EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

bmwsb.bund.de

Федеральное министерство жилищного строительства и городского развития
DE

Федеральное министерство жилищного строительства и городского развития. 50 запросов, 2 домена. GSB-платформа, Apache. BundesSchrift v3 и Fira Sans — локально. Instagram CDN загружается до баннера без согласия. Политика описывает Instagram как внешний канал, не упоминая встраивание ленты. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница
www.bmwsb.bund.de/ — GSB, Apache. CSP разрешает широкий набор сервисов для внутренних страниц: *.intercom.io, *.castr.com, *.itzbund.de, *.newsletter2go.com — на главной не активны.
+90 мс · стили GSB
GSB CSS-бандлы (small, medium, large, xlarge, xxlarge, xxxlarge, custom, addon_usability) — все локально. BMWSB — один из немногих GSB-сайтов с xxlarge и xxxlarge брейкпоинтами.
+219 мс · шрифты
BundesSchrift-v3-014: BundesSansWeb (Regular, Italic, Bold) и FiraSans-v4-301/Roman/FiraSans-Regular — четыре woff-файла, все локально.
+250 мс · Instagram CDN — до баннера
scontent-dus1-1.cdninstagram.com — шесть JPEG-изображений Instagram-аккаунта BMWSB загружаются напрямую с серверов Meta. Встроенная Instagram-лента на главной странице. До GSB cookie-баннера.
+564 мс · GSB cookie-баннер
www.bmwsb.bund.de/SiteGlobals/Modules/CookieBanner/DE/Allgemein/CookieBanner.html — собственный GSB-баннер. К моменту появления баннера Instagram CDN уже выполнил шесть запросов.

Декларация против факта

Matomo (piwik.itzbund.de) — упомянут в политике с opt-out, только по согласию — заявлен
Instagram — упомянут в политике Social Media как внешний канал (без встраивания на сайте) — заявлен
YouTube, Twitter/X, LinkedIn, Mastodon (social.bund.de) — упомянуты как внешние каналы — заявлен
+ Instagram CDN (scontent-*.cdninstagram.com) — встраивание ленты на главной не описано в политике — не заявлен

Тайминги передачи

+250 мс scontent-dus1-1.cdninstagram.com без согласия Meta / Instagram CDN. Düsseldorf edge. Шесть изображений ленты. До баннера.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

BMWSB (Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen) — Федеральное министерство жилищного строительства, городского развития и строительства. GSB-платформа, Apache. HAR: 50 запросов, 2 домена.

Instagram CDN до баннера — политика не описывает встраивание

На +250 мс с scontent-dus1-1.cdninstagram.com (Meta CDN, дата-центр Дюссельдорф) загружаются шесть JPEG-изображений Instagram-ленты BMWSB. GSB cookie-баннер появляется на +564 мс — Instagram CDN опережает его на ~314 мс. IP-адрес посетителя передаётся на серверы Meta при каждом посещении главной страницы.

Политика конфиденциальности BMWSB содержит раздел по Social Media, где Instagram описывается как внешний канал, которым пользователи управляют самостоятельно: «Nutzerinnen und Nutzer nutzen diese Dienste in eigener Verantwortung». Встраивание Instagram-ленты непосредственно на главную страницу сайта министерства в политике не упомянуто — это существенное расхождение между задекларированным и фактическим поведением.

BundesSchrift v3 и Fira Sans — локально

BundesSansWeb v3-014 (Regular, Italic, Bold) и FiraSans v4-301 Regular — четыре woff-файла из /static/fonts/. Нет Google Fonts.

CSP — богатый стек для внутренних страниц

Content-Security-Policy разрешает *.intercom.io и js.intercomcdn.com (Intercom — чат поддержки), *.castr.com (видеостриминг), *.newsletter2go.com (рассылки), multiplatform-f.akamaihd.net (Akamai CDN), hls-hd.myrasec.de (Myra Security). Всё это на главной странице не активно.

Вывод

www.bmwsb.bund.de нарушает TDDDG §25(1): Instagram CDN загружается до баннера согласия. Политика конфиденциальности описывает Instagram только как внешний канал, не раскрывая факт встраивания ленты на главной странице.

Доказательство
Оригинал (разбор)
HAR-файл: de/bmwsb-bund-de-2026-05-29.har
SHA-256: 7853ab424a383f7aeaf5a9a5bb1eeae3fd3a3127e7b88fd0c10733085ff4df1b
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данныхподать жалобу онлайн → 

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bmwsb.bund.de.

2. Обстоятельства
Я посетил сайт bmwsb.bund.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) scontent-dus1-1.cdninstagram.com загружает шесть изображений из Instagram-аккаунта BMWSB (+250–251 мс) — до GSB cookie-баннера (+564 мс). IP-адрес посетителя передаётся на серверы Meta Platforms в США при каждой загрузке страницы. Политика конфиденциальности описывает Instagram исключительно как внешний канал и не упоминает встраивание Instagram-ленты на главной странице сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bmwsb-bund-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]