EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

mpg.de

Общество Макса Планка
DE

Общество Макса Планка — 84 научных института, крупнейшая исследовательская организация Германии. 39 запросов, 5 доменов. Ruby on Rails. Roboto и Merriweather — локально, с кириллицей. Usercentrics как CMP — не задекларирован. Matomo на собственном сервере MPG — задекларирован, в HAR не активен. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница
www.mpg.de/de — HTML, Apache, Ruby on Rails. Link preload для Roboto 700 woff2 в заголовке ответа. CSP: frame-ancestors 'self' https://statistik.mpg.de — раскрывает домен Matomo.
+280 мс · шрифты
Roboto (300, 300italic, regular, 700 — для латиницы, расширенной латиницы, греческого и кириллицы) и Merriweather (regular) — пять woff2 локально. mpg_icons-webfont — собственный иконочный шрифт MPG, локально. Нет Google Fonts.
+283 мс · Usercentrics loader
web.cmp.usercentrics.eu/ui/loader.js и WebSdk.lib (+313 мс) — загрузчик CMP. Затем настройки баннера (oO9e28BlWRtyf2), GdprCmpController (+710 мс), пиксель сессии (+597 мс).
+465 мс · JS-бандлы
mpg_base.js, mpg_fouc.js, mpg_amd.js, mpg_amd_bundle.js — все локально. KaTeX для рендеринга математических формул — локально.
+597 мс · баннер
app.usercentrics.eu/session/1px.png — баннер отображается. uct.service.usercentrics.eu/uct (+956 мс) — аналитика показа баннера, статус 0 (timeout или blocked).

Декларация против факта

Matomo (statistik.mpg.de) — задекларирован, собственный сервер MPG, cookies pk_id и pk_sess — заявлен
Сессионные cookies — задекларированы как технически необходимые (§25(2) TDDDG, Art. 6(1)(f)) — заявлен
+ Usercentrics (web.cmp.usercentrics.eu, v1.api.service.cmp.usercentrics.eu, app.usercentrics.eu, uct.service.usercentrics.eu) — не упомянут — не заявлен

Зафиксированные нарушения

Контекст

Max-Planck-Gesellschaft — крупнейшая немецкая организация фундаментальных исследований, объединяющая 84 института. Нобелевские лауреаты: 39 с момента основания. Apache, Ruby on Rails. HAR: 39 запросов, 5 доменов.

Шрифты с кириллицей — локально

MPG использует Roboto в четырёх начертаниях с расширенным набором символов: латиница, расширенная латиница, греческий, кириллица — все woff2 локально. Merriweather Regular и собственный иконочный шрифт mpg_icons-webfont — тоже локально. Link-preload для Roboto 700 прописан непосредственно в заголовке HTTP-ответа. Нет Google Fonts.

CSP раскрывает Matomo — в HAR не активен

Content-Security-Policy содержит frame-ancestors 'self' https://statistik.mpg.de — это хост собственного экземпляра Matomo. Политика конфиденциальности описывает Matomo с cookies pk_id и pk_sess, IP-анонимизацией, хранением и обработкой на собственных серверах MPG. В HAR главной страницы запросов к statistik.mpg.de нет — Matomo не активировался.

Usercentrics — не задекларирован

Usercentrics выполняет 7 запросов: loader.js, WebSdk, настройки баннера, GdprCmpController, 1px-пиксель сессии, TCF-конфигурация и uct-аналитика (последний вернул статус 0 — timeout или заблокирован). settingsId oO9e28BlWRtyf2 идентифицирует конфигурацию. В политике конфиденциальности Usercentrics отсутствует — ни под собственным именем, ни как CMP, ни в разделе о cookies.

KaTeX — для научного контента

В JS-бандлах присутствует KaTeX — библиотека рендеринга математических формул в TeX/LaTeX-нотации. Загружается локально, соответствует профилю научной организации.

Вывод

www.mpg.de имеет одно нарушение: Usercentrics как CMP не задекларирован в политике конфиденциальности. Технический стек чистый — нет рекламных сетей, нет внешних трекеров. Matomo на собственном сервере MPG задекларирован корректно, в HAR не активен.

Доказательство
Оригинал (разбор)
HAR-файл: de/mpg-de-2026-05-29.har
SHA-256: ad7bdd208944d530b19e059f659a83aa6b5249e1eac368239ee1337ec1fcb791
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данныхподать жалобу онлайн → 

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом mpg.de.

2. Обстоятельства
Я посетил сайт mpg.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Usercentrics (web.cmp.usercentrics.eu, v1.api.service.cmp.usercentrics.eu, app.usercentrics.eu, uct.service.usercentrics.eu) — CMP-платформа, выполняющая 7 запросов с settingsId=oO9e28BlWRtyf2 — не упомянута в политике конфиденциальности. Политика декларирует Matomo на собственном сервере MPG, но не описывает платформу управления согласием.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/mpg-de/

3. Нарушенные положения
GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]