Безопасность веб-сайта

Требование о баннере cookie: правильно выполняем

Andreas Straub • Mar 18, 2026

11 мин чтения

Сегодня простой баннер о файлах cookie уже недостаточен. Система управления согласием обеспечивает активацию cookie и отслеживания только после действительного согласия.
Ноутбук показывает всплывающее окно о защите данных eRecht24, на фоне сайт с наградами и оценками Google.

Содержание

Самое важное вкратце

Тот, кто в Германии управляет сайтом, не сможет обойтись без действительного согласия на cookie. § 25 TDDDG (закон Германии о защите данных в телекоммуникациях и телемедиа) и ст. 6 GDPR требуют активного согласия, прежде чем будут установлены необязательные файлы cookie или загружены внешние сервисы. Насколько серьёзно к этому относятся надзорные органы, показывает штраф CNIL в размере 150 млн евро для Google от 31 декабря 2021 года. В этом руководстве я покажу Вам, какие требования действуют сегодня, где скрываются самые частые ошибки и как слой согласия (consent layer) интегрируется в современный сайт с минимальным обслуживанием.

Что предписывает требование о баннере cookie сегодня?

Ответ короткий: без согласия Вы не можете устанавливать ничего, что не является технически безусловно необходимым. Точка. § 25 абз. 1 TDDDG формулирует это так: хранение или доступ к информации в конечном устройстве допустимы только в том случае, если конечный пользователь дал согласие на основе ясной и исчерпывающей информации. Это правило действует независимо от того, идёт ли речь о cookie, LocalStorage, фингерпринтинге или пикселях.

Чтобы согласие было действительным, оно должно, согласно ст. 4 п. 11 GDPR, быть свободным, конкретным, информированным и выраженным через однозначное подтверждающее действие. Молчание не считается. Серый баннер не считается. Переход на подстраницу также не считается согласием. Суд ЕС однозначно установил это в деле Planet49 от 1 октября 2019 года: предварительно отмеченные галочки не являются согласием. Верховный суд Германии (BGH) подтвердил этот вывод для Германии в мае 2020 года под номером дела I ZR 7/16.

Grafik einer Cookie-Zustimmung, Sicherheitsicon und Keks auf dunklem Hintergrund

В ходе аудитов малого и среднего бизнеса на севере Германии я снова и снова вижу одну и ту же картину. Дружелюбный баннер с большой кнопкой "Принять всё". Рядом, мелким серым шрифтом, ссылка "Настройки". Настоящей кнопки "Отклонить" нет. То, что такая асимметрия обходится дорого, показывает дело Google: CNIL наложил штраф 150 млн евро, потому что отклонить файлы cookie было не так просто, как принять их. Тот, кто хочет корректно выполнить требования GDPR к сайтам, должен предлагать отказ на равных условиях.

Кроме того, важно понимать: обязанность касается не только крупных интернет-магазинов с маркетинговой инфраструктурой, но и любого немецкого сайта, который встраивает сторонние скрипты. Сайт адвокатской конторы с Google Maps под схемой проезда, страница ремесленника с видеороликами с YouTube или B2B-сайт с Google Fonts подпадают под то же правило, что и интернет-магазин с трекинговыми пикселями. Размер сайта не меняет обязанность, он меняет лишь масштаб последствий нарушения.

Когда сайту вообще требуется согласие?

Здесь помогает простое правило: как только сервис выходит за рамки технически необходимого, Вам нужно согласие.

Что разрешено без согласия

Необходимыми являются, например, сессионные cookie корзины, статус входа в систему, токен CSRF или выбор языка. Эти cookie выполняют услугу, явно запрошенную пользователем, и подпадают под исключение § 25 абз. 2 TDDDG. Как только добавляются трекинг, маркетинг или персонализация, оценка меняется.

Какие сервисы требуют согласия

Конкретно требуют согласия на практике:

  • Google Analytics, Matomo (в режиме cookie), Hotjar, Plausible с cookie
  • Google Ads, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel
  • Встраивания YouTube, Vimeo и Spotify
  • Google Maps и внешние шрифты Google Fonts
  • Чат-виджеты, такие как Intercom, HubSpot, Zendesk
  • Инструменты A/B-тестирования, такие как VWO или Optimizely

Что многие недооценивают: уже сама загрузка внешних ресурсов передаёт IP-адрес сторонним поставщикам. Ориентировочное пособие DSK по телемедиа 2021 немецких надзорных органов чётко устанавливает, что встроенный контент также требует согласия в соответствии с § 25 TDDDG. Даже простой модуль Google Maps со схемой проезда к филиалу подпадает под это. Тот, кто хочет действовать наверняка, загружает внешние ресурсы только после активного согласия (opt-in). Подробнее об этом Вы найдёте в нашем руководстве по юридически безопасному сайту.

Что делает Cookie Consent Manager в фоновом режиме?

Четыре ключевые задачи CMP

Профессиональное управление согласием выполняет четыре задачи одновременно. Во-первых, оно регулярно сканирует сайт и относит каждый найденный скрипт к категории, например статистика, маркетинг или комфорт. Во-вторых, оно блокирует все необязательные теги до тех пор, пока не получено согласие. В-третьих, оно сохраняет решение каждого посетителя с возможностью аудита: с отметкой времени, выбранными категориями и версией баннера. В-четвёртых, оно предоставляет ссылку для повторного открытия (reopen), через которую выбор можно изменить в любой момент.

Известные поставщики и их пределы

Известные поставщики, это Cookiebot, Usercentrics, Borlabs Cookie, Iubenda и OneTrust. Они различаются по цене, базе данных тегов и глубине соответствия требованиям. Механизм за ними везде похож: интеграция с тег-менеджером, центральная конфигурация в панели управления, сгенерированный баннер с адаптированным дизайном. Тот, кто разрабатывает это сам, берёт на себя полную ответственность за обслуживание. Это работает для очень простых сайтов. Однако как только внешние скрипты подгружаются через маркетинговые инструменты, ручное решение быстро превращается в постоянную стройку.

Чётко разделять отображение и действие

Важно чётко разделять отображение и фактическое действие. Баннер, который содержит все кнопки, но в фоновом режиме по-прежнему запускает трекеры, всё равно не соответствует требованиям. Существует и обратный случай: технически корректно блокирующий слой, кнопка "Отклонить" которого, однако, спрятана в подменю. И то, и другое, это классические находки аудита. Тот, кто параллельно работает над своими настройками безопасности, должен продумывать согласие и политику безопасности контента (Content Security Policy) вместе.

Хороший CMP, кроме того, снимает с отдела маркетинга беспокойство о том, что новые инструменты незаметно станут активными. Как только в тег-менеджере появляется дополнительный тег, еженедельное сканирование относит его к категории и пока блокирует. Тот, у кого есть договор на обслуживание с агентством, получает этот шаг в комплекте. Без такой связки решение по согласию быстро превращается в остров, который хоть и был однажды чисто настроен, но через три месяца уже не отражает того, что на самом деле происходит на сайте.

Какие штрафы грозят при некорректном баннере cookie?

Дело Google: 150 млн евро

Самый дорогой урок прошлых лет преподнёс французский надзорный орган. 31 декабря 2021 года CNIL наложил на Google штраф в размере 150 млн евро, а на Meta дополнительно 60 млн евро. Причина звучит просто: на google.fr и youtube.com для согласия было достаточно одного клика, тогда как отказ требовал нескольких шагов. Эту асимметрию CNIL расценил как несоответствующий правилам механизм отказа и тем самым как нарушение принципа свободного согласия.

Риск в Германии: органы и предупреждения

В Германии штрафы реже становятся публичными, однако риск остаётся высоким. Надзорные органы, такие как BayLDA, LfDI Баден-Вюртемберга или LDI Северного Рейна-Вестфалии, активно проверяют баннеры cookie и выносят формальные предписания. К этому добавляется аспект законодательства о конкуренции. Суд ЕС 4 октября 2024 года в деле Lindenapotheke (C-21/23) подтвердил, что государства-члены могут разрешать конкурентам в судебном порядке преследовать нарушения GDPR как недобросовестную деловую практику. Отдельное нарушение редко стоит 150 млн евро, но повторяющиеся шесть случаев по 5 000 евро адвокатских расходов каждый дают ощутимую сумму.

К этому добавляется репутационный ущерб, который невозможно отразить в виде суммы счёта. Заметка в местной газете о жалобе на защиту данных или отзыв с пометкой "загружает трекеры, прежде чем можно было согласиться" в B2B-продажах действует дольше, чем сам штраф. Именно средний бизнес, чья модель строится на доверии, такие замечания затрагивают сильнее, чем разовый штраф. Юридическая оценка и экономические последствия, это две стороны одной обязанности.

Ein Mann in einem roten T-Shirt arbeitet im Freien an einem Laptop. Hinter ihm sind Glasfenster und Bäume.

Бремя доказывания лежит на операторе

Бремя доказывания несёт оператор сайта. Ст. 7 абз. 1 GDPR формулирует это однозначно: тот, кто ссылается на согласие, должен иметь возможность его подтвердить. Система согласия без логирования, поэтому, не является решением, а представляет собой риск. В спорной ситуации Вы должны показать, когда какой посетитель согласился на какую категорию и какая версия баннера была тогда активна. Без таких протоколов защита практически невозможна.

Тёмные паттерны и типичные ошибки в управлении согласием

Что вскрывает исследование noyb

Самое честное исследование баннеров cookie исходит от noyb, инициативы Макса Шремса. Изучение 560 сайтов в 33 странах дало в мае 2021 года ясную картину: 81 процент вообще не предлагал кнопку отказа на первом уровне, 73 процента использовали цветовые трюки, чтобы подтолкнуть к согласию, и 90 процентов затрудняли последующий отзыв. Этот паттерн повторяется и пять лет спустя.

Пять классов ошибок из практики аудита

Из моей практики аудита вытекают пять классов ошибок, которые я нахожу почти всегда:

  1. Трекинг до согласия. Скрипты запускаются при открытии страницы, баннер появляется только после этого. С точки зрения защиты данных ущерб уже нанесён, прежде чем посетитель вообще смог кликнуть.
  2. Скрытая кнопка отказа. "Принять" светится яркими цветами, "Настройки" расположены серым в нижней части баннера, а кнопки "Отклонить" вообще нет или она появляется на два клика глубже. Именно эта конфигурация стоила Google 150 млн евро.
  3. Категории без действия. Пользователь делает выбор, но в исходном коде все скрипты работают независимо от статуса. Даже красивый баннер не защищает, если отсутствует техническое управление.
  4. Отсутствие функции повторного открытия. Посетитель не может изменить свой выбор, потому что в нижней части сайта нет ссылки "Изменить настройки конфиденциальности". Это напрямую нарушает ст. 7 абз. 3 GDPR.
  5. Устаревшая конфигурация. Маркетинг в течение года встраивает инструменты, а конфигурация согласия не перемещается вместе с ними. Через шесть месяцев сайт передаёт данные сервисам, которые в баннере вообще не указаны.

Тот, кто относится к баннеру как к дизайнерской задаче, упускает суть. Это юридический инструмент с технической основой. Импрессум также относится к базовому юридическому оснащению каждого сайта, но его можно дописать без логики согласия. С баннером cookie так не получится.

Частые ошибки в cookie-баннере

  • ❌ Баннер показывает только уведомление, но не даёт реального выбора
  • ❌ Файлы cookie работают до получения согласия
  • ❌ «Отклонить» скрыто или трудно найти
  • ❌ Нет хранения или документирования согласия
  • ❌ Отзыв согласия невозможен

Из-за этих ошибок сайт не соответствует GDPR, даже если баннер отображается.

Как внедрить CMP на сайт с минимальным обслуживанием?

Чистое внедрение проходит в пять шагов. Важна последовательность: тот, кто начинает с дизайна баннера вместо инвентаризации, строит красивые интерфейсы для реальности, которую вообще не знает.

Шаг 1: Инвентаризация всех скриптов

Какие скрипты работают сейчас? Какие встраивания, какие маркетинговые пиксели, какие инструменты в тег-менеджере? Автоматическое сканирование помогает, но не заменяет взгляда в исходный код и в требования отдела маркетинга. Только когда Вы знаете, что передаёт данные, Вы можете это контролировать.

Шаг 2: Выбор подходящего инструмента

Для классических сайтов малого и среднего бизнеса до 50 000 просмотров страниц в месяц обычно достаточно Cookiebot или Borlabs Cookie. Более крупные конфигурации с несколькими доменами и поддоменами выигрывают от Usercentrics или OneTrust. Важна совместимость с TCF, если встраиваются рекламные сети, а также API для собственных скриптов, которые должны реагировать на изменения согласия.

Шаг 3: Техническая интеграция

Все внешние скрипты сначала блокируются и разблокируются через cookie-менеджер. Тот, кто использует тег-менеджер, прописывает триггеры согласия для каждого тега и затем проверяет в режиме предпросмотра, действительно ли при фиктивном первом посещении ничего не срабатывает. При прямом встраивании в шаблон помогает маркировка класса, которую CMP после согласия переписывает в исполняемый MIME-тип. Внешние шрифты Вы загружаете локально со своего сервера, это экономит целую категорию согласия. Встраивания, такие как YouTube, Vimeo или Google Maps, Вы заменяете кликабельными плейсхолдерами с превью-изображением, которые подгружают оригинальный сервис только после согласия.

Шаг 4: Документирование и ссылка для повторного открытия

Каждый акт согласия попадает в журнал инструмента, в нижней части сайта появляется видимая ссылка "Настройки cookie", а баннер получает чётко сформулированные тексты. Так согласие остаётся в любой момент доказуемым и отзываемым.

Шаг 5: Ежеквартальная рутина

Часто забываемый шаг. Раз в квартал: запустить сканирование, рассортировать новые скрипты, удалить старые теги. Тот, кто здесь сохраняет дисциплину, надолго остаётся в покое. Для компаний, которые берутся за это в рамках профессиональной реализации веб-дизайна, рутину можно интегрировать в договор на обслуживание.

Честное замечание о выручке: юридически корректные баннеры стоят конверсии. Согласно бенчмарку etracker, в среднем теряется 60 % данных о посещениях, когда баннер оформлен чисто. Эта цифра звучит сурово. Но это реальность, с которой должны считаться серьёзные операторы. Взамен отпадает риск штрафов и предупреждений, и это в долгосрочной перспективе более выгодный обмен.

Баннер cookie как сигнал доверия

Баннер cookie, это не цель. Цель, это сайт, трекинг которого запускается только после реального согласия и который может в любой момент это согласие подтвердить. Тот, кто относится к этому серьёзно, оформляет согласие и отказ на равных условиях, технически чисто блокирует все необязательные скрипты и протоколирует каждое решение. Инструменты, такие как Cookiebot, Usercentrics или Borlabs, облегчают реализацию, но не заменяют ответственности оператора за постоянное обслуживание.

Я сопровождаю цифровые проекты уже более 21 года и за это время настроил, исправил или заменил десятки конфигураций cookie. Самые дорогие ошибки никогда не были технически сложными. Это всегда был баннер, который скрывал проблему вместо того, чтобы её решить. Тот, кто один раз вложит усилия как следует, избавляет себя от предупреждений, предписаний органов и прежде всего от неприятного чувства при следующем аудите.

Из практики Evelan

Многие наши клиенты вообще не осознают, что их сайт передаёт данные, прежде чем кто-либо дал согласие. Видео с YouTube на главной странице, карта Google Maps со схемой проезда, Google Analytics для аналитики, плюс баннер, который предлагает только "Принять" и не имеет настоящей кнопки отказа. На первый взгляд всё выглядит аккуратно, но в фоновом режиме трекеры уже давно работают.

Именно такую конфигурацию мы в Evelan видим регулярно, во всех отраслях от ремесленников до консалтинга. Сначала мы фиксируем, какие сервисы действительно отправляют данные, блокируем все необязательные скрипты через слой согласия и заменяем встраивания, такие как YouTube или Maps, кликабельными плейсхолдерами. Затем мы настраиваем журнал согласия и видимую ссылку для повторного открытия в нижней части сайта. Никакого релонча, только чистая интеграция согласия, которая выдержит следующий аудит.

Часто задаваемые вопросы

Только технически безусловно необходимые cookie, например для корзины, статуса входа, токена CSRF или выбора языка. § 25 абз. 2 TDDDG разрешает это исключение. Как только cookie обеспечивает аналитику, маркетинг или комфорт сверх существенного, Вам нужно активное согласие согласно ст. 6 и ст. 7 GDPR.

Похожие статьи Evelan

Источники

Безопасность веб-сайта

Последние публикации

Команда анализирует графики PageSpeed Insights по LCP, INP и CLS за столом

Оптимизация Core Web Vitals: LCP, INP и CLS

May 23, 2026

SEO

Core Web Vitals 2026: LCP до 2,5 с, INP до 200 мс, CLS до 0,1. По данным HTTP Archive, только 43 процента мобильных origins проходят все три порога.

Читать далее

Мужчина и женщина в офисе вместе работают за компьютером и анализируют диаграммы по производительности сайта.

SEO-ошибки: как эффективно оптимизировать сайт

May 23, 2026

ЭТО

SEO-ошибки крадут видимость: лишь 0,63 % пользователей кликают на вторую страницу Google (Backlinko, 2023). Решение 7 типовых проблем по шагам.

Читать далее

Два коллеги анализируют на ноутбуке влияние Google Core Update на ранжирование своего B2B-сайта

Обновления алгоритма Google и Ваш рейтинг

May 23, 2026

ЭТО

Google выпускает несколько Core Updates в год (Google Search Status Dashboard, 2024). Как сохранить ранжирование B2B-сайта после обновления.

Читать далее