auftrag.at

Платформа государственных тендеров Австрии — 57 запросов, 9 доменов, все в ЕС. PostHog EU инстанс загружается за 280 мс до Usercentrics CMP. Wiener Zeitung Digital Publications GmbH — оператор.

Хронология утечки

+1313 мс · до баннера

PostHog EU (eu-assets.i.posthog.com) — конфиг загружается. EU инстанс, данные в ЕС.

+1426 мс · до баннера

PostHog EU (eu.i.posthog.com/e/) — первый event отправлен. До согласия.

+2947 мс · баннер готов

Usercentrics consent API — конфигурация баннера загружена полностью.

Зафиксированные нарушения

GDPR Art. 6(1), Art. 5(1)(a)

PostHog EU (+1313 мс) загружается за 280 мс до Usercentrics CMP (+1593 мс). Данные о посещении уходят до появления баннера согласия.

Контекст

auftrag.at — австрийская платформа публичных закупок и государственных тендеров, оператор Wiener Zeitung Digital Publications GmbH (дочерняя компания исторической Wiener Zeitung). Публикует тендеры австрийских государственных органов. DPO: datenschutz@auftrag.at. HAR: 57 запросов, 9 доменов.

Всё в ЕС — хорошая архитектура

Девять доменов — все европейские. PostHog EU (eu-assets.i.posthog.com, eu.i.posthog.com) — европейский инстанс PostHog, данные хранятся в ЕС. Usercentrics (web.cmp.usercentrics.eu) — немецкая CMP. Ни одного американского сервиса, ни Google Analytics, ни Facebook, ни Cloudflare.

PostHog до Usercentrics — 280 мс

PostHog EU загружает конфиг на +1313 мс и немедленно отправляет первый event на +1426 мс. Usercentrics CMP появляется только на +1593 мс. Разрыв 280 мс — PostHog собирает данные о посещении до того как пользователь видит баннер.

Решение техническое: инициализировать PostHog только после получения согласия через Usercentrics. Usercentrics поддерживает интеграцию с PostHog через собственный SDK — можно настроить блокировку до согласия за несколько строк конфигурации.

Политика — подробная, на русском

Необычно: политика конфиденциальности auftrag.at написана на русском языке — вероятно скопирована из шаблона или переведена автоматически. Датирована 25 февраля 2026 года. Описывает оператора (Wiener Zeitung Digital Publications GmbH, Мария-Якоби-Гассе 1, 1030 Вена), контакт DPO, категории данных и правовые основания. PostHog в политике не упомянут.

Вывод

auftrag.at — правильная европейская архитектура: PostHog EU вместо Google Analytics, Usercentrics вместо OneTrust. Единственная проблема — порядок загрузки: PostHog должен ждать согласия от Usercentrics. Настраивается за несколько минут через Usercentrics интеграцию.

Доказательство

Оригинал (разбор)

HAR-файл: at/auftrag-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом auftrag.at.

2. Обстоятельства
Я посетил сайт auftrag.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) PostHog EU (+1313 мс) загружается за 280 мс до Usercentrics CMP (+1593 мс). Данные о посещении уходят до появления баннера согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-auftrag-at/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]