Технический аудит · 2026-05-29

dihk.de

Федеральный союз торгово-промышленных палат Германии

Федеральный союз торгово-промышленных палат Германии. 34 запроса, 3 домена. CoreMedia CMS. Epilogue — локально. etracker cookieless на Art. 6(1)(f) — до баннера. CSP-Report-Only раскрывает планируемые интеграции byside.com и coremedia.cloud. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.dihk.de/ — CoreMedia CMS, Varnish-кеш (x-cae: cae-live-0-0). CSP-Report-Only (не enforce): разрешает *.engagement.coremedia.cloud и *.byside.com — в HAR не активны.

+110 мс · стили

dihk-relaunch CSS-бандлы — локально.

+111 мс · etracker

code.etracker.com/code/e.js — загружается одновременно со стилями. Затем +178 мс — t.js?et=1BEWo9 (account ID). +278 мс — www.etracker.de/cntcc — трекинг-пиксель с pagename=https://www.dihk.de/.

+138 мс · шрифты

Epilogue v17 (Regular, Medium/500) — два woff2-файла из /resource/crblob/, локально. Нет Google Fonts.

Декларация против факта

✓ etracker — задекларирован, Art. 6(1)(f), cookieless по умолчанию, обработка в Германии, ePrivacyseal — заявлен

✓ YouTube (расширенный режим конфиденциальности) — задекларирован для видео на внутренних страницах — заявлен

✓ Социальные сети (Facebook, Instagram, X, LinkedIn, Spotify, YouTube) — только статические ссылки в футере — заявлен

Тайминги передачи

+111 мс code.etracker.com без согласия etracker веб-аналитика. etracker GmbH, Гамбург. Art. 6(1)(f). Cookieless.

+278 мс www.etracker.de без согласия etracker /cntcc трекинг-пиксель. pagename передан.

Зафиксированные трекеры

etracker (code.etracker.com, www.etracker.de) — веб-аналитика, до баннера

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

etracker e.js загружается на +111 мс, трекинг-запрос к www.etracker.de/cntcc на +278 мс — без предшествующего баннера согласия. Политика обосновывает через Art. 6(1)(f) (законный интерес) и декларирует cookieless-режим по умолчанию. Тем не менее данные о браузере, URL и поведении пользователя уходят на etracker без предварительного выбора. Политика не ссылается на TDDDG.

Контекст

DIHK (Deutscher Industrie- und Handelskammertag) — федеральный союз 79 торгово-промышленных палат Германии, представляющих около 3,5 миллиона предприятий. CoreMedia CMS, Varnish. HAR: 34 запроса, 3 домена.

etracker без баннера — Art. 6(1)(f)

На +111 мс загружается code.etracker.com/code/e.js (account ID 1BEWo9). На +178 мс — t.js с версией и идентификатором аккаунта. На +278 мс — www.etracker.de/cntcc с полным URL страницы (pagename=https://www.dihk.de/) и временной меткой. Баннера согласия нет.

Политика декларирует etracker через Art. 6(1)(f) DSGVO (законный интерес) и описывает cookieless-режим по умолчанию: данные обрабатываются в Германии, etracker сертифицирован знаком ePrivacyseal. Правомерность применения Art. 6(1)(f) для веб-аналитики без согласия остаётся предметом дискуссии в надзорной практике: DSK (Datenschutzkonferenz) в ряде позиций указывает на необходимость согласия. Политика не ссылается на TDDDG, что само по себе является упущением для сайта немецкой организации, работающего с cookies и подобными технологиями.

CSP-Report-Only: byside.com и coremedia.cloud

Content-Security-Policy-Report-Only (не enforce) разрешает *.engagement.coremedia.cloud и *.byside.com. byside — платформа LiveChat и customer engagement (португальская компания, принадлежащая Nuvei). engagement.coremedia.cloud — облачные сервисы CoreMedia CMS. Оба домена в HAR не активны — интеграции, по всей видимости, планируются или тестируются. В политике не упомянуты.

Epilogue — локально

Шрифт Epilogue v17 (Regular, Medium) — два woff2 из /resource/crblob/. Epilogue создан типографом Тайлером Финком (Etcetera Type Company) и распространяется через Google Fonts, однако DIHK хостирует его локально. Нет Google Fonts.

Вывод

www.dihk.de имеет одно нарушение: etracker активен до баннера на основании законного интереса — правовое обоснование спорно, политика не ссылается на TDDDG. Архитектура в остальном минималистична: нет GTM, нет рекламных пикселей, нет внешних CMP.

Доказательство

Оригинал (разбор)

HAR-файл: de/dihk-de-2026-05-29.har

SHA-256: efa15fab95ae7f4431a22cd35dcfebc8684eb90a34e197df5008c5f09b2b645a

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом dihk.de.

2. Обстоятельства
Я посетил сайт dihk.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) etracker e.js загружается на +111 мс, трекинг-запрос к www.etracker.de/cntcc на +278 мс — без предшествующего баннера согласия. Политика обосновывает через Art. 6(1)(f) (законный интерес) и декларирует cookieless-режим по умолчанию. Тем не менее данные о браузере, URL и поведении пользователя уходят на etracker без предварительного выбора. Политика не ссылается на TDDDG.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/dihk-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]