EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

rki.de

федеральный институт инфекционных болезней Германии
DE

Федеральный институт инфекционных болезней Германии. 31 запрос, 1 домен. GSB-платформа. Lato — локально. Matomo через piwik.itzbund.de только с согласия (Art. 6(1)(a)). YouTube через lightbox по клику — без предзагрузки. GSB cookie-баннер без внешних CMP. Set-Cookie — ноль. Ни одного внешнего домена.

Хронология утечки

+0 мс · главная страница
www.rki.de/DE/Home/home_node.html — HTML, Apache, GSB. CSP явно разрешает script-src только piwik.itzbund.de и youtube.com — в HAR оба домена не активны.
+113 мс · стили
GSB CSS-бандлы (_libs, small, medium, large, xlarge, custom, addon_usability, addon_print) — все локально.
+256 мс · шрифты
Lato (Regular, Italic, 700) — три woff2-файла из /static/fonts/Lato/, все локально. Нет Google Fonts.
+464 мс · JS-бандлы
bundle_lightbox.js, bundle_imagesourcelightbox.js, bundle_slideshow_dots.js, bundle_multimedia.js, global.js — все локально. Lightbox для YouTube-видео загружается без предзагрузки iframe YouTube.
+518 мс · cookie-баннер
www.rki.de/SiteGlobals/Modules/CookieBanner/DE/Allgemein/CookieBanner.html — собственный GSB cookie-баннер, без OneTrust, Cookiebot или иных внешних CMP.

Декларация против факта

Matomo (piwik.itzbund.de / ITZBund) — только после согласия, Art. 6(1)(a) — заявлен
YouTube (Google Ireland Limited) — встраивается через lightbox по клику пользователя — заявлен
Social Media — YouTube, LinkedIn, BlueSky, Mastodon (social.bund.de) как внешние платформы — заявлен

Контекст

RKI (Robert Koch-Institut) — федеральный институт в ведении Федерального министерства здравоохранения. Ведёт эпидемиологический надзор, публикует научные рекомендации и данные о вспышках инфекций. Sensitivity — high. HAR: 31 запрос, 1 домен, Apache, GSB.

Lato локально, без Google Fonts

RKI использует шрифт Lato (Regular, Italic, Bold) — три woff2-файла из /static/fonts/Lato/. Lato разработан польским дизайнером Łukaszem Dziedzicем и широко распространяется через Google Fonts, однако RKI размещает его локально, исключая запросы к серверам Google при загрузке страницы.

Matomo только с согласия

CSP включает piwik.itzbund.de в разрешённые источники скриптов. Политика конфиденциальности явно указывает: Matomo активируется исключительно после получения согласия пользователя (Art. 6(1)(a) DSGVO). Данные обрабатываются на серверах ITZBund в Германии и не передаются третьим лицам. В HAR главной страницы запросов к piwik.itzbund.de нет — трекер не активировался.

YouTube через lightbox — без предзагрузки

На главной странице присутствует видео-тизер (Erklärvideo RKI 2023). Загружается bundle_multimedia.js и bundle_lightbox.js — инфраструктура для встроенного плеера. Запрос к Erklaerfilm_RKI_DE_2023.html?view=renderLightbox (+520 мс) возвращает HTML-обёртку, которая инициирует YouTube iframe только по клику пользователя. В HAR запросов к youtube.com или ytimg.com нет — предзагрузки нет, данные в YouTube до клика не передаются.

Cookie-баннер реализован через собственный GSB-модуль (SiteGlobals/Modules/CookieBanner/). Ни OneTrust, ни Cookiebot, ни Cookie Script в HAR не фигурируют. Set-Cookie — ноль.

Вывод

www.rki.de не передаёт данные посетителей третьим лицам при первом посещении. Один домен, локальные ресурсы, Matomo строго за барьером согласия, YouTube без предзагрузки iframe. Нарушений GDPR на момент аудита не зафиксировано.

Доказательство
Оригинал (разбор)
HAR-файл: de/rki-de-2026-05-29.har
SHA-256: 740c49169ca42665dba505f7bf432a98c5d74f3b5be4e44c9c02485b4144d311
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.