Технический аудит · 2026-05-26

schule.at

Официальная образовательная платформа Австрии

Официальная образовательная платформа Австрии — 58 запросов, 3 домена. Piwik на tracking.edugroup.at стреляет без согласия. YouTube получает IP через превью видео. Политика описывает Google Analytics — в HAR его нет, зато есть незадекларированный Piwik.

Хронология утечки

+232 мс · YouTube превью

img.youtube.com загружает превью трёх видео. Соединение с YouTube установлено без действия пользователя.

+373 мс · Piwik

tracking.edugroup.at/piwik.js загружается без согласия.

+425 мс · трекинг-пинг

tracking.edugroup.at/piwik.php — POST с action_name и idsite=20. До согласия.

Итог сессии

Google Analytics в HAR не появился. 53 запроса к www.schule.at, 3 к img.youtube.com, 2 к tracking.edugroup.at.

Декларация против факта

✓ Google Analytics — описан в политике с opt-out схемой, в HAR отсутствует — заявлен

+ Piwik/Matomo на tracking.edugroup.at — в политике не упоминается — не заявлен

+ YouTube img.youtube.com — загрузка превью без click-to-load не упоминается — не заявлен

Тайминги передачи

+232 мс img.youtube.com 200 3 превью видео загружены напрямую. IP передаётся в Google без согласия.

+373 мс tracking.edugroup.at 200 Piwik скрипт. Поддомен Education Group GmbH (Linz).

+425 мс tracking.edugroup.at 204 Трекинг-пинг: idsite=20, без согласия.

Зафиксированные трекеры

Piwik/Matomo (tracking.edugroup.at)
YouTube (img.youtube.com, превью без клика)

Зафиксированные нарушения

GDPR Art. 6(1)(a), Art. 13, TKG § 165

tracking.edugroup.at/piwik.js загружается через 373 мс и отправляет трекинг-пинг на 425 мс — без согласия. В политике описан Google Analytics с opt-out схемой, Piwik не упоминается вообще.
GDPR Art. 6(1)(a)

img.youtube.com загружает превью трёх видео напрямую, без click-to-load. YouTube получает IP-адрес при каждом открытии страницы без действия пользователя.

Контекст

schule.at — официальная цифровая образовательная платформа Австрии, оператор — Education Group GmbH (Linz) по заказу BMBWF (Bundesministerium für Bildung, Wissenschaft und Forschung). HAR: 58 запросов, 3 домена.

Piwik без декларации

tracking.edugroup.at — Piwik/Matomo на инфраструктуре Education Group, запускается через 373 мс. Политика конфиденциальности описывает Google Analytics с подробной cookie-таблицей и opt-out ссылкой — но Piwik не упоминается ни разу. Google Analytics в HAR не появился: возможно, уже отключён, но политика не обновлена.

YouTube без клика

Три YouTube-видео встроены через прямую загрузку превью с img.youtube.com — без click-to-load. IP-адрес посетителя уходит в Google при каждом открытии страницы, независимо от того, хочет ли пользователь смотреть видео.

Sensitive context

schule.at — образовательная платформа для детей и учителей. Среди посетителей — несовершеннолетние. Трекинг без согласия и передача данных YouTube в этом контексте особенно чувствительны.

Вывод

Платформа задекларировала инструмент, которого нет в HAR, и не задекларировала тот, который работает. YouTube получает данные без клика. Для образовательного портала с детской аудиторией — точный набор проблем, которые стоит устранить в первую очередь.

Доказательство

Оригинал (разбор)

HAR-файл: at/schule-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом schule.at.

2. Обстоятельства
Я посетил сайт schule.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) tracking.edugroup.at/piwik.js загружается через 373 мс и отправляет трекинг-пинг на 425 мс — без согласия. В политике описан Google Analytics с opt-out схемой, Piwik не упоминается вообще.

2) img.youtube.com загружает превью трёх видео напрямую, без click-to-load. YouTube получает IP-адрес при каждом открытии страницы без действия пользователя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-schule-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), Art. 13, TKG § 165; GDPR Art. 6(1)(a)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]