LSM Agents

Compliance · TDDDG · Cookie banner

TDDDG: Κάντε το cookie banner σας συμβατό — πριν φτάσει η επόμενη Abmahnung.

VG Hannover 19 Μαρτίου 2025 + πρόστιμο SHEIN €150M από CNIL Σεπτέμβριος 2025 ορίζουν τη γραμμή: το "Reject all" πρέπει να είναι οπτικά ισοδύναμο με το "Accept all". Pre-checked boxes είναι παράνομα. Κάθε dark pattern είναι πλέον actionable. Auditάρουμε, αντικαθιστούμε και τεκμηριώνουμε σε 7 ημέρες σε σταθερή τιμή.

TL;DR

  • ·VG Hannover 19/03/2025: το "Alle ablehnen" πρέπει να είναι οπτικά εξίσου εμφανές με το "Alle akzeptieren". Κρυμμένο πίσω από "Settings" είναι παράνομο.
  • ·CNIL επέβαλε €150M στη SHEIN (Σεπτέμβριος 2025) για cookie-banner dark patterns. Οι αρχές είναι συντονισμένες· οι γερμανικές δράσεις θα ακολουθήσουν.
  • ·Cookie consent πρέπει να είναι: ελεύθερα δοθέν, συγκεκριμένο, τεκμηριωμένο, σαφές, opt-in (όχι opt-out), και ανακλητό όσο εύκολα δόθηκε.
  • ·Παράδοση: 3-day audit (€1.800) → 7-day αντικατάσταση με banner που πληροί TDDDG, ePrivacy και GDPR ταυτόχρονα.

Ποιον αφορά

Το TDDDG ισχύει για οποιονδήποτε αποθηκεύει ή προσπελάζει πληροφορίες στη συσκευή του χρήστη — δηλαδή ουσιαστικά οποιονδήποτε χρησιμοποιεί cookies, localStorage, sessionStorage, IndexedDB ή fingerprinting. Strictly necessary cookies (session, CSRF, language preference) εξαιρούνται κατά §25 TDDDG. Όλα τα άλλα — analytics, A/B testing, retargeting, embedded media trackers — χρειάζονται προηγούμενο, granular, opt-in consent. Η εξαίρεση είναι στενή: "necessary for the user-requested service" είναι το test, και τα analytics ποτέ δεν περνούν.

Πώς πρέπει να φαίνεται ένα συμβατό banner

Μετά το VG Hannover και το SHEIN, οι τεχνικές απαιτήσεις είναι σαφείς. Κάθε defect παρακάτω έχει κριθεί παράνομο κάπου στην ΕΕ.

  • "Reject all" κουμπί λείπει από το πρώτο επίπεδο — μόνο "Settings" δίπλα στο "Accept all"
  • "Reject all" οπτικά υποτονισμένο: μικρότερο, χαμηλότερη αντίθεση, secondary styling
  • Pre-checked consent boxes για non-essential κατηγορίες
  • Consent αποθηκεύεται πριν ο χρήστης κάνει κλικ (load-on-page-view tracking)
  • Settings dialog απαιτεί πολλά κλικ για να φτάσει στα toggles
  • Κανένα "Withdraw consent" control μετά την αρχική επιλογή
  • Consent expiration μεγαλύτερη από 12 μήνες χωρίς re-prompt
  • Καμία granular per-category control (analytics + ads + functional μαζί)
  • Banner μπλοκάρει περιεχόμενο στην πρώτη επίσκεψη (cookie wall) χωρίς paid alternative
  • Καμία server-side καταγραφή consent για accountability κατά Art. 7(1) GDPR

Πώς εφαρμόζεται η επιβολή

Δύο επίπεδα. Πρώτο: αρχές προστασίας δεδομένων. Η CNIL (Γαλλία) επέβαλε €150M στη SHEIN τον Σεπτέμβριο 2025 για cookie dark patterns· οι BfDI και LfDIs στη Γερμανία ευθυγραμμίζονται. Η DSK εξέδωσε κοινό Orientierungshilfe τον Οκτώβριο 2024 αντικατοπτρίζοντας την προσέγγιση CNIL. Δεύτερο: ανταγωνιστές και ενώσεις καταναλωτών καταθέτουν Abmahnungen. Μετά το BGH 03/2025, η σύνδεση μεταξύ παραβίασης GDPR και UWG είναι εδραιωμένη· οι παραβιάσεις cookie-banner είναι οι πιο εύκολα-screenshotable, και οι Abmahnvereine το ξέρουν. Αναμενόμενη χρέωση ανά Abmahnung: €1.200–€3.800 συν υποχρεωτική remediation.

Πώς τρέχουμε ένα TDDDG project

  1. 01

    Audit (3 ημέρες): καταχώρηση κάθε cookie, localStorage key και tracker request. Κατηγοριοποίηση: strictly necessary, functional, analytics, marketing. Αναγνώριση όλων των dark patterns.

  2. 02

    Banner design: επιλέγουμε από συμβατό template (Klaro, Cookiebot config ή custom Next.js component) και προσαρμόζουμε για το site.

  3. 03

    Build (4–7 ημέρες): αντικατάσταση banner, gating όλων των non-essential trackers πίσω από server-side consent check (όχι μόνο JS guard), granular per-category controls, server-side consent log.

  4. 04

    Verification: third-party scan για επιβεβαίωση ότι κανένας non-essential tracker δεν ενεργοποιείται πριν το consent. Screenshots του συμβατού flow αποθηκεύονται ως απόδειξη.

  5. 05

    Documentation: privacy policy ενημερωμένη με categorical cookie list και lawful bases· "Withdraw consent" link στο footer.

  6. 06

    Monitoring: Care+ retainer ή υψηλότερο με quarterly cookie sweep + consent-log review.

Πηγές

TDDDG cookie banner — συχνές ερωτήσεις

Μπορώ να συνεχίσω να χρησιμοποιώ OneTrust / Usercentrics / Cookiebot;+

Ναι αν τα ρυθμίσετε σωστά. Out-of-the-box configurations συχνά παραβιάζουν τον κανόνα equal-prominence. Auditάρουμε τη ρύθμιση κατά το 3-day audit και τη συντονίζουμε. Το CMP είναι το εργαλείο· η ρύθμιση είναι η υποχρέωση.

Χρειάζομαι κουμπί Reject δίπλα στο Accept στο πρώτο επίπεδο;+

Ναι. VG Hannover 19 Μαρτίου 2025 και η κοινή οδηγία γερμανικών αρχών απαιτούν ίση οπτική προεξοχή. Το "Reject all" πρέπει να έχει το ίδιο μέγεθος, αντίθεση και βάθος κλικ με το "Accept all".

Τι γίνεται με τα cookie walls — μπλοκάρισμα περιεχομένου μέχρι αποδοχή;+

Cookie walls είναι παράνομα κατά GDPR (το consent δεν είναι "freely given" αν η άρνηση σημαίνει "no service") εκτός αν προσφέρετε paid trackingfreie alternative — το "pay-or-okay" model. EDPB guidance είναι σκεπτική ακόμη και για pay-or-okay· φθηνότερη cleaner-content alternative είναι ασφαλέστερη.

Μπορώ να μπλοκάρω όλα τα third-party scripts και να παρακάμψω το banner;+

Για κάποια sites, ναι. Αν δεν έχετε analytics, embedded video, third-party fonts, payment widget που απαιτεί cookies, remarketing — και μόνο strictly-necessary cookies — δεν χρειάζεστε consent banner κατά §25 TDDDG. Τα περισσότερα εμπορικά sites δεν πληρούν αυτό το όριο.

Πόσο πρέπει να κρατείται η εγγραφή consent;+

Συνιστάται: 3 χρόνια. Η εγγραφή πρέπει να αποδεικνύει accountability κατά Art. 7(1) GDPR. Αποθηκεύστε: timestamp, banner version, consent state ανά κατηγορία, IP-address-hash, user-agent. Loggάρουμε server-side, όχι σε localStorage (που ο χρήστης μπορεί να διαγράψει).

Πόσο κοστίζει;+

Μόνο audit: €1.800 σταθερή. Audit + αντικατάσταση: €3.200–€6.500 ανάλογα με την πολυπλοκότητα ολοκλήρωσης. Διαμορφώστε στον calculator.

Configure your scope →

← Back to compliance overview