Технический аудит · 2026-05-29

bzst.de

Федеральное центральное налоговое ведомство Германии

Федеральное центральное налоговое ведомство Германии. 50 запросов, 3 домена. GSB-платформа, Apache. BundesSans и BundesSerif — локально. Matomo через ITZBund без баннера на Art. 6(1)(e). Viola-чатбот (formularbot-viola.bzst.de) — задекларирован косвенно. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.bzst.de/ — GSB, Apache. CSP разрешает *.readspeaker.com, *.itzbund.de, formularbot-viola.bzst.de, bzst.lucom.com, *.google.com. addon_matomo.js загружается локально как обёртка для Matomo.

+103 мс · стили GSB

GSB CSS-бандлы (small, medium, large, xlarge, xxlarge, custom, addon_materna, addon_qsworkshop) — все локально. addon_materna и addon_qsworkshop — расширения для GSB.

+106 мс · addon_matomo.js

www.bzst.de/SiteGlobals/Frontend/JavaScript/init/addon_matomo.js — локальная обёртка, инициирующая загрузку Matomo с piwik.itzbund.de.

+124 мс · Viola-чатбот

formularbot-viola.bzst.de/static/widget/widget-no-avatar.js — чатбот Viola на собственном субдомене BZSt. CSP указывает на несколько эндпоинтов: formularbot-viola.bzst.de, viola-bzst.azr.juacvoe.net (Azure), formularbot-fms.bzst.de.

+278 мс · Matomo — без баннера

piwik.itzbund.de/js/ — Matomo JS загружается. +368 мс — трекинг-пиксель с idsite=4 (BZSt), action_name, uadata (User-Agent Client Hints), pv_id, разрешение экрана. Баннера согласия нет.

+298 мс · шрифты

BundesSansWeb (Regular, Bold, Italic) и BundesSerifWeb (Regular, Bold) — woff из /static/fonts/isb/, локально.

Декларация против факта

✓ Matomo (piwik.itzbund.de / ITZBund) — задекларирован, Art. 6(1)(e) DSGVO i.V.m. § 3 BDSG, opt-out cookie — заявлен

✓ Viola-чатбот (formularbot-viola.bzst.de) — задекларирован косвенно как формуляр-бот — заявлен

✓ BSI (§ 5 BSIG) — доступ к данным трафика для защиты коммуникационной инфраструктуры — заявлен

+ ReadSpeaker (*.readspeaker.com) — упомянут в CSP, в HAR не активен, в политике не упомянут — не заявлен

Тайминги передачи

+278 мс piwik.itzbund.de без согласия Matomo idsite=4. ITZBund. Art. 6(1)(e). Нет баннера.

Зафиксированные трекеры

Matomo (piwik.itzbund.de) — веб-аналитика, без баннера, Art. 6(1)(e)

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

piwik.itzbund.de/js/ загружается на +278 мс, трекинг-запрос /js/?action_name=…&idsite=4 (+368 мс) — без предшествующего баннера согласия. GSB CookieBanner в HAR не присутствует вообще. Политика обосновывает Matomo через Art. 6(1)(e) DSGVO i.V.m. § 3 BDSG (публичная задача) без согласия, предлагая только opt-out cookie. Трекинг-запрос содержит uadata с данными User-Agent Client Hints (браузер, ОС, версии платформы), разрешение экрана 1536x864, идентификатор сессии pv_id. Политика не ссылается на TDDDG.

Контекст

BZSt (Bundeszentralamt für Steuern) — федеральное центральное налоговое ведомство, Бонн. Ведёт реестры налоговых идентификаторов, администрирует возврат налогов, управляет международным налоговым сотрудничеством. Sensitivity — high. GSB-платформа, Apache. HAR: 50 запросов, 3 домена.

Matomo без баннера — Art. 6(1)(e)

addon_matomo.js загружается локально на +106 мс и инициирует запросы к piwik.itzbund.de на +278 мс. GSB CookieBanner в HAR отсутствует полностью — в отличие от RKI, THW и других GSB-сайтов серии, где баннер присутствует. Трекинг-запрос (/js/?action_name=…&idsite=4) на +368 мс содержит подробные данные: User-Agent Client Hints (Edge 148, Windows 19.0.0, платформа), разрешение экрана, идентификатор просмотра страницы.

Политика обосновывает Matomo через Art. 6(1)(e) DSGVO в сочетании с § 3 BDSG — обработка персональных данных публичным органом для выполнения задач в сфере полномочий. Согласие не требуется, предусмотрен только opt-out cookie на 2 года. Политика не ссылается на TDDDG, хотя addon_matomo.js технически устанавливает cookie согласно opt-out механизму.

Viola —

Доказательство

Оригинал (разбор)

HAR-файл: de/bzst-de-2026-05-29.har

SHA-256: 84538213ad20f7478cc26d9e30a5b8baab648ee00a12232132142dd5ed913f63

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bzst.de.

2. Обстоятельства
Я посетил сайт bzst.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) piwik.itzbund.de/js/ загружается на +278 мс, трекинг-запрос /js/?action_name=…&idsite=4 (+368 мс) — без предшествующего баннера согласия. GSB CookieBanner в HAR не присутствует вообще. Политика обосновывает Matomo через Art. 6(1)(e) DSGVO i.V.m. § 3 BDSG (публичная задача) без согласия, предлагая только opt-out cookie. Трекинг-запрос содержит uadata с данными User-Agent Client Hints (браузер, ОС, версии платформы), разрешение экрана 1536x864, идентификатор сессии pv_id. Политика не ссылается на TDDDG.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bzst-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]