EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

bva.bund.de

Федеральное административное ведомство Германии
DE

Федеральное административное ведомство Германии. 58 запросов, 1 домен. GSB-платформа, Apache. BundesSchrift (BundesSans + BundesSerif) — локально. Собственный GSB cookie-баннер, только технически необходимые cookies (§25(2)(2) TDDDG). CSP резервирует piwik.itzbund.de, YouTube, googleapis, geodatenzentrum — в HAR не активны. Set-Cookie — ноль. Полное соответствие.

Хронология утечки

+0 мс · главная страница
www.bva.bund.de/ — GSB-платформа, Apache. CSP резервирует *.itzbund.de, *.googleapis.com, *.youtube.com, *.geodatenzentrum.de, *.service-digitale-verwaltung.de — все для функций на внутренних страницах, на главной не активны.
+139 мс · стили GSB
normalize.css, _libs.css, адаптивные CSS (small, medium, large, xlarge, custom) — все локально.
+153 мс · шрифты
BundesSansWeb (Regular, Bold, BoldItalic, Italic) и BundesSerifWeb-Bold — пять woff-файлов из /static/fonts/BundesSchrift/, локально. slick.woff (слайдер) — локально.
+187 мс · иконки и изображения
SVG-иконки 22 направлений деятельности BVA (Beihilfe, Besoldung, Dienstreisen, BAföG, Staatsangehörigkeit и др.), тизерные изображения — все с www.bva.bund.de.
+267 мс · global.js
global.js — единственный JS-бандл, локально.
+467 мс · навигация
Navigation.html и smallFlyout_mstTpl.html — серверный рендеринг навигации GSB, локально.

Декларация против факта

JSESSIONID, SERVERID — сессионные cookies, технически необходимые, §25(2)(2) TDDDG — заявлен
Cookie-баннер (значение 'closed') — технически необходимый, §25(2)(2) TDDDG — заявлен
Matomo (piwik.itzbund.de) — упомянут в CSP, задекларирован в политике только после согласия — заявлен
YouTube (Google Ireland Limited) — задекларирован для видео на внутренних страницах — заявлен
BKG geodatenzentrum.de — задекларирован для карт — заявлен
service-digitale-verwaltung.de — OZG-платформа, задекларирована — заявлен

Контекст

BVA (Bundesverwaltungsamt) — универсальное федеральное сервисное ведомство, выполняющее около 150 задач для других федеральных органов: от выплаты BAföG и Kindergeld до управления реестрами и визовой поддержки. Крупнейшее сервисное ведомство Германии. GSB-платформа, Apache. HAR: 58 запросов, 1 домен.

BundesSchrift — пять начертаний локально

BVA использует BundesSansWeb (Regular, Bold, BoldItalic, Italic) и BundesSerifWeb-Bold — пять woff-файлов из /static/fonts/BundesSchrift/. Государственное шрифтовое семейство, хостится локально. Slick.woff для слайдера — тоже локально.

Собственный cookie-баннер — только необходимые cookies

Cookie-баннер реализован собственными средствами GSB без внешних CMP. Политика перечисляет только технически необходимые cookies: JSESSIONID (сессия), SERVERID (балансировка, истекает с сессией) и cookie-баннера (closed, сигнализирует о закрытии). Все — на основании §25(2)(2) TDDDG, без согласия. В HAR Set-Cookie — ноль.

CSP как карта возможностей, не текущего состояния

Content-Security-Policy резервирует широкий набор внешних источников для функций на внутренних страницах: piwik.itzbund.de (Matomo после согласия), *.googleapis.com и *.youtube.com (YouTube-видео), *.geodatenzentrum.de (BKG-карты), service-digitale-verwaltung.de (OZG-услуги). На главной странице ни один из этих источников не активен — в HAR нет запросов за пределы www.bva.bund.de.

Политика — детальная и актуальная

Политика конфиденциальности объёмом ~47 000 символов покрывает все упомянутые в CSP сервисы: Matomo только после согласия, YouTube с предупреждением об ответственности пользователя, BKG geodatenzentrum.de, OZG-платформу, социальные сети BVA. Cookies описаны в таблице с указанием имени, назначения и категории. Правовые ссылки актуальны: TDDDG §25 упоминается корректно.

Вывод

www.bva.bund.de не передаёт данные посетителей третьим лицам при первом посещении. Один домен, государственный шрифт, GSB cookie-баннер, детальная политика с актуальными правовыми ссылками. Нарушений GDPR на момент аудита не зафиксировано.

Доказательство
Оригинал (разбор)
HAR-файл: de/bva-bund-de-2026-05-29.har
SHA-256: ed99a04583732276a988cb5af3c5065f0e15e43cd9e24de9d0f610ea18214e7f
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.