EUGDPR Audit
RU EN
Технический аудит · 2026-05-26

orf.at

Österreichischer Rundfunk — австрийское общественное телерадиовещание
AT

Австрийское общественное телевидение — 85 запросов, 22 домена. Privacy Center CMP с TCF 2.0 — согласие передаётся в Adition и DoubleClick. Matomo self-hosted на app-analytics.orf.at. adnz.co семантический таргетинг загружается до баннера.

Хронология утечки

+917 мс · при загрузке
Matomo (app-analytics.orf.at) — self-hosted аналитика ORF.
+1344 мс · баннер
Privacy Center CMP (sdk.privacy-center.org) — TCF 2.0 баннер.
+1344 мс · до согласия
adnz.co/semantiq — семантический таргетинг. Загружается одновременно с баннером.
+2093 мс · до согласия
Adition (imagesrv.adition.com/js/aut.js) — рекламная инфраструктура.
+2534 мс · до согласия
api.adnz.co clickstream batch — данные уходят до согласия.
+2884 мс · с согласием
Adition запрос с gdpr=1&gdpr_consent=CQk0NkAQ... — TCF consent string передан.
+3406 мс · с согласием
DoubleClick trackimp — трекинг показа рекламы.
+3602 мс
createjs.com CDN — рекламный баннер (Flash-legacy библиотека).

Декларация против факта

+ adnz.co / Semantiq (до согласия) — не заявлен
+ createjs.com CDN — не заявлен
+ IAS AdSafeProtected — не заявлен

Тайминги передачи

+1344 мс sdk.privacy-center.org баннер Privacy Center CMP TCF 2.0
+1344 мс adnz.co до согласия Semantiq — семантический таргетинг
+2534 мс api.adnz.co до согласия Clickstream batch — данные до согласия
+2884 мс ad13.adfarm1.adition.com с TCF согласием gdpr=1&gdpr_consent=CQk0NkAQ...

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

ORF (Österreichischer Rundfunk) — австрийское общественное телерадиовещание, крупнейший медиа-оператор страны. Финансируется из GIS-абонентской платы и рекламы. Сайт orf.at — ведущий австрийский новостной портал. HAR: 85 запросов, 22 домена.

Privacy Center CMP — TCF 2.0 реализован

ORF использует Privacy Center CMP (sdk.privacy-center.org) с TCF 2.0. Запросы к Adition содержат реальный TCF consent string: gdpr=1&gdpr_consent=CQk0NkAQk0NkAAHABBENCgFgA.... Это означает что согласие корректно передаётся рекламным партнёрам через IAB TCF механизм. DoubleClick trackimp загружается после получения согласия.

Matomo self-hosted — правильный выбор

app-analytics.orf.at/matomo.js (+917 мс) — Matomo на собственном субдомене ORF. Аналитика остаётся в инфраструктуре ORF. Тот же подход что у AGES и EBA.

adnz.co — до баннера

adnz.co/semantiq/semantiq.js (+1344 мс) загружается одновременно с CMP баннером — то есть до получения согласия. Semantiq — система семантического таргетинга рекламы (анализирует контент страницы для подбора рекламы без cookies). На +2534 мс api.adnz.co отправляет clickstream данные batch-запросом. Семантический таргетинг без cookies находится в правовой серой зоне GDPR — не идентифицирует пользователя, но анализирует поведение.

Adition — австрийская рекламная сеть

Adition (ныне часть Virtual Minds / Ströer) — немецкая рекламная платформа. ORF использует её как основную рекламную сеть. is.orf-player.at — собственный домен ORF для видеоплеера, загружает рекламные баннеры с Adition через собственный прокси.

createjs.com — Flash-legacy

code.createjs.com/1.0.0/createjs.min.js (+3602 мс) — CDN библиотеки CreateJS (Adobe), изначально созданной для миграции Flash-контента на HTML5. Используется для рендеринга рекламного баннера. Публичный CDN Adobe, данные в США.

Вывод

ORF реализовал TCF 2.0 корректнее многих коммерческих сайтов серии: consent string реально передаётся в Adition и DoubleClick, Matomo self-hosted. Основное замечание — adnz.co Semantiq загружается до согласия и отправляет clickstream данные. createjs.com — внешний CDN для рекламы без упоминания в политике.

Доказательство
Оригинал (разбор)
HAR-файл: at/orf-at-2026-05-26.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данныхподать жалобу онлайн → 

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом orf.at.

2. Обстоятельства
Я посетил сайт orf.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) adnz.co/semantiq (+1344 мс) загружается одновременно с Privacy Center CMP (+1344 мс) — до получения согласия. adnz.co clickstream collector отправляет данные на +2534 мс. Рекламная инфраструктура (Adition +2093 мс) загружается до готовности баннера.

2) Adition запросы содержат TCF consent string (gdpr=1&gdpr_consent=CQk0NkAQ...) — согласие передаётся. Но adnz.co семантический скрипт активируется до баннера. DoubleClick trackimp (+3406 мс) загружается после согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-orf-at/

3. Нарушенные положения
GDPR Art. 6(1), Art. 5(1)(a); GDPR Art. 7 — TCF 2.0

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]