Технический аудит · 2026-05-29

kmk.org

Конференция министров образования и культуры земель Германии

Конференция министров образования и культуры земель Германии. 71 запрос, 1 домен. TYPO3, nginx. Karla Variable Font и Font Awesome — локально. Klaro как CMP — не задекларирован. Matomo на собственном сервере — задекларирован, в HAR не активен. Политика цитирует устаревший DDG вместо TDDDG. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.kmk.org/ — HTML, nginx, TYPO3. cache-control: private, no-store. Brotli-сжатие.

+801 мс · стили и Klaro

app-D9yU0upQ.css (Vite-бандл), typo3temp CSS, SearchAutocomplete.css — локально. klaroConfig.js, klaro.min.js, klaroObserver.js — все три файла Klaro CMP из локального каталога _assets/.

+803 мс · шрифты

Karla-VariableFont_wght — variable font (TTF), весь диапазон начертаний в одном файле, локально. fa-regular-400 (Font Awesome) — woff2, локально. Нет Google Fonts.

+803 мс · изображения

Логотипы KMK (SVG/PNG), hero-слайдер (три пары webp), тематические иллюстрации разделов (Bildung, Wissenschaft, Kultur и др.) — все из fileadmin/, локально.

+989 мс · JS-бандлы

hero-slider, a11y, effect-fade, topic-slider, navigation, pagination, alignInfoBoxContent — Vite-бандлы, все локально.

Декларация против факта

✓ Matomo (собственный сервер KMK) — задекларирован, cookies для opt-out, IP-анонимизация — заявлен

+ Klaro (klaro.min.js, klaroConfig.js, klaroObserver.js) — не упомянут — не заявлен

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Klaro — open-source CMP-платформа (klaro.min.js, klaroConfig.js, klaroObserver.js) — не упомянута в политике конфиденциальности. Политика не содержит раздела об инструменте управления согласием и работает по устаревшим правовым ссылкам: цитирует DDG (Digitale-Dienste-Gesetz) вместо TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), который заменил TTDSG в мае 2023 года.

Контекст

KMK (Kultusministerkonferenz) — постоянная конференция министров образования и культуры 16 земель Германии. Координирует образовательную политику на федеральном уровне. Секретариат — Берлин. TYPO3, nginx, Vite. HAR: 71 запрос, 1 домен.

Klaro — open-source CMP, локально, без задекларирования

Три файла Klaro (klaro.min.js, klaroConfig.js, klaroObserver.js) загружаются из локального каталога _assets/ TYPO3. Klaro — open-source библиотека управления согласием (MIT-лицензия), не требующая внешних серверных запросов и не передающая данные третьим лицам. В HAR нет ни одного запроса к внешним серверам Klaro — вся CMP-логика работает на стороне клиента. Политика конфиденциальности не упоминает Klaro, механизм управления согласием и используемые cookies согласия.

Политика: устаревшие правовые ссылки

Политика конфиденциальности ссылается на DDG (Digitale-Dienste-Gesetz) как правовую основу обработки данных. DDG — это немецкая имплементация Акта о цифровых услугах ЕС, регулирующая крупные платформы. Для cookies на веб-сайтах применяется TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), заменивший TTDSG в мае 2023 года. Матомо описан с правовой основой через «berechtigte Interessen» без ссылки на TDDDG.

Karla Variable Font — локально

KMK использует Karla Variable Font в формате TTF — переменный шрифт с непрерывным диапазоном начертаний в одном файле. Font Awesome Regular — woff2, локально. Нет Google Fonts, нет Adobe Fonts.

Matomo — задекларирован, в HAR не активен

Политика описывает Matomo на собственном сервере KMK с IP-анонимизацией и opt-out через cookie. В HAR главной страницы запросов к серверу Matomo нет — аналитика не активировалась при первом посещении.

Вывод

www.kmk.org не передаёт данные посетителей третьим лицам. Один домен, локальные ресурсы, локальный Klaro как CMP. Единственное нарушение: Klaro не задекларирован в политике конфиденциальности, которая также содержит устаревшие правовые ссылки на DDG вместо TDDDG.

Доказательство

Оригинал (разбор)

HAR-файл: de/kmk-org-2026-05-29.har

SHA-256: d1f5445deba0bc432dbe9c4d37d26fe719ed13a69e9a3eff22971a2d28526763

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом kmk.org.

2. Обстоятельства
Я посетил сайт kmk.org и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Klaro — open-source CMP-платформа (klaro.min.js, klaroConfig.js, klaroObserver.js) — не упомянута в политике конфиденциальности. Политика не содержит раздела об инструменте управления согласием и работает по устаревшим правовым ссылкам: цитирует DDG (Digitale-Dienste-Gesetz) вместо TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), который заменил TTDSG в мае 2023 года.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/kmk-org/

3. Нарушенные положения
GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]