Технический аудит · 2026-05-29

bahn.de

Национальный железнодорожный перевозчик Германии

Deutsche Bahn — крупнейший транспортный оператор Германии. 411 запросов, 8 доменов. Все внешние домены — собственная инфраструктура DB или задекларированные сервисы. Трекинговый пиксель at.bahn.de/1x1.gif срабатывает без зафиксированного согласия. Optimizely и Verint инициируют запросы, блокируемые браузером.

Хронология утечки

+179–500 мс · загрузка

Все CSS, JS-бандлы, шрифты (icon-font-fallback.woff2) загружаются с www.bahn.de. Собственная инфраструктура.

+461–462 мс · tracking init

initTracking-DFtVjSRH.js и onConsentProvidedOrEdited-GrrqcBQr.js загружаются в составе основного бандла.

+3811 мс · трекинг

at.bahn.de/ccrm — запрос к собственному аналитическому эндпоинту (302 редирект).

+4070 мс · пиксель

cdn-at.bahn.de/1x1.gif — трекинговый пиксель Tealium/Adobe Analytics. 1×1 GIF — классический маяк аналитики.

+4588 мс · заблокирован

cdn.optimizely.com — A/B testing конфигурация. Статус 0 — заблокирован контент-блокировщиком.

+4980 мс · заблокирован

ucm-eu.verint-cdn.com — Verint SDK. EU-endpoint. Статус 0 — заблокирован.

Декларация против факта

✓ Adobe Analytics — в политике (через at.bahn.de) — заявлен

✓ Tealium — в политике как Tag Management — заявлен

✓ Optimizely — в политике как A/B-тестирование — заявлен

✓ Verint Systems — в политике (Ziegelteich 29, 24103 Kiel) — заявлен

✓ Qualtrics — в политике — заявлен

✓ m-pathy — в политике — заявлен

Тайминги передачи

+3811 мс at.bahn.de без согласия в HAR Собственный аналитический эндпоинт DB. /ccrm → 302.

+4070 мс cdn-at.bahn.de без согласия в HAR 1x1.gif трекинговый пиксель. Tealium/Adobe Analytics.

+4588 мс cdn.optimizely.com заблокирован (статус 0) Optimizely A/B datafile. Инициирован JS до блокировки.

+4980 мс ucm-eu.verint-cdn.com заблокирован (статус 0) Verint SDK next-bahn-de. EU-endpoint. Инициирован до блокировки.

Зафиксированные трекеры

DB Analytics / Tealium (at.bahn.de/ccrm, cdn-at.bahn.de/1x1.gif)
Optimizely A/B testing (cdn.optimizely.com — статус 0, заблокирован)
Verint Systems (ucm-eu.verint-cdn.com — статус 0, заблокирован)

Зафиксированные нарушения

GDPR Art. 6(1), Art. 7; TDDDG § 25

at.bahn.de/ccrm (+3811 мс) и cdn-at.bahn.de/1x1.gif (+4070 мс) загружаются без зафиксированного в HAR cookie-баннера и без SET-Cookie в ответах. 1x1.gif — классический трекинговый пиксель Tealium/Adobe Analytics. initTracking-DFtVjSRH.js и onConsentProvidedOrEdited-GrrqcBQr.js загружаются в составе основного JS-бандла, однако трекинговый пиксель срабатывает до фиксации явного согласия пользователя в HAR.
TDDDG § 25 — Optimizely и Verint инициированы до согласия

Optimizely (cdn.optimizely.com, +4588 мс) и Verint (ucm-eu.verint-cdn.com, +4980 мс) инициируют сетевые запросы — оба со статусом 0 (заблокированы контент-блокировщиком браузера, а не механизмом согласия). Факт инициации запроса означает, что JS-код, управляющий этими запросами, выполнился до блокировки. Политика декларирует A/B-тестирование Optimizely и сбор данных Verint как требующие согласия по § 25 Abs. 1 TDDDG.

Контекст

Deutsche Bahn AG — федеральное железнодорожное предприятие Германии, ответственное за пассажирские и грузовые перевозки. Продажа билетов, бронирование, управление аккаунтом. HAR: 411 запросов, 8 доменов. 390 запросов к www.bahn.de, 9 к assets.static-bahn.de, 7 к cms.static-bahn.de — и 5 к внешним доменам, из которых два принадлежат самой DB (at.bahn.de, cdn-at.bahn.de).

Собственная инфраструктура аналитики

DB использует at.bahn.de как собственный аналитический домен — поддомен bahn.de, то есть технически first-party. Через /ccrm (+3811 мс) инициируется редирект на cdn-at.bahn.de/1x1.gif (+4070 мс). Паттерн «redirect to 1x1 pixel» — классическая реализация Tealium iQ Tag Management с Adobe Analytics beacon. Политика подтверждает: Tealium и Adobe Analytics используются для аналитики, при необходимости IP-адреса анонимизируются.

В HAR отсутствует cookie-баннер и SET-Cookie. Это означает либо что согласие было сохранено из предыдущей сессии (но Cookies в запросах тоже пусты), либо что трекинг срабатывает без явного согласия пользователя. Имена файлов initTracking-DFtVjSRH.js и onConsentProvidedOrEdited-GrrqcBQr.js указывают на наличие consent-логики — но её срабатывание в HAR не зафиксировано.

Optimizely и Verint — статус 0

Оба сервиса задекларированы в политике и в HAR инициируют запросы — Optimizely (+4588 мс) и Verint (+4980 мс). Статус 0 означает, что запросы были заблокированы на сетевом уровне (контент-блокировщик uBlock Origin или аналог в браузере аудита). Это не означает, что механизм согласия DB их заблокировал — напротив, сам факт инициации сетевого запроса к внешнему домену означает, что JS-код уже выполнился. Браузерный блокировщик перехватил запрос после его инициации.

Документация: детальная и корректная

Политика конфиденциальности bahn.de называет всех задействованных поставщиков поимённо: Tealium, Adobe Analytics, Optimizely, Qualtrics, m-pathy, Verint. Для каждого указаны адрес, правовое основание и описание обработки. Для Optimizely явно указано: § 25 Abs. 1 TDDDG как правовое основание (согласие). Для Verint: Art. 6 Abs. 1 lit. b DSGVO (договор). Это уровень раскрытия, недостижимый для большинства ирландских сайтов серии.

Вывод

bahn.de демонстрирует корректную документацию и, по всей видимости, наличие consent-механизма — но HAR не фиксирует ни баннера, ни cookies, а трекинговый пиксель срабатывает. Два внешних сервиса (Optimizely, Verint) инициируют запросы до их блокировки браузером. Для полной оценки соответствия необходима проверка в браузере без блокировщиков с наблюдением за поведением баннера.

Доказательство

Оригинал (разбор)

HAR-файл: de/bahn-de-2026-05-29.har

SHA-256: 4ae4bea877ba3a6226cf7a23bed2cdb7d198fb0da69677584bfdee8aa056f2f0

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bahn.de.

2. Обстоятельства
Я посетил сайт bahn.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) at.bahn.de/ccrm (+3811 мс) и cdn-at.bahn.de/1x1.gif (+4070 мс) загружаются без зафиксированного в HAR cookie-баннера и без SET-Cookie в ответах. 1x1.gif — классический трекинговый пиксель Tealium/Adobe Analytics. initTracking-DFtVjSRH.js и onConsentProvidedOrEdited-GrrqcBQr.js загружаются в составе основного JS-бандла, однако трекинговый пиксель срабатывает до фиксации явного согласия пользователя в HAR.

2) Optimizely (cdn.optimizely.com, +4588 мс) и Verint (ucm-eu.verint-cdn.com, +4980 мс) инициируют сетевые запросы — оба со статусом 0 (заблокированы контент-блокировщиком браузера, а не механизмом согласия). Факт инициации запроса означает, что JS-код, управляющий этими запросами, выполнился до блокировки. Политика декларирует A/B-тестирование Optimizely и сбор данных Verint как требующие согласия по § 25 Abs. 1 TDDDG.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bahn-de/

3. Нарушенные положения
GDPR Art. 6(1), Art. 7; TDDDG § 25; TDDDG § 25 — Optimizely и Verint инициированы до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]