EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

bfdi.bund.de

Федеральный уполномоченный по защите данных и свободе информации
DE

BfDI — федеральный регулятор защиты данных Германии, надзирающий за GDPR. 38 запросов, 2 домена. Единственный внешний — social.bund.de (государственный Mastodon). Source Sans Pro и Source Serif 4 — локально. Нет аналитики, нет трекеров, только сессионные cookies § 25 Abs. 2 TDDDG. Полное соответствие.

Хронология утечки

+81 мс · загрузка
CSS, SVG-иконки, изображения — все с www.bfdi.bund.de. На главной странице: Cookie-Banner.jpg, Datenschutz-Schild-mit-Haken.jpg — визуальный контент о защите данных.
+231 мс · Mastodon
social.bund.de/system/accounts/avatars/000/000/003/original/a85f358db65f96d5.gif — аватар аккаунта BfDI на государственном Mastodon. Единственный внешний запрос.
+233 мс · JS
www.bfdi.bund.de/global.js — единственный JS-файл.
+262 мс · шрифты
Source Sans Pro (Regular, Bold, BoldIt, It) и Source Serif 4 (SemiboldIt) — все локально на /static/fonts/. Нет BundesSans — BfDI использует собственный шрифтовой выбор.
Нет трекеров
Нет Matomo, нет etracker, нет аналитики. Нет cookie-баннера — нечего спрашивать: используются только технически необходимые сессионные cookies по § 25 Abs. 2 TDDDG. Set-Cookie — ноль.

Декларация против факта

Session-Cookies — § 25 Abs. 2 TDDDG (technisch notwendig) — заявлен
Protokolldatei (30 дней, ITZBund) — задокументирована — заявлен
Нет аналитических или рекламных cookies — явно задекларировано — заявлен

Тайминги передачи

+231 мс social.bund.de государственный домен Mastodon аватар BfDI. Государственная инфраструктура.

Контекст

BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) — независимый федеральный орган, надзирающий за соблюдением GDPR федеральными ведомствами Германии, а также за телекоммуникационными компаниями. Именно BfDI издаёт руководства по TDDDG и выносит решения по жалобам на нарушения GDPR на федеральном уровне. HAR: 38 запросов, 2 домена.

Нулевая аналитика — явная политическая позиция

Политика конфиденциальности BfDI прямо указывает: «Techniken, wie zum Beispiel Java-Applets oder Active-X-Controls, die es ermöglichen, das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt». Это декларация об отказе от любых инструментов поведенческого отслеживания — не просто документация отсутствующего, а explicit policy statement. В HAR нет Matomo, нет etracker, нет Piano Analytics, нет GTM. Используются только сессионные cookies, квалифицированные как technisch notwendig по § 25 Abs. 2 TDDDG, — без баннера, что корректно для этой категории.

Source Sans Pro и Source Serif — не BundesSans

BfDI использует Source Sans Pro (Adobe Open Source) и Source Serif 4 — оба размещены локально — вместо стандартного BundesSansWeb государственной платформы. Это указывает на то, что BfDI не использует стандартную BUND-CMS платформу ITZBund, а управляет сайтом через отдельную CMS-инсталляцию. Тем не менее принцип локального хостинга шрифтов соблюдён.

social.bund.de — единственный внешний домен

Как и BMI, BfDI использует государственный Mastodon-сервер social.bund.de для отображения ленты постов. Один запрос — аватар аккаунта BfDI. Государственная инфраструктура, никакой передачи данных за пределы государственного периметра при загрузке страницы.

Место в немецкой серии

BfDI присоединяется к эталонному ряду немецкой серии. Для регулятора, чья функция — надзор за соблюдением GDPR другими федеральными органами, нулевой результат является базовым ожиданием. dataprotection.ie (один запрос против одного заявления) и comreg.ie (регулятор ePrivacy с 1299 мс разрывом до баннера) из ирландской серии — прямой контраст. BfDI демонстрирует то, что у DPC и ComReg не получилось: полное соответствие собственным стандартам.

Вывод

bfdi.bund.de — девятый нулевой результат немецкой серии. Федеральный регулятор защиты данных Германии реализует на собственном сайте принцип минимальной обработки данных, декларируя явный отказ от поведенческого отслеживания. Это не просто техническое соответствие — это институциональная последовательность.

Доказательство
Оригинал (разбор)
HAR-файл: de/bfdi-bund-de-2026-05-29.har
SHA-256: 2dc0b56ef1a590efd797cb0ef7f94f933585df2988af33ed144a712b55e5863c
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.