Юридически защищённый сайт: практическое руководство

Юридически защищённый сайт, это не разовая настройка, а постоянное состояние. Оно достигается тогда, когда защита данных, обязательные сведения, техническая безопасность и обслуживание чисто сцепляются друг с другом. Насколько серьёзна ситуация, показывает отчёт Bitkom-Wirtschaftsschutz 2024: 81 % немецких компаний за двенадцать месяцев пострадали от кражи данных, шпионажа или саботажа. Это руководство показывает, что действительно важно: правовые основы, типичные ловушки баннера cookie, технические обязанности по Art. 32 DSGVO и текущие задачи хорошего веб-агентства. Важно понимать, что GDPR (DSGVO) обязывает и операторов из-за пределов ЕС, если они нацелены на пользователей в ЕС.

Что делает сайт юридически защищённым?

Сайт считается юридически защищённым, когда одновременно выполнены все актуальные требования: GDPR (DSGVO), TTDSG, новый Закон о цифровых услугах (DDG), а также обязанности из конкурентного права. Статья 5 DSGVO закрепляет шесть принципов: от законности через ограничение цели до минимизации данных. Если хотя бы один элемент выпадает, возникает проблема.

Многие веб-сайты безупречно выполняют отдельные пункты и проваливаются на остальном. Идеально сформулированная политика конфиденциальности не защищает, если трекинговый скрипт уже при загрузке страницы передаёт данные на сервер в США. Полноэкранный баннер cookie бесполезен, если отказ технически игнорируется. Compliance, это не галочка, а проверяемое состояние.

Обязательные сведения как фундамент

К этому добавляются формальные обязанности. § 5 Закона о цифровых услугах (DDG), который с мая 2024 года заменил § 5 TMG, требует полного выходного блока (Impressum) для любого коммерческого веб-присутствия. Кроме того, каждому сайту нужна политика конфиденциальности по Art. 13 DSGVO. И то и другое должно быть доступным, актуальным и корректным.

В B2B-проектах Evelan я раз за разом вижу один и тот же шаблон: две обязанности сидят чисто, три проваливаются. Impressum в порядке, а политика конфиденциальности шаблонная. Или тексты идеальны, но конфигурация сервера падает на пентесте за двадцать минут. Поэтому юридическая защищённость, это не только правовая тема. Это сквозная дисциплина между правом, технологиями и процессом.

Какие обязанности по защите данных действуют для каждого сайта?

Как только веб-присутствие обрабатывает персональные данные, начинает действовать GDPR, а это происходит практически всегда. Уже IP-адрес в логе сервера, это персональные данные. Статья 13 DSGVO перечисляет 13 обязательных сведений, которые должна содержать каждая политика конфиденциальности: от ответственного лица через правовое основание до прав субъектов данных.

Правовое основание и согласие

Главный вопрос всегда: на каком правовом основании обрабатываются данные? Art. 6 абз. 1 DSGVO называет шесть вариантов, на практике доминируют три. Согласие (lit. a), договор (lit. b) и законный интерес (lit. f). Для контактных форм часто достаточно законного интереса плюс информации. Для трекинговых cookie, рассылок и шрифтов от сторонних провайдеров необходимо активное согласие, иначе обработка попросту незаконна.

Обработка по поручению и штрафы

Об обработке по поручению часто забывают. Кто использует Mailchimp, HubSpot или внешний хостинг, заключает договор об обработке по поручению (AVV) по Art. 28 DSGVO. Без AVV отсутствует основание. Отчёты о деятельности BfDI, это надзорный орган Германии по защите данных, год за годом показывают, что отсутствующие или устаревшие AVV входят в число самых частых замечаний.

Размер штрафов суров. Art. 83 абз. 5 DSGVO допускает штрафы до 20 миллионов евро или 4 % мирового годового оборота за предыдущий финансовый год, в зависимости от того, что выше. Enforcement Tracker от CMS Hasche Sigle собирает публично известные дела в Европе и насчитывает уже несколько тысяч случаев. Средний бизнес обычно попадает в диапазон четырёх- или шестизначных сумм. То есть это касается не только концернов.

Часто упускают международную передачу данных. Как только сайт встраивает Google Analytics, Google Fonts через CDN, ролики YouTube, Meta Pixel, Calendly или американский CRM, персональные данные потенциально покидают ЕС. После решения Суда ЕС C-311/18 Schrems II от 16 июля 2020 года Privacy Shield недействителен, преемник EU-US Data Privacy Framework действует с июля 2023 года, но юридически не бесспорен. Практически это означает: стандартные договорные оговорки, оценка последствий передачи, в сомнительных случаях отказ от сервиса. Кто здесь ничего не документирует, проваливает первую же надзорную проверку.

Когда баннер cookie соответствует GDPR?

Баннер cookie соответствует GDPR, если он получает реальное, свободное и информированное согласие до того, как загрузится любой необязательный скрипт. Эталон, это § 25 TTDSG в связке с Art. 7 DSGVO. TTDSG § 25 с декабря 2021 года требует активного согласия на любой доступ к информации на устройстве пользователя. Предустановленные галочки недействительны.

Эта линия подтверждена высшими судами. Суд ЕС в деле Planet49 (C-673/17) 1 октября 2019 года решил, что предустановленные флажки не являются действительным согласием. Верховный суд Германии (BGH) последовал решением Cookie-Einwilligung II (I ZR 7/16) от 28 мая 2020 года. Кто в 2026 году ещё работает с opt-out баннерами, игнорирует семь лет судебной практики.

Надзорные органы конкретизировали этот стандарт. Ориентир конференции по защите данных для телемедиа от 20.12.2021 требует кнопки "Отклонить" уже на первом уровне баннера, оформленной равноценно кнопке "Принять". Тёмные паттерны, например зелёное согласие и серый отказ, считаются недопустимым влиянием. Предустановленные галочки в детальном виде недействительны.

Типичные слабые места на практике

Конкретно это означает: никакого трекингового пикселя до клика. Никаких Google Fonts через CDN без согласия. Никакого YouTube-вставки в "публичном" режиме, если уже трейлер устанавливает соединение с doubleclick.net. Примерно в 60 проектах среднего бизнеса, которые мы аудировали в Evelan за последние годы, неправильно настроенное согласие было самым частым нарушением комплаенса, чаще, чем ошибки в политике конфиденциальности.

Шесть критериев надёжного решения по согласию

Технически устойчивое решение по согласию одновременно отвечает шести критериям. Во-первых, оно само загружается без трекеров. Во-вторых, предлагает "Принять", "Отклонить" и "Настройки" на одной иерархии. В-третьих, различает по категориям: технически необходимое, статистика, маркетинг, внешний контент. В-четвёртых, документирует каждое решение с временной меткой и версией баннера. В-пятых, скрипты подгружаются на сервере только после согласия. В-шестых, согласие можно в любой момент отозвать через видимую ссылку "Настройки cookie". Если эти шесть пунктов выполнены, в теме cookie вы впереди.

Какие технические меры защиты предписывает GDPR?

GDPR обязывает каждого ответственного применять "соответствующие технические и организационные меры", так называемые TOM. Art. 32 DSGVO называет четыре конкретные цели защиты: конфиденциальность, целостность, доступность и устойчивость систем. Шифрование и псевдонимизация упомянуты прямо. При нарушении грозит не только штраф, но и обязанность уведомления по Art. 33 DSGVO.

Уровень угроз объективно высок. Согласно исследованию Bitkom Wirtschaftsschutz 2024, 81 % немецких компаний за последние двенадцать месяцев пострадали от кражи данных, шпионажа или саботажа. Ущерб для немецкой экономики, по данным Bitkom, составляет 266,6 миллиарда евро. BSI-отчёт о ситуации с ИТ-безопасностью, это федеральное ведомство ИТ-безопасности Германии, с 2022 года оценивает общую ситуацию как "максимально высокую за всё время". Ransomware остаётся доминирующим типом атак.

Минимальный стандарт для сайтов

Что это означает практически для сайта? Минимальный стандарт включает шесть элементов. Первое: TLS 1.3 с действующим сертификатом и заголовком HSTS. Второе: актуальные версии ПО, то есть CMS, плагинов, библиотек, серверной ОС, без существенного отставания в патчах. Третье: ролевой доступ с сильными паролями и двухфакторной аутентификацией в админке. Четвёртое: концепция резервного копирования, как минимум ежедневная и регулярно проверяемая. Пятое: логирование, делающее попытки атак заметными. Шестое: Web Application Firewall или сопоставимая защита от автоматических атак.

Тот, кто ищет ориентиры, бесплатно найдёт их у Альянса за кибербезопасность при BSI. Там собраны минимальные стандарты для веб-приложений, чек-листы безопасной конфигурации и рекомендации по управлению патчами. Эти источники открыты и не заменяют аудит, но дают надёжную основу для разговора между руководством, ИТ и уполномоченными по защите данных.

Оценка воздействия на защиту данных

Стоит упомянуть и обязанность по оценке воздействия на защиту данных (DSFA) согласно Art. 35 DSGVO. Она применяется при обработках с предположительно высоким риском для субъектов данных, например при масштабном трекинге, профилировании или чувствительных отраслевых данных. Многие компании среднего бизнеса недооценивают, что сайт с персонализированной рекламой, lead-scoring и привязкой к CRM быстро достигает этого порога. DSFA не тривиальна, но защищает от штрафов и попутно даёт полную инвентаризацию используемых инструментов. Кто один раз чисто её провёл, тот выполнил 80 % дальнейшей работы по комплаенсу.

Когда стоит обращаться в веб-агентство?

Профессиональное агентство имеет смысл там, где право, технология и обслуживание должны постоянно работать вместе, то есть практически для любого делового сайта. Требования GDPR, TTDSG, DDG и судебной практики не статичны. Кто рассматривает их по отдельности, упускает взаимосвязи. По примерно 60 проектам среднего бизнеса в Evelan я вижу: пробелы в комплаенсе почти никогда не возникают из злого умысла, а из размытой зоны ответственности.

Типичные поводы, при которых работа агентства приносит измеримую пользу, это релонч, новые инструменты трекинга или маркетинга, интеграции со сторонними системами, международное масштабирование и любая свежая проверка аудита или договора AVV. И при запросах надзорных органов или жалобах полезно иметь технического партнёра, который может восстановить реестр обработок из кода. Никто не хочет в кризис в первую очередь выяснять, что сайт вообще и кому отправляет.

Постоянное обслуживание как фактор успеха

Постоянное обслуживание, это часть, которую внутри чаще всего недооценивают. Обновления безопасности выходят еженедельно, браузеры меняют политику cookie, Европейский совет по защите данных публикует новые ориентиры, досье ePrivacy движется. Специализированное агентство мониторит эти потоки, переводит их в конкретные тикеты и расставляет приоритеты. Без такой непрерывной связи даже лучший веб-сайт через 12, 24 месяца теряет правовую защищённость.

Экономика против риска

Экономически это окупается быстро. Один инцидент по GDPR, ведущий к штрафу по Art. 83 DSGVO или предупреждению, в среднем бизнесе часто стоит существенно больше, чем три года договора на обслуживание. К этому добавляется репутационный ущерб, который весит тяжелее самого штрафа. В чувствительных отраслях, здравоохранение, финансы, налоговое консультирование, один инцидент может надолго подорвать клиентскую лояльность.

Хорошее агентство поэтому действует как долгосрочный партнёр, а не как проектный исполнитель. Оно берёт на себя постоянное обслуживание сайта, актуализирует юридические тексты при новой судебной практике и проводит квартальные ревью безопасности. Это трезвая отраслевая работа, не блестящая тема. Но именно она решает, стоит ли комплаенс через 18 месяцев или тихо эродирует.

Как сайт остаётся юридически защищённым в долгосрочной перспективе?

Сайт остаётся долгосрочно юридически защищённым, если ведётся как процесс, а не как готовый проект. Конкретно это означает: план обслуживания с фиксированными интервалами, документированные зоны ответственности и мониторинг судебной практики и ориентиров надзорных органов. Уже пропуск одного квартала достаточен, чтобы открыть пробелы, если параллельно подключаются новые инструменты или активируются маркетинговые скрипты.

Трёхуровневый ритм обслуживания

На практике хорошо себя показывает трёхуровневый ритм. Ежемесячно идут автоматизированные проверки безопасности и доступности плюс обновления CMS, плагинов и библиотек. Ежеквартально проводится полная проверка комплаенса: поведение cookie, состав AVV, политика конфиденциальности против актуального права, Impressum, лёгкий пентест. Ежегодно следует более крупный аудит-блок с внешним пентестом, ревью TOM согласно Art. 32 DSGVO и обновлением реестра обработок.

Система раннего оповещения о правовых изменениях

Не менее важно: система раннего оповещения о правовых изменениях. Кто в 2024 году пропустил переход с TMG на DDG, имеет устаревший Impressum. Кто игнорирует следующее решение Суда ЕС по международной передаче данных, рискует следующей волной Schrems. Специализированное веб-агентство, внешний уполномоченный по защите данных или отраслевая рассылка, например от BfDI, здесь не роскошь, а обязанность должной осмотрительности.

Практически надёжные источники для такого мониторинга, это пресс-релизы земельных органов по защите данных, ориентиры Европейского совета по защите данных (EDPB), форум потребительского права центра конкуренции, а также специализированные медиа вроде Legal Tribune Online или heise online. Кто пропускает один квартал, обычно упускает два, три значимых для сайтов решения. Рекомендуется небольшая рутина: фиксированный день в месяц, один час, резюме во внутренней вики. Этого достаточно, чтобы не быть застигнутым врасплох, и заменяет любую дорогую экстренную консультацию задним числом.

Чёткие зоны ответственности

Зоны ответственности должны быть зафиксированы письменно. Кто является ответственным в смысле GDPR, кто уполномоченным по защите данных, кто техническим контактом для агентства, кто решает при запросах надзорных органов? Во многих проектах среднего бизнеса мы находим эти роли согласованными устно. Это работает ровно до тех пор, пока не сменится директор или внешний ИТ-провайдер не разорвёт договор. Одна страница документации в реестре процедур защищает больше, чем любая дорогая программная лицензия.

Похожие статьи Evelan

• Что на самом деле требует Общий регламент по защите данных?
• Как правильно реализовать обязательный баннер cookie
• Почему юридически корректный Impressum необходим каждому сайту
• Как избежать крупнейших уязвимостей современных сайтов
• С правильным агентством обслуживание сайта становится фактором успеха

Источники

• EUR-Lex: Общий регламент по защите данных, Регламент ЕС 2016/679 (2016)
• Gesetze im Internet: TTDSG § 25, защита приватности на оконечных устройствах (2021)
• Gesetze im Internet: DDG § 5, общие обязанности по информированию (2024)
• Суд ЕС: Решение C-673/17 Planet49 (2019)
• BGH: Решение I ZR 7/16 Cookie-Einwilligung II (2020)
• Datenschutzkonferenz: ориентир для провайдеров телемедиа (2021)
• Bitkom: исследование Wirtschaftsschutz 2024 (2024)
• BSI: отчёт о ситуации с ИТ-безопасностью в Германии (2024)
• BfDI: отчёт о деятельности по защите данных (2024)
• CMS Hasche Sigle: GDPR Enforcement Tracker (2024)