Почему "DSGVO 2026" вводит столько компаний в заблуждение

Формулировка "DSGVO 2026" активно гуляет по деловым изданиям и юридическим рассылкам. Звучит так, будто вот-вот вступает в силу новый закон. На практике - ничего подобного. Никакого "DSGVO 2.0", вступившего в силу в 2026 году, нет. Общий регламент по защите данных действует на всей территории ЕС с 25 мая 2018 года и остаётся основной правовой рамкой без изменений в ключевых обязательствах. Европейская комиссия прямо подтверждает это: GDPR - действующая правовая основа защиты данных в ЕС.

Путаница возникает по двум причинам. Первая: некоторые издания используют "DSGVO 2026" как кликбейтный заголовок, смешивая действующий регламент с предложениями о будущих изменениях. Вторая: пакет Digital Omnibus, принятый Европейской комиссией 19 ноября 2025 года, действительно содержит предложения по упрощению цифровых правил и управлению согласиями. Но предложение - это не закон. Digital Omnibus сейчас проходит законодательный процесс ЕС и не оказывает никакого обязательного влияния на работу немецких компаний сегодня.

Одно из самых распространённых заблуждений, с которыми мы сталкиваемся: компании думают, что куки-баннеры отменяют или что требования к согласиям станут необязательными. Это не так. Опции отказа, логирование согласий и механизмы их отзыва остаются обязательными по действующим немецким стандартам правоприменения.

Что реально меняется в 2026 году - и что нет

Рамка GDPR не изменилась. Принципы законной обработки данных, требования к согласию и права субъектов данных действуют ровно так же, как в 2018 году. Изменилась точность и жёсткость правоприменения в Германии - со стороны BfDI (Федерального уполномоченного по защите данных и свободе информации), DSK (Конференции по защите данных) и административных судов.

Требования к куки-баннерам конкретизировались через регуляторные разъяснения и судебную практику. То, что раньше считалось общим принципом - отказ должен быть таким же простым, как согласие - теперь подкреплено прямыми указаниями регуляторов и судебными решениями. Немецкие надзорные органы уже не просто публикуют рекомендации. Они действуют по ним.

Старый нарратив "ждём регламента ePrivacy" тоже пора отложить в сторону. Процедура по регламенту ePrivacy в прежнем виде прекращена. Рамка, которая формирует практику куки-согласий в Германии сегодня, - это действующий GDPR и TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) в интерпретации BfDI и DSK. Это и есть рабочая реальность.

Что должен делать правомерный куки-баннер в Германии сегодня

BfDI и DSK последовательно и чётко сформулировали, что нужно юридически корректному куки-баннеру. Это не пожелания. Это действующий стандарт правоприменения для сайтов, работающих в Германии.

Кнопка "Всё отклонить" должна появляться на первом слое баннера. Пользователь не должен переходить на второй экран, чтобы найти возможность отказаться от нежелательного отслеживания. Это требование подтверждено в руководстве BfDI по куки-баннерам и закреплено в Orientierungshilfe DSK для поставщиков цифровых услуг.

Симметрия между принятием и отклонением обязательна. Отказ от отслеживания не должен требовать больше шагов, чем его принятие. Если "Принять всё" - один клик на первом слое, то "Отклонить всё" должно быть столь же доступным. Дизайны, которые прячут кнопку отказа, делают её серой или труднее находимой, чем кнопку принятия, расцениваются как тёмные паттерны (dark patterns) и недопустимы.

Возможность отзыва согласия должна быть доступна в любое время и реально доступна внутри сайта. Недостаточно получить согласие на баннере, а затем сделать его отзыв сложным или невозможным без обращения к вебмастеру. Нужен постоянный механизм - как правило, ссылка на настройки cookies в подвале сайта или плавающая иконка.

Это не теория. Решение Verwaltungsgericht Hannover, опубликованное LfD Niedersachsen, подтвердило: кнопка "Alles ablehnen" обязательна, а манипулятивный дизайн недопустим. Судебные решения перевели эти требования из рекомендательных документов в обязательные нормы.

Технические требования за баннером

Правомерный баннер требует корректно настроенной Consent Management Platform (CMP). Список поставщиков должен быть полным и точно описывать цели каждого инструмента. Неполные или неверно помеченные конфигурации поставщиков - одна из самых частых точек отказа при проверках.

Логирование согласий обязательно. Система должна записывать, с чем согласился пользователь, временную метку и объём согласия. Если надзорный орган запросит подтверждение согласия во время проверки, нужно иметь возможность предъявить этот лог. На многих сайтах баннер выглядит корректно, но за ним нет никакой инфраструктуры логирования.

Механизм отзыва должен быть технически функциональным, а не просто визуально присутствующим. Пользователи, нажавшие "Изменить настройки cookies", должны иметь возможность изменить или отозвать согласие так, чтобы соответствующие скрипты реально перестали работать.

Реальная проблема шире баннера

Куки-баннер - это видимая поверхность. Задача по комплаенсу лежит в технической архитектуре под ним. Баннер, который выглядит корректно, всё равно может быть несоответствующим, если реализация под ним сломана.

Google Tag Manager - одна из самых частых точек отказа. Теги не должны срабатывать до того, как зафиксировано согласие. На практике мы регулярно видим конфигурации GTM, где скрипты отслеживания загружаются при рендере страницы независимо от того, что пользователь выбрал на баннере. Consent Mode должен быть корректно настроен, и каждый тег должен быть привязан к соответствующему сигналу согласия - корректная настройка этих сигналов входит в техническую основу, которую мы закладываем при разработке сайтов в России для клиентов немецкого рынка.

Аналитика и ремаркетинговые инструменты требуют явного opt-in. Google Analytics 4, Meta Pixel, LinkedIn Insight Tag и аналогичные инструменты должны активироваться только после того, как пользователь дал согласие на соответствующие цели. Работа этих инструментов в режиме opt-out - когда они запускаются по умолчанию, пока пользователь явно не откажется, - не соответствует действующему немецкому стандарту. Для компаний, которые параллельно ведут продвижение, это напрямую затрагивает интернет-маркетинг в России: аналитика, ограниченная согласием, влияет на атрибуцию и качество данных об аудитории.

Встроенный контент создаёт дополнительные риски. Видео YouTube, карты Google Maps, чат-виджеты и аналогичные сторонние элементы загружают скрипты от своих провайдеров и могут передавать данные на серверы в США или других третьих странах. Каждое такое соединение требует либо согласия, либо иного допустимого правового основания по главе V GDPR для трансграничной передачи данных. Встраивание этих элементов без consent gate - пробел в комплаенсе, даже если сам куки-баннер настроен корректно.

CRM-формы и контактные формы, связанные со сторонними обработчиками (HubSpot, Salesforce, Pipedrive), тоже могут инициировать передачу данных. Наличие любой интеграции, отправляющей данные пользователей в американский сервис, требует правового основания, задокументированного в политике конфиденциальности, и в большинстве случаев - соглашения об обработке данных (DPA) с поставщиком.

Современные архитектуры сайтов добавляют сложности

Single-page applications и headless CMS архитектуры требуют дополнительного внимания. Состояние согласия должно корректно передаваться между страницами при клиентской навигации без перезагрузки. Стандартные интеграции баннеров, разработанные для традиционных многостраничных сайтов, могут молча давать сбои в SPA-окружениях - поэтому архитектура согласия должна учитываться ещё на этапе дизайна сайта в России, до написания первой строки кода.

Мультидоменные конфигурации создают проблемы с согласованностью. Если пользователь дал согласие на одном домене, а затем перешёл на связанный поддомен или другой домен той же организации, состояние согласия должно обрабатываться последовательно. Несогласованность - это и пробел в комплаенсе, и плохой пользовательский опыт.

Server-side tracking, который некоторые команды внедряют в обход блокировки на уровне браузера, не снимает обязательств по согласию. Сигнал согласия всё равно должен передаваться в серверные системы. Server-side tracking без передачи сигнала согласия - не решение для комплаенса, а проблема комплаенса с другой технической формой.

Что предложение Digital Omnibus может изменить в будущем

Европейская комиссия приняла пакет Digital Omnibus 19 ноября 2025 года. Он включает предложения по упрощению цифровых правил, снижению регуляторной нагрузки для малого бизнеса и борьбе с "усталостью от куки-баннеров" - ситуацией, когда пользователи сталкиваются с таким количеством запросов на согласие, что вся система стала контрпродуктивной. FAQ Еврокомиссии по Digital Package описывает намерение изучить настройки конфиденциальности на уровне браузера как альтернативу баннерам на каждом сайте.

Направление предложения реальное. ЕС признал, что нынешний ландшафт управления согласиями проблематичен и для пользователей, и для операторов. Идея о том, что настройки браузера могут заменить или дополнить куки-баннеры на каждом сайте, - это значимый сдвиг в подходе, если он станет законом. Пока этого не произошло, вкладывать ресурсы в SEO-продвижение сайтов в России и при этом игнорировать комплаенс - контрпродуктивно: ненадлежащее отслеживание подрывает качество данных, на которых строится SEO-стратегия.

EDPB (Европейский совет по защите данных) и EDPS (Европейский инспектор по защите данных) выпустили совместное заключение по Digital Omnibus, поддерживающее цель упрощения, но предупреждающее, что предлагаемые изменения не должны ослаблять реальную защиту данных. Регуляторы хотят меньше трений для легитимных случаев, а не меньше защиты для пользователей.

Для бизнеса сегодня Digital Omnibus не требует никаких действий. Законодательный процесс продолжается, дата вступления в силу не определена, а действующие требования полностью сохраняются. Строить планы в расчёте на то, что куки-баннеры скоро исчезнут, - преждевременно и юридически рискованно.

Типичные ошибки с куки-баннерами и отслеживанием

По тому, что мы видим при аудитах сайтов немецких клиентов, ряд ошибок повторяется стабильно. Большинство из них не заметны пользователю при обычном просмотре сайта - поэтому их легко пропустить и сложно обнаружить без технической проверки.

• Нет кнопки "Отклонить всё" на первом слое баннера - пользователь должен перейти на дополнительные экраны, чтобы отказаться
• Сторонние скрипты загружаются до того, как зафиксировано решение о согласии
• Теги GTM настроены без проверок согласия - скрипты срабатывают при загрузке страницы независимо от состояния баннера
• Аналитические инструменты работают в режиме opt-out вместо opt-in
• YouTube и Google Maps загружаются без consent gate
• Нет доступного механизма отзыва внутри сайта - согласие получено однажды и не может быть изменено
• Список поставщиков в CMP неполный или цели указаны некорректно
• Нет логирования согласий - нет возможности доказать, что и когда пользователь одобрил
• Несогласованное состояние согласия между несколькими доменами или поддоменами
• Server-side tracking внедрён без передачи сигналов согласия

Каждый из этих пунктов - реальный пробел в комплаенсе, а не теоретический риск. Надзорные органы в Германии активно проверяют именно эти аспекты. Сайт с правильно выглядящим баннером, но сломанной реализацией под ним находится не в лучшей позиции, чем сайт вообще без баннера.

Что стоит проверить на вашем сайте прямо сейчас

Ниже практический чеклист по наиболее критичным точкам. Пройтись по нему можно без технических знаний - чтобы понять, какие вопросы требуют дальнейшего изучения. Но для исправления найденного потребуется техническая реализация.

• Видимость на первом слое: видна ли кнопка "Отклонить всё" на первом экране куки-баннера без прокрутки и дополнительных кликов?
• Симметрия: требует ли отказ столько же шагов, сколько принятие?
• Отзыв согласия: есть ли на сайте постоянная ссылка или механизм для изменения или отзыва согласия на cookies в любое время?
• Загрузка скриптов: сторонние инструменты (аналитика, пиксели, чат-виджеты) загружаются только после того, как пользователь сделал выбор?
• Настройка GTM: корректно ли настроены сигналы согласия для всех соответствующих тегов в Google Tag Manager?
• Список поставщиков CMP: перечислены ли в вашей платформе управления согласиями все активные сторонние инструменты с точным описанием целей?
• Лог согласий: сохраняются ли выборы пользователей с временной меткой, которую можно предъявить при проверке?
• Трансграничные передачи данных: для каждого американского сервиса, получающего данные пользователей, задокументировано ли допустимое правовое основание в политике конфиденциальности?

Einwilligungsverordnung и альтернативы классическому баннеру

Германия ввела Einwilligungsverordnung - регуляторную рамку, которая позволяет признанным сервисам управления согласиями выступать альтернативой куки-баннерам на каждом сайте. В 2025 году BfDI объявил о первом признанном сервисе управления согласиями в рамках этого регулирования. Это означает, что для части бизнеса альтернатива традиционной модели CMP-баннера уже существует в немецкой практике - не как будущая возможность, а как доступный сейчас вариант.

Подходит ли эта альтернатива для конкретного сайта - зависит от технической архитектуры и аудитории. Стоит обсудить с техническим партнёром, если вы планируете пересмотр сайта или проверку комплаенса - особенно если сайт ожидает редизайн, при котором требования к продвижению в AI и архитектуре согласия можно спланировать совместно с самого начала.

Когда имеет смысл подключить технического партнёра

Понимать, что требует закон, и корректно реализовать это в коде - разные вещи. Многие компании работают с юристами, которые консультируют по требованиям, а затем передают реализацию разработчикам без опыта в архитектуре согласий на техническом уровне. Именно в разрыве между юридическим требованием и работающей реализацией чаще всего возникают сбои в комплаенсе.

В нашей работе с клиентами на немецком рынке мы регулярно видим сайты, где текст баннера юридически точен, но базовая конфигурация сломана. Скрипты загружаются до получения согласия. Теги срабатывают безусловно. Логирование отсутствует. Политика конфиденциальности ссылается на инструменты, которые уже не используются, а реально работающие инструменты не задокументированы.

Технический аудит имеет смысл в нескольких ситуациях: при планировании редизайна или крупной переработки сайта, при добавлении новых сторонних интеграций, если согласие настройки не пересматривались более двенадцати месяцев, или если вы готовитесь к комплаенс-ревью и хотите проверить реальное техническое состояние сайта.

Технический аудит сайта включает: проверку конфигурации и UX-соответствия баннера, настройки CMP и списка поставщиков, реализации consent в Google Tag Manager, инвентаризацию сторонних скриптов и зависимостей от согласия, верификацию логирования согласий и документирование трансграничных передач данных. Webdelo не оказывает юридических консультаций. Мы реализуем технический слой, который переводит юридические требования в работающий код - и понимаем, что немецкий регуляторный контекст требует от этой реализации.

Что это означает для вашего бизнеса

Рамка GDPR не изменилась. Правоприменительная среда в Германии стала жёстче, чем два года назад. Digital Omnibus - это предложение, которое обсуждается, а не закон. И куки-баннер - это вход в вопрос комплаенса, который проходит через весь технический стек сайта.

Компании, которые относятся к управлению согласиями как к разовому чекбоксу, принимают риск, который несложно устранить. Сайт, который загружает скрипты отслеживания до получения согласия, не имеет логирования и делает отказ сложнее принятия - не соответствует действующим немецким стандартам, независимо от того, как выглядит баннер на поверхности.

Если вы хотите понять реальное состояние реализации согласий на вашем сайте, мы готовы провести технический аудит. Это включает проверку конфигурации куки-баннера, настройки CMP, реализации consent в GTM, инвентаризацию сторонних скриптов и верификацию логирования. Для компаний, планирующих новый сайт или значимую переработку существующего, мы поддерживаем полную реализацию технической архитектуры, соответствующей требованиям consent. Вы можете связаться с командой Webdelo, чтобы обсудить объём и что именно включала бы проверка для вашей конкретной конфигурации.