش میدهد — یک کوکیِ سبد خرید، یک نشستِ احراز هویت، یک توکنِ CSRF — و همین فهرست، تمامِ ماجراست.
جریمهها طبق § 28(1) No. 13 و § 28(2) از TDDDG تا 300,000 یورو برای هر تخلف میرسد. جریمههای GDPR طبق Article 83 (تا 20 میلیون یورو یا 4% گردش مالی جهانی) بهصورت موازی برای لایه پردازش دادههای شخصی اعمال میشود.
موضع DSK و اینکه چرا منافع مشروع نجاتتان نمیدهد
کنفرانس حفاظت از دادهها (DSK) — نهاد هماهنگکننده DPAهای فدرال و ایالتیِ آلمان — سندِ Orientierungshilfe für Anbieter:innen von digitalen Diensten نسخه 1.2 را در 20 نوامبر 2024 منتشر کرد. این راهنما در دو نکته کاملاً صریح است.
نکته اول: § 25 از TDDDG قانونِ خاص (lex specialis) است. برای هر ذخیرهسازی یا دسترسی روی دستگاهِ کاربر، شرطِ رضایتِ § 25 (یا ضرورتِ سختگیرانه) حاکم است. مفاد پایه قانونیِ GDPR در Article 6 پایه جایگزینی برای خودِ عملیاتِ ذخیرهسازی یا دسترسی فراهم نمیکند.
نکته دوم: منافع مشروع نمیتواند جایگزین رضایت § 25 شود. حتی اگر اپراتور یک ارزیابیِ منافع مشروعِ کاملاً مستندِ Article 6(1)(f) داشته باشد، آن LIA فقط پردازشِ دادههای شخصی پس از جمعآوری را پوشش میدهد، نه خودِ عملِ جمعآوری از طریق دسترسی به دستگاه کاربر را. این دو، تابع لایههای متفاوتی هستند و پایههای متفاوتی میخواهند.
اثرِ عملی این است: استقرارِ آنالیتیکسی که یک کوکی میگذارد، روی localStorage مینویسد یا یک شناسه سمت کلاینت را میخواند، § 25 از TDDDG را فعال میکند. آن استقرار به رضایت نیاز دارد. همین و بس. هیچ مقدار استدلالِ «منافع مشروع» نمیتواند شرطِ رضایت را در لایه § 25 پس بگیرد.
به همین دلیل است که موضع آلمان تا این اندازه از فرانسه سختگیرانهتر است. معافیتِ Sheet 16 از CNIL، ماده Article 5(3) از ePrivacy را با یک استثنای تعریفشده برای سنجش مخاطب — که در خودِ انتقالِ ملی تعبیه شده — تفسیر میکند. ماده § 25(2) آلمان همان Article 5(3) از ePrivacy را بدون آن استثنای سنجش مخاطب تفسیر میکند. هر دو تفسیر با دستورالعمل پایهای سازگارند؛ صرفاً در نقاط متفاوتی از اختیارِ کشورهای عضو که دستورالعمل اجازه میدهد، مینشینند.
تنها معماری بدونرضایت: فقط سمت سرور
تنها معماریای که بدون رضایت از § 25 از TDDDG جان سالم به در میبرد، معماریای است که در آن سرورِ اپراتور هیچ اطلاعاتی را روی دستگاهِ بازدیدکننده ذخیره نمیکند و از آن نمیخواند. مرورگر فقط همان چیزی را میفرستد که بهصورت پیشفرض و بهعنوان بخشی از یک درخواست HTTP اجتنابناپذیر میفرستد — هدرهای IP، User-Agent و Referer. سرور آن هدرها را میخواند، آنالیتیکس خود را استخراج میکند و هیچ چیزی پس نمینویسد. نه کوکی. نه localStorage. نه پویشِ اثرانگشت مرورگر. نه ساختِ شناسه سمت کلاینت. نه هیچ دستوری به دستگاه برای فرستادنِ اطلاعات بیشتر.
این کار بهکلی بیرون از § 25 از TDDDG میافتد. محرکِ «ذخیرهسازی یا دسترسی روی دستگاهِ کاربر» در Article 5(3) از ePrivacy فعال نمیشود، چون هیچ تعاملِ دستگاهی فراتر از رفتارِ پیشفرضِ درخواستِ مرورگر رخ نمیدهد. سندِ EDPB Guidelines 2/2023 v2.0 صراحتاً همین معافیت را پوشش میدهد: جایی که اپراتور به دستگاه دستور نمیدهد اطلاعاتی بفرستد و چیزی روی حافظه دستگاه نمینویسد یا از آن نمیخواند، ماده Article 5(3) اعمال نمیشود.
این همچنین تنها معماری بدونرضایتی است که هر 27 کشور عضو از جمله سختگیرترینها را راضی میکند. برای فرانسه بیش از حد لازم است؛ برای آلمان ضروری است. اپراتورهایی که ترافیک آلمانی دارند — حتی سهم کوچکی — باید بر اساس همان مبنای «فقط سمت سرور» طراحی کنند، چون هزینه ساختِ دو پشته (یکی برای آلمان، یکی برای همهجای دیگر) تقریباً همیشه از هزینه یک مبنای واحدِ سختگیرانه بیشتر میشود.
ارزیابیِ منافع مشروعِ Article 6(1)(f) از GDPR — همچنان لازم است
دور زدنِ § 25 از TDDDG در لایه دستگاهِ کاربر، پرسشِ GDPR را از میان نمیبرد. بهمحض اینکه سرور، IP و User-Agent و Referer را از درخواست بخواند، در حال پردازش دادههای شخصی است. رأیِ Breyer از دیوان دادگستری اتحادیه اروپا (CJEU) (C-582/14، مورخ 19 اکتبر 2016) قطعی کرد که یک IP پویا در دستِ اپراتورِ یک وبسایت، داده شخصی است. User-Agent بهتنهایی یک شناسه قابلاثرگیری است.
پایه قانونیِ این پردازش طبق Article 6 از GDPR بهطور واقعبینانه Article 6(1)(f) است — منافع مشروع — برای سنجش مخاطبِ دستِاول. DSK این موضع را در راهنمای 2024 خود پذیرفته است، اما تنها به این شرطِ صریح که شرطِ دسترسی به دستگاهِ کاربر در § 25 از TDDDG بهطور مستقل برآورده شود (یعنی استثنای کاملاً ضروری اعمال شود، یا اصلاً هیچ دسترسی به دستگاه کاربر رخ ندهد). معماریِ «فقط سمت سرور» این شرط را بهحکم ساختار خود برآورده میکند.
خودِ ارزیابیِ منافع مشروع باید طبق EDPB Guidelines 1/2024 مستند شود:
- شناساییِ منفعت. بهرهبرداری، بهبود و ایمنسازیِ وبسایتِ متولّی (همان مؤلفه کارکردی که در بندهای 60 تا 64 رأیِ Breyer شناخته شده)؛ سنجش مخاطب و تعاملِ محتوا (همان مؤلفه تجاری که در بندهای 47 تا 49 رأیِ CJEU C-621/22 KNLTB مورخ 4 اکتبر 2024 شناخته شده).
- ضرورت. سنجش مخاطب را نمیتوان بهطور معقول با ابزارهای کمتهاجمیتر و در عینِ تولیدِ متریکهای موردنیاز به دست آورد. کمینهسازی: بدون شناسه پایدار؛ دور انداختنِ IP خام پیش از ذخیرهسازی؛ نمکِ روزانهچرخان و محدود به دامنه سایت؛ کوتاهسازیِ /24 برای IPv4؛ کاهشِ User-Agent به نسخههای اصلی؛ کاهشِ منبع ورودی فقط به دامنه میزبان؛ تجمیع تا نزدیکترین مضربِ 10.
- موازنه. منافع فردِ موضوعِ داده: ماده Article 7 منشور (زندگی خصوصی) و Article 8 (حفاظت از داده). انتظاراتِ معقول: بازدیدکننده انتظار دارد اپراتور تعداد کلِ بازدیدها و محبوبیتِ صفحهها را بداند، نه اینکه فرد را بهصورت میانروزه یا میانسایتی زیر نظر بگیرد — معماری دقیقاً با همین انتظار میخواند. اثر: کمینه — بدون تبلیغاتِ رفتاری، بدون پروفایلسازی، بدون اشتراکگذاری با شخص ثالث، بدون تصمیمهایی که فردِ موضوعِ داده را تحت تأثیر بگذارد. تدابیر کاهنده: نابودیِ نمک در پایان روز، کوتاهسازیِ IP، سقفِ نگهداری، حقِ مخالفتِ Article 21، وجودِ DPA در جایی که اعمالپذیر است، میزبانی فقط در اتحادیه اروپا، و مسیرهای کدِ متنباز برای استقرارهای خودمیزبان.
ارزیابیِ منافع مشروع یک تمرینِ یکباره نیست. EDPB توصیه میکند که سالانه و در هر تغییر اساسی نوسازی شود — برای نمونه، با ارجاعی به CJEU که تحلیلِ Breyer را تحت تأثیر بگذارد، با تصویبِ Digital Omnibus، یا با بهروزرسانیِ راهنماهای ملیِ آلمان.
جای Statnive Live کجاست
Statnive Live بهحکم ساختار خود برای برآوردهکردنِ § 25 از TDDDG ساخته شده است. گامهای پیکربندیِ اپراتور برای یک سایت آلمانی چنین است:
- حوزه قضایی DE را انتخاب کنید. پنل سیاستِ سایت در Statnive Live یک فهرستِ enum با 11 حوزه قضایی نمایش میدهد. انتخابِ
DEاعتبارسنجِ قاعدهسخت را فعال میکند. - اعتبارسنجِ قاعدهسخت، حالتِ permissive را ممنوع میکند. یک اپراتور آلمانی نمیتواند حالتِ
permissiveرا انتخاب کند — اعتبارسنج، ذخیره را با این خطا رد میکند: «Permissive consent mode is incompatible with § 25 TDDDG (Germany). Select consent-free or consent-required.» این کار هنگام ذخیره سیاست و دوباره هنگام بارگذاری سیاست در هر درخواست دریافت اعمال میشود؛ بنابراین پیکربندی را نمیتوان از مسیرهای جانبی تغییر داد. - پیشفرض روی consent-free. این کار کوکیها، localStorage و اثرانگشت مرورگر را در ردیاب خاموش میکند؛ امضای بازدیدکننده با BLAKE3-HMAC و چرخشِ روزانه در سمت سرور را فعال میکند؛ تبدیلِ منبع ورودی به فقطمیزبان را فعال میکند؛ کوتاهسازیِ IP را فعال میکند؛ و کمینهسازیِ User-Agent را فعال میکند. این معماری با مبنای «بدون ذخیرهسازی یا دسترسی روی دستگاهِ کاربر» در § 25 از TDDDG میخواند.
- شناسه کوکیِ درهمسازیشده در حالت سکون، اما بدون تنظیمِ هیچ کوکی. وقتی
consent-freeفعال است، هیچ کوکیِ_statniveروی مرورگر تنظیم نمیشود. در آن حالت، هیچ کوکیای برای درهمسازی در حالت سکون وجود ندارد. (در حالتِconsent-requiredیاhybridبا رضایتِ دادهشده، یک UUID به مرورگر فرستاده میشود؛ ذخیرهسازیِ سمت سرور بهصورتSHA-256(master_secret || site_id || cookieID)با پیشوندِh:است. مرورگر، UUID خام را میبیند؛ اما دیتابیس هرگز نمیبیند.) - احترام به GPC و DNT. در حوزه قضایی
DE، مقدار پیشفرضِconsent.respect_gpc = trueاست. بازدیدکنندگانی کهSec-GPC: 1میفرستند، پیش از محاسبه شناسه بازدیدکننده متوقف میشوند — برای یک بازدیدکننده مخالف هیچ رکورد مستعارنامی ساخته نمیشود؛ پس چیزی برای حذف نیست، چون چیزی نوشته نشده بود. نوشته مربوط به GPC و حالتِ hybrid، طرح آزمونِ سرتاسری را پوشش میدهد. - احترام به نقاط پایانیِ DSAR. نقاط پایانیِ
POST /api/privacy/opt-out،GET /api/privacy/accessوPOST /api/privacy/eraseروی هر استقرارِ Statnive Live و فارغ از حوزه قضایی در دسترساند. اپراتور آلمانی این زیرساخت را دارد، هرچند در حالتِconsent-free، حجمِ درخواستهای دسترسی و حذف روی یک استقرارِ بدونکوکی ذاتاً کم است — بیشتر بازدیدکنندگان بهمحض چرخشِ نمک، اصلاً هیچ رکوردِ فردیای بر جای نمیگذارند. - مسیرهای افشای عمومیِ حقوقی، در خودِ باینری تعبیهشدهاند. مسیرهای
/privacy،/legal/privacy-policy/en،/legal/privacy-policy/de،/legal/liaو/legal/dpaهمگی به دست همان باینریِ Go سرو میشوند. مسیرِ/legal/privacy-policy/deهمان بندِ آلمانیِ واژهبهواژهای را سرو میکند که در بخش بعد توضیح داده میشود.
فهرستِ enum با یازده حوزه قضایی (DE / FR / IT / ES / NL / BE / IE / UK / OTHER-EU / IR / OTHER-NON-EU) و چهار حالتِ رضایت (permissive / consent-free / consent-required / hybrid) با هم 44 خانه میسازند. ردیفِ DE فقط دو خانه معتبر دارد — consent-free و consent-required. کارِ اعتبارسنج این است که مانع از وجودِ آن 22 خانه دیگر شود.
بلوک سیاست حریم خصوصی به زبان آلمانی
اپراتوری که Statnive Live را در حالتِ consent-free برای یک سایت آلمانی اجرا میکند، میتواند بندِ زیر را در /datenschutz (یا صفحه حقوقیِ معادل) سرو کند. این متن، واژهبهواژه از پژوهشِ research-53 §08 است و تحلیلِ § 25 از TDDDG بالا را بازتاب میدهد.
Reichweitenmessung. Diese Website verwendet [Statnive Live] zur rein server-seitigen Reichweitenmessung. Es werden keine Cookies, kein Local Storage und keine vergleichbaren Technologien auf Ihrem Endgerät gespeichert oder ausgelesen. Insbesondere findet kein Zugriff im Sinne des § 25 Abs. 1 TDDDG statt. Verarbeitet werden ausschließlich Daten, die Ihr Browser für die Auslieferung der Seite ohnehin überträgt (IP-Adresse, Browser-Kennung in stark reduzierter Form, aufgerufene URL, Referrer-Domain). Wir kürzen Ihre IP-Adresse vor jeder weiteren Verarbeitung um das letzte Oktett und ersetzen sie durch eine pseudonymisierte Signatur, deren Salt nach 24 Stunden vernichtet wird.
Rechtsgrundlage. Soweit personenbezogene Daten im Sinne der DSGVO verarbeitet werden, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Eine Interessenabwägung gemäß EDSA-Leitlinien 1/2024 wurde dokumentiert.
Widerspruchsrecht gemäß Art. 21 DSGVO: [OPT-OUT-BUTTON].
این بند همزمان سه کار میکند. به بازدیدکننده میگوید چه اتفاقی میافتد (reine server-seitige Reichweitenmessung)؛ به رگولاتور میگوید چرا § 25 از TDDDG اعمال نمیشود (بدون هیچ ذخیرهسازی یا دسترسی روی دستگاهِ کاربر)؛ و به فردِ موضوعِ داده میگوید پایه قانونیِ GDPR چیست (یعنی Article 6(1)(f) بهعلاوه یک LIA مستند) و چطور میتواند مخالفت کند (لینکِ مخالفتِ Article 21).
این بند جایگزینِ سیاست حریم خصوصیِ خودِ اپراتور نیست. اپراتور همچنان باید یک اطلاعیه کامل بدهد که هویتِ متولّی، اهداف، دستههای داده، مدتِ نگهداری، گیرندگان و حقوقِ برشمرده در مادههای Articles 13–22 از GDPR را پوشش دهد. بندِ بالا در بخشِ Reichweitenmessung از همان اطلاعیه گستردهتر جا میگیرد.
حقِ مخالفتِ Article 21 در Statnive Live بهصورت یک کوکیِ کاملاً ضروری پیادهسازی میشود که انتخابِ کاربر را بیان میکند — و این کار طبق § 25(2)(ii) از TDDDG مجاز است، چون ترجیحِ خدمتی را که کاربر صراحتاً درخواست کرده (یعنی حقِ مخالفت) پیاده میکند. بهجای آن، انصراف را میتوان در سمت سرور و از طریق یک فهرستِ مهارسازی که بر امضای h: بازدیدکننده کلید خورده و TTL کافی دارد، پایدار کرد.
ردِ ممیزی — 8 رویداد حریم خصوصی
Statnive Live هشت رویداد ممیزیِ ساختاریافته منتشر میکند که سطحِ حریم خصوصی و حقوقی را پوشش میدهند. اینها همان شواهدِ پاسخگوییِ Article 28(3)(h) هستند که برای یک DPO یا یک ممیز آمادهاند:
privacy.opt_out_received— یک مخالفتِ Article 21 ثبت شده است.privacy.dsar_access_requested— یک درخواستِ حقِ دسترسیِ Article 15 آغاز شده است.privacy.dsar_erase_requested— یک درخواستِ حقِ حذفِ Article 17 آغاز شده است.privacy.consent_given— تابعِstatnive.acceptConsent()فراخوانی شده است (مرتبط در حالتهایconsent-requiredوhybrid، نهconsent-free).privacy.consent_withdrawn— تابعِstatnive.withdrawConsent()فراخوانی شده است.legal.lia_viewed— صفحه/legal/liaسرو شده است.legal.dpa_viewed— صفحه/legal/dpaسرو شده است.legal.privacy_policy_viewed— صفحه/legal/privacy-policy/{lang}سرو شده است.
برای یک استقرارِ آلمانیِ consent-free، ترکیبِ معمولِ رویدادها چنین است: opt_out_received (با حجمِ کم — بیشتر بازدیدکنندگان هرگز مخالفت نمیکنند، چون معماری اعتراضبرانگیز نیست)، گاهبهگاه dsar_*_requested (حقوقِ فردِ موضوعِ داده، فارغ از حالت، ویژگیهایی از جنسِ در دسترسبودنِ فنیاند)، و یک جریانِ آرام و پیوسته از legal.*_viewed (رصدِ شفافیتنمایی که نشان میدهد بازدیدکنندگان واقعاً صفحههای سیاست را میخوانند).
این رویدادها به هر مقصدِ لاگی که محیطِ اپراتور پشتیبانی کند منتشر میشوند — stdout/stderr در استقرارهای کانتینری، syslog روی هاستهای سنتی، یا یک جدولِ ممیزیِ اختصاصی در راهاندازیهای خودمیزبان. این رویدادهای ممیزی بهصورتِ JSON ساختاریافتهاند تا تمیز و بیدردسر در Loki، Elasticsearch یا هر خطلوله لاگِ ساختاریافته دیگری تجزیه شوند.
ردِ ممیزی همان چیزی است که اگر DPA برلین یا BayLDA باواریا بازرسیای را آغاز کند، اپراتور به آن اشاره میکند. بندِ موجود در سیاست حریم خصوصی، موضعِ عمومیِ روبهبیرون است؛ رویدادهای ممیزی، همان شواهدِ همزمانی هستند که نشان میدهند آن موضع واقعاً پیاده شده است.
این کار به اپراتور آلمانی چه میدهد
نتیجه عملی این است:
- بدون نیاز به بنر کوکی برای جریانِ کارِ سنجش مخاطب، بر این مبنا که اصلاً هیچ ذخیرهسازی یا دسترسی روی دستگاهِ کاربر رخ نمیدهد — یعنی سختگیرانهترین موضعِ کنونیِ اروپا، نه با تفسیرِ معافیتِ ePrivacy، بلکه بهحکم ساختار، برآورده میشود.
- یک LIA مستندِ Article 6(1)(f) بهعنوان پایه قانونیِ GDPR برای پردازشِ دادههای شخصی که سرور پس از خواندنِ IP و User-Agent و Referer هنگام دریافت انجام میدهد. قالبِ LIA در مسیرِ
/legal/liaاست؛ آن را با مشورتِ وکیل، برای زمینه پردازشِ اپراتور سفارشی کنید. - یک بلوک سیاست حریم خصوصی که نامِ § 25 Abs. 1 TDDDG را میبرد و توضیح میدهد چرا اعمال نمیشود. این بلوک در مسیرِ
/legal/privacy-policy/deقرار دارد و آماده چسباندن مستقیم در صفحه/datenschutzاپراتور است. - یک پیکربندی که هر 27 کشور عضو را راضی میکند، با استقرارِ سختگیرانهترین خانه. افزودنِ ترافیک فرانسوی، ایتالیایی یا هلندی نیازی به بازطراحیِ معماری ندارد؛ همان پیکربندیِ موجود برای Sheet 16 از CNIL، راهنمای کوکیِ 2021 از Garante، راهنمای سنجش مخاطبِ AEPD و موضعِ کوکیِ تحلیلیِ AP هلند هم واجد شرایط است. نقشه کشوربهکشور، تفاوتها را گامبهگام شرح میدهد.
- سازگاری رو به جلو با پیشنهادِ Digital Omnibus Article 88a(3)(c). اگر متنِ کمیسیون دستنخورده تصویب شود، یک استقرارِ
consent-freeاز Statnive Live از همان روزِ اول واجد شرایط است.
اما این کار چه چیزی نمیدهد: توانِ راهاندازیِ رایگانِ یک بنر رضایتِ آلمانی، یا اجرای GA4 در آلمان بر پایه منافع مشروع. هیچکدام دستیافتنی نیست؛ راهنمای 2024 از DSK هر دو مسیر را میبندد.
پرسشهای پرتکرار
آیا اپراتور آلمانی هنوز برای هر هدفی به بنر نیاز دارد؟
شاید — اما نه برای سنجش مخاطب. یک بنر رضایت فقط برای پردازشی لازم است که § 25(1) از TDDDG را فعال کند (ذخیرهسازی یا دسترسی روی دستگاه) و بیرون از § 25(2)(i)-(ii) بیفتد. این شامل هر کوکیِ تبلیغاتیِ شخص ثالث، پیکسلهای هدفگیریِ مجدد، ابزارکهای اشتراکگذاری اجتماعی که کوکی میگذارند، ویدیوهای جاسازیشده YouTube/Vimeo که هنگام بارگذاری صفحه کوکی میگذارند، کوکیهای نسخههای آزمونِ A/B و مانندِ اینهاست. برای آن اهداف، اپراتور باید بنری بدهد که تجربه کاربری «رد به همان آسانیِ پذیرش» داشته باشد و در جایی که اعمالپذیر است، شناساییِ مقررات مدیریت رضایتِ آلمان را رعایت کند.
لایه سنجش مخاطب — یعنی شمارش بازدیدکنندگان، محبوبیتِ صفحهها و تحلیلِ منابع ورودی — تحت شرایطِ این نوشته به بنر نیاز ندارد. این انتخابِ اپراتور است که آنالیتیکس را روی لایه «فقط سنجش مخاطب» یکپارچه کند، یا برای انتسابِ تجارت الکترونیک، آزمونِ A/B یا انتسابِ کمپین بازاریابی، یک لایه جداگانه پشتِ دروازه رضایت اضافه کند.
مقررات مدیریت رضایت (EinwV) چطور؟
مقررات مدیریت رضایتِ آلمان — Einwilligungsverwaltungsverordnung — در 20 دسامبر 2024 به دست Bundesrat تصویب شد و در 1 آوریل 2025 طبق § 26(2) از TDDDG اجرایی شد. این مقررات، خدماتِ مدیریت اطلاعات شخصی (PIMS) را به رسمیت میشناسد؛ وبسایتها باید سیگنالهای خدماتِ مدیریت رضایتِ شناختهشده را رعایت کنند. EinwV قاعده ماهویِ § 25 را تغییر نمیدهد — بلکه یک مسیرِ PIMS شناختهشده برای آن رضایتی اضافه میکند که قاعده در جای لازم میطلبد.
برای یک استقرارِ consent-free، مقررات EinwV عمدتاً بیربط است، چون هیچ رضایتی طلب نمیشود. اما برای یک استقرارِ consent-required یا hybrid، مسیرِ شناساییِ EinwV همان سازوکارِ بلندمدت برای رعایتِ سیگنالهای رضایتِ سطحِ مرورگر است — برای اینکه ببینید Statnive Live امروز چطور مدیریتِ سیگنالِ سطحِ مرورگر را پیاده میکند، به نوشته مربوط به GPC و حالتِ hybrid مراجعه کنید.
آیا رأیِ Planet49 از BGH چیزی را تغییر میدهد؟
رأیِ دیوان عالی فدرال آلمان در پرونده BGH I ZR 7/16 Planet49 (مورخ 28 می 2020، در پی رأیِ CJEU C-673/17 مورخ 1 اکتبر 2019) در حقوق آلمان تأیید کرد که چکباکسهای از پیش تیکخورده رضایتِ معتبر تولید نمیکنند و رویکردهای انصرافی طبق § 15(3) قدیمیِ TMG پس از GDPR کافی نبودند. این رأی، جهتِ رضایت در § 25 را تقویت میکند — آن را تضعیف نمیکند. اپراتورهایی که رأیِ BGH Planet49 را بهمنزله نرمشدنِ رژیمِ رضایتِ آلمان تفسیر میکنند، رأی را اشتباه خواندهاند.
اگر LIA من خیلی دقیق باشد، میتوانم در آلمان برای کوکیها از منافع مشروع استفاده کنم؟
نه. راهنمای 2024 از DSK صریح است: منافع مشروع در لایه دسترسی به دستگاهِ کاربر، جایگزین رضایتِ § 25 از TDDDG نمیشود. یک LIA کاملاً مستند برای پایه Article 6 از GDPR در پردازشِ بعدیِ دادههای شخصی لازم است، اما قفلِ معافیتِ ذخیرهسازیِ کوکی را در لایه § 25 باز نمیکند. این همان موضعِ پیوسته EDPB Opinion 5/2019 است و در راهنمای فناوریهای ذخیرهسازی و دسترسیِ ICO بریتانیا (آوریل 2026) دوباره تأیید شده است.
راهِ راضیکردنِ قانون آلمان بدون رضایت، این است که اصلاً از همان ابتدا روی دستگاه ننویسید. کوکی را از معماری حذف کنید؛ آنگاه پرسشِ منافع مشروع، فقط پرسشِ Article 6 از GDPR میشود، نه پرسشِ § 25.
چه کنید و از چه چیزی صرفنظر کنید
| بکنید | نکنید |
|---|---|
حوزه قضایی DE را در Statnive Live انتخاب کنید؛ پیشفرض را روی حالتِ consent-free بگذارید (اعتبارسنجِ قاعدهسخت آن را اعمال میکند). | یک سایت آلمانی را روی حالتِ permissive نگذارید — § 25 از TDDDG آن را ممنوع میکند؛ اعتبارسنج ذخیره را رد میکند. |
| در حالتِ اروپا، بهصورت پیشفرض به GPC و DNT احترام بگذارید؛ دریافت را پیش از محاسبه امضای بازدیدکننده متوقف کنید. | آنالیتیکسِ بدونکوکی را بهطور خودکار منطبق با § 25 نپندارید — DSK تأیید کرده که دسترسی به اطلاعاتِ دستگاهِ کاربر هم § 25 را فعال میکند، حتی بدون کوکی. |
بندِ واژهبهواژه Reichweitenmessung را در /datenschutz منتشر کنید که نامِ § 25 Abs. 1 TDDDG و حقِ مخالفتِ Article 21 را میبرد. | بدون LIA مستند و افشای سیاست حریم خصوصی ادعا نکنید «در DE نیازی به بنر رضایت نیست». موضع DSK هر دو را لازم میداند. |
| یک ارزیابیِ منافع مشروعِ Article 6(1)(f) را طبق EDPB Guidelines 1/2024 برای پردازشِ دادههای شخصی که سرور هنگام دریافت انجام میدهد مستند کنید. | بر منافع مشروع بهعنوان جایگزین رضایتِ § 25 در لایه دسترسی به دستگاهِ کاربر تکیه نکنید. سندِ DSK با عنوان Orientierungshilfe نسخه 1.2 صریح است: نمیتواند. |
| پیش از انتشار، با وکیلِ مجربِ آلمانی — معمولاً یک Fachanwalt für IT-Recht (وکیل متخصص حقوق فناوری اطلاعات) — همسنجی کنید. | پیش از رضایت، GA4 / Meta Pixel / Hotjar را در آلمان اجرا نکنید. BayLDA، NRW LDI، BlnBDI و HmbBfDI همگی اپراتورها را به همین دلیل جریمه کردهاند. |
حرف آخر
ماده § 25 از TDDDG آلمان، سختگیرانهترین موضعِ کنونیِ اروپا درباره رضایتِ دستگاهِ کاربر است. در قانون آلمان هیچ معافیتی برای سنجش مخاطب وجود ندارد، DSK تأیید کرده منافع مشروع جایگزین شرطِ § 25 نمیشود، و جریمهها طبق § 28(1) No. 13 تا 300,000 یورو برای هر تخلف بهعلاوه جریمههای GDPR طبق Article 83 میرسد.
تنها معماری بدونرضایتی که از آلمان جان سالم به در میبرد، آن است که در آن هیچ ذخیرهسازی یا دسترسی روی دستگاهِ کاربر رخ ندهد. حالتِ consent-free در Statnive Live بهعلاوه حوزه قضایی DE دقیقاً همان معماری است، که با یک اعتبارسنجِ قاعدهسخت اعمال میشود و از ذخیره یک پیکربندیِ آلمانیِ permissive سر باز میزند. بلوک سیاست حریم خصوصی در مسیرِ /legal/privacy-policy/de نامِ § 25 Abs. 1 TDDDG و حقِ مخالفتِ Article 21 را میبرد. هشت رویداد ممیزیِ حریم خصوصی، ردِ پاسخگوییِ همزمان را منتشر میکنند.
اپراتوری که برای آلمان پیکربندی میکند، بهحکم ساختار، برای بقیه اتحادیه اروپا هم پیکربندی شده است. مبنای سختگیرانه، رو به بالا بنا میشود. راهنمای جامعِ آنالیتیکس بدونرضایتِ اتحادیه اروپا در 2026 قابِ گستردهتر است؛ نوشته مربوط به Sheet 16 از CNIL، گزینه جایگزینِ فرانسوی است؛ و نقشه کشوربهکشور، بقیه کشورهای عضو را گامبهگام مرور میکند. مسیرِ اپراتور آلمانی، همان مسیری است که این نوشته شرح داد.
این یک پژوهش در حوزه حریم خصوصی است، نه مشاوره حقوقی. Statnive Live، که در حالتِ consent-free برای حوزه قضایی DE با consent.respect_gpc = true و یک ارزیابیِ منافع مشروعِ مستند پیکربندی شده، بهگونهای معماری شده که بهعنوان یک استقرارِ بدونذخیرهسازییادسترسیرویدستگاهِ کاربر تحت § 25 از TDDDG واجد شرایط شود. این معماری محرکِ § 25(1) را برمیدارد؛ و LIA پایه Article 6(1)(f) از GDPR را برای پردازشِ بعدی پوشش میدهد. هر مشتری Statnive همچنان متولّیِ داده باقی میماند و مسئولیتِ پیکربندی و DPIA خودش را بر عهده دارد. پیش از انتشار، با وکیلِ مجربِ آلمانی — یعنی DPO ثبتشده یا یک Fachanwalt für IT-Recht — همسنجی کنید.
وضعیتِ ارجاعهای مقرراتی تا 13 می 2026: TDDDG (در 14 می 2024 از TTDSG تغییر نام یافت؛ بدون هیچ اصلاحِ متنی در § 25 میان آن تاریخ و ماه می 2026)؛ § 25 TDDDG؛ § 28(1) No. 13 TDDDG؛ سندِ DSK با عنوان Orientierungshilfe für Anbieter:innen von digitalen Diensten نسخه 1.2 مورخ 20 نوامبر 2024 (همچنان معتبر؛ بدون نسخه جانشین تا ماه می 2026؛ تأیید میکند که ردیابیِ بدونکوکی هم وقتی به اطلاعاتِ دستگاهِ کاربر دسترسی پیدا کند، § 25 را فعال میکند)؛ Einwilligungsverwaltungsverordnung (EinwV) که در 20 دسامبر 2024 به دست Bundesrat تصویب شد و از 1 آوریل 2025 اجرایی شد؛ BGH I ZR 7/16 Planet49 مورخ 28 می 2020؛ CJEU C-673/17 Planet49 مورخ 1 اکتبر 2019 (ECLI:EU:C:2019:801)؛ CJEU C-582/14 Breyer مورخ 19 اکتبر 2016 (ECLI:EU:C:2016:779)؛ CJEU C-621/22 KNLTB مورخ 4 اکتبر 2024 (ECLI:EU:C:2024:857)؛ EDPB Guidelines 2/2023 v2.0 مورخ 7 اکتبر 2024؛ EDPB Guidelines 1/2024 مورخ 8 اکتبر 2024؛ پیشنویسِ EDPB Guidelines 01/2025 درباره مستعارسازی (بهصورت پیشنویس در 16 ژانویه 2025 تصویب شد؛ نسخه نهایی تا ماه می 2026 هنوز منتشر نشده)؛ EDPB-EDPS Joint Opinion 2/2026 مورخ 11 فوریه 2026 درباره Digital Omnibus؛ EDPB Opinion 5/2019. ادامه اجرای قانونِ § 25 از TDDDG در سالهای 2024 تا 2026 به دست BayLDA / NRW LDI / BlnBDI / HmbBfDI علیه استقرارهای GA4 / Meta Pixel / Hotjar که بدون رضایت مستقر شدهاند.