Технический аудит · 2026-05-29

bundeswirtschaftsministerium.de

Федеральное министерство экономики и климата

Федеральное министерство экономики и климата Германии. 31 запрос, 6 доменов. CoreMedia CMS, JWPlayer локально. BundesSans и BundesSerif — локально. etracker требует согласия по политике — в HAR активен без баннера. stage.bio и ReadSpeaker (stormcaster.js) не задекларированы. Политика ссылается на TTDSG вместо TDDDG.

Хронология утечки

+875 мс · главная страница

www.bundeswirtschaftsministerium.de — два редиректа: bmwk.bund.de → www.bmwk.de → www.bundeswirtschaftsministerium.de. CoreMedia CMS (CAE), Apache.

+1294 мс · стили и JS

production.min.css (CoreMedia CAE-бандл), additional-css.css. jwplayer-7.6.1/jwplayer.js — JW Player 7.6.1 загружается локально с сайта министерства.

+1296 мс · etracker — до баннера

code.etracker.com/code/e.js — загружается одновременно со стилями. Политика требует согласия перед активацией etracker. Баннер в HAR не предшествует этому запросу.

+1304 мс · stage.bio

dashboard.stage.bio/static/bundle.js — JS-бандл платформы stage.bio (server: nginx, access-control-allow-origin: *). +3441 мс — cdn.stage.bio/static/stage_icon_grey.svg. Назначение: виджет ссылочной мини-страницы в контенте сайта.

+1494 мс · ReadSpeaker stormcaster.js

www.bundeswirtschaftsministerium.de/18f5227b-e27b-445a-a53f-f845fbe69b40/stormcaster.js — JS хостируется на домене министерства, но отдаётся с CDN ReadSpeaker (server: rdwr, via: 1.1 google, x-cache: HIT from rdwr-edge, 176 KB).

+2112 мс · ReadSpeaker GUID-запросы

Четыре запроса к /c99a4269-161c-4242-a3f0-28d44fa6ce24 — ReadSpeaker аналитика/статистика использования. server: rdwr, via: 1.1 google, cache-control: no-store.

+1516 мс · шрифты

BundesSansWeb (Regular, Bold), BundesSerifWeb (Regular, Bold, Italic), iconset-rework.woff — все из /cae/frontend/_global/fonts/, локально.

Декларация против факта

✓ etracker — задекларирован, требует Einwilligung (§25(1) TTDSG) — заявлен

✓ JW Player (LongTail Ad Solutions / TV1) — задекларирован, требует Einwilligung — заявлен

✓ Session cookies — технически необходимые — заявлен

✓ Социальные сети (Facebook, YouTube, X, Instagram, LinkedIn, Threads, Mastodon, TikTok) — задекларированы — заявлен

+ stage.bio (dashboard.stage.bio, cdn.stage.bio) — не упомянут — не заявлен

+ ReadSpeaker / rdwr (stormcaster.js, GUID-эндпоинт) — не упомянут — не заявлен

Тайминги передачи

+1296 мс code.etracker.com без согласия etracker. Политика требует Einwilligung. Баннер не предшествовал.

+1304 мс dashboard.stage.bio без согласия stage.bio. Не задекларирован.

+1494 мс www.bundeswirtschaftsministerium.de (rdwr CDN) без согласия ReadSpeaker stormcaster.js. Не задекларирован.

Зафиксированные трекеры

etracker (code.etracker.com) — веб-аналитика, до баннера
stage.bio (dashboard.stage.bio, cdn.stage.bio) — платформа ссылочных страниц

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

etracker (code.etracker.com/code/e.js) загружается на +1296 мс. Политика явно указывает, что etracker требует согласия по §25(1) TTDSG i.V.m. Art. 6(1)(a) DSGVO. В HAR нет CMP-баннера, предшествующего запросу к etracker — согласие не было получено до отправки данных.
GDPR Art. 13(1)(e)

stage.bio (dashboard.stage.bio/static/bundle.js, cdn.stage.bio/static/stage_icon_grey.svg) загружается на +1304 мс и +3441 мс. Stage.bio — платформа создания ссылочных мини-лендингов. Не упомянута в политике конфиденциальности.
GDPR Art. 13(1)(e)

ReadSpeaker Web Reader реализован через stormcaster.js (хостируется на сайте министерства, отдаётся с CDN rdwr/Google Cloud) и четыре GUID-запроса к эндпоинту /c99a4269-161c-4242-a3f0-28d44fa6ce24 (server: rdwr, via: 1.1 google, cache-control: no-store). ReadSpeaker и rdwr не упомянуты в политике конфиденциальности.
GDPR Art. 13(1)(e)

Политика ссылается на §25 Abs. 1 TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz). TTDSG переименован в TDDDG в мае 2023 года. Ссылки на устаревший закон дезориентируют пользователей при проверке правовых оснований.

Контекст

BMWK (Bundesministerium für Wirtschaft und Klimaschutz) — Федеральное министерство экономики и климата Германии. Доступно через три домена: bmwk.bund.de → www.bmwk.de → www.bundeswirtschaftsministerium.de. CoreMedia CMS (CAE), Apache. HAR: 31 запрос, 6 доменов.

etracker требует согласия — в HAR активен без баннера

Политика явно описывает etracker как опциональный сервис, требующий согласия пользователя: «Sie können jederzeit entscheiden, ob Sie uns erlauben…» с отсылкой к «Einwilligungsverwaltung» в нижней части страницы. Правовое основание — §25(1) TTDSG i.V.m. Art. 6(1)(a) DSGVO. В HAR code.etracker.com/code/e.js загружается на +1296 мс без предшествующего баннера согласия.

ReadSpeaker — скрыт под собственным доменом

stormcaster.js (176 KB) хостируется по URL www.bundeswirtschaftsministerium.de/18f5227b-e27b-445a-a53f-f845fbe69b40/stormcaster.js, однако заголовки ответа раскрывают реального провайдера: server: rdwr, via: 1.1 google, x-cache: HIT from rdwr-edge. ReadSpeaker — немецкий сервис синтеза речи для озвучивания веб-страниц. Четыре последующих запроса к GUID-эндпоинту (/c99a4269-…) с cache-control: no-store — аналитика использования ReadSpeaker. В политике ни ReadSpeaker, ни rdwr не упомянуты.

stage.bio — незадекларированная внешняя платформа

dashboard.stage.bio и cdn.stage.bio — платформа создания ссылочных мини-страниц. JS-бандл загружается на +1304 мс, иконка на +3441 мс. Не упомянута в политике конфиденциальности.

Устаревшая правовая ссылка: TTDSG вместо TDDDG

Политика цитирует «§ 25 Abs. 1 TTDSG» — Telekommunikations-Telemedien-Datenschutz-Gesetz. Этот закон переименован в TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) с 13 мая 2023 года. JW Player также описывается через TTDSG. Для официального сайта федерального министерства устаревшие правовые ссылки снижают достоверность политики.

BundesSchrift и JWPlayer — локально

BundesSansWeb, BundesSerifWeb и iconset-rework — локально из CoreMedia CAE. JWPlayer 7.6.1 хостируется локально.

Вывод

www.bundeswirtschaftsministerium.de нарушает собственную политику: etracker декларирован как требующий согласия, но активируется без баннера. Два сервиса не задекларированы (stage.bio, ReadSpeaker). Политика содержит устаревшие правовые ссылки на TTDSG вместо TDDDG.

Доказательство

Оригинал (разбор)

HAR-файл: de/bundeswirtschaftsministerium-de-2026-05-29.har

SHA-256: 633b9359ef041975495eb2925aace94c3c6113a0daa15cd3862d8c32ddf0e2a4

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bundeswirtschaftsministerium.de.

2. Обстоятельства
Я посетил сайт bundeswirtschaftsministerium.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) etracker (code.etracker.com/code/e.js) загружается на +1296 мс. Политика явно указывает, что etracker требует согласия по §25(1) TTDSG i.V.m. Art. 6(1)(a) DSGVO. В HAR нет CMP-баннера, предшествующего запросу к etracker — согласие не было получено до отправки данных.

2) stage.bio (dashboard.stage.bio/static/bundle.js, cdn.stage.bio/static/stage_icon_grey.svg) загружается на +1304 мс и +3441 мс. Stage.bio — платформа создания ссылочных мини-лендингов. Не упомянута в политике конфиденциальности.

3) ReadSpeaker Web Reader реализован через stormcaster.js (хостируется на сайте министерства, отдаётся с CDN rdwr/Google Cloud) и четыре GUID-запроса к эндпоинту /c99a4269-161c-4242-a3f0-28d44fa6ce24 (server: rdwr, via: 1.1 google, cache-control: no-store). ReadSpeaker и rdwr не упомянуты в политике конфиденциальности.

4) Политика ссылается на §25 Abs. 1 TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz). TTDSG переименован в TDDDG в мае 2023 года. Ссылки на устаревший закон дезориентируют пользователей при проверке правовых оснований.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bundeswirtschaftsministerium-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 13(1)(e); GDPR Art. 13(1)(e); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]