EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

zdf.de

Общественный телевещатель Германии
DE

ZDF — крупнейший общественный телевещатель Германии. 205 запросов, 5 доменов — все немецкие. ZDFType, ZDFMicro, 3satHurme — все локально. Нет Google, нет Meta, нет Piano Analytics. Единственный внешний трекер — Sentry через Jakala без согласия. Next.js (Turbopack).

Хронология утечки

+91 мс · шрифты и стили
19 корпоративных шрифтов локально: ZDFType (Regular, Medium, Bold, Heavy), ZDFTypeCond (5 начертаний), ZDFMicro (4 начертания), 3satHurme (5 начертаний). Next.js CSS-чанки (80+ файлов) и JS-бандлы — все с www.zdf.de.
+1082 мс · Sentry
sentry.jakala.services/api/22/envelope — три Sentry-запроса с данными о производительности браузера и JS-ошибках. Без баннера согласия.
+1082 мс · api.zdf.de
api.zdf.de/graphql — GraphQL API (6 запросов): активные прямые эфиры, программа передач EPG, кластерные списки. Внутренняя инфраструктура ZDF.
+1082 мс · ssl.zdf.de
ssl.zdf.de/geo/ — геолокация для geo-блокировки контента (403 для de и dach, 200 для ebu). Внутренняя инфраструктура ZDF.

Декларация против факта

Externe Dienstleister — упомянуты в общих чертах без имён — заявлен
Rundfunkdatenschutzbeauftragter — задокументирован как надзорный орган — заявлен
+ Sentry / Jakala (sentry.jakala.services) — не упомянут — не заявлен

Тайминги передачи

+1082 мс sentry.jakala.services без согласия Sentry envelope. Jakala GmbH. Мониторинг ошибок. Германия.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

ZDF (Zweites Deutsches Fernsehen) — второй федеральный общественный телевещатель Германии. Финансируется из Rundfunkbeitrag — обязательного взноса телерадиовещания. Совместно с ARD управляет рядом каналов: 3sat, Arte, KiKA, ZDFneo. Next.js (Turbopack) — современный фреймворк, полная переработка предыдущей архитектуры. HAR: 205 запросов, 5 доменов — все в немецкой инфраструктуре.

Корпоративные шрифты — 19 файлов локально

ZDF использует три корпоративных шрифтовых семейства: ZDFType (Regular, Medium, Bold, Heavy), ZDFTypeCond (Light, Regular, Medium, Bold, Heavy — для заголовков), ZDFMicro (Light, Regular, Medium, Bold — для интерфейсных элементов). Дополнительно — 3satHurme (Black, Bold, Light, Regular, SemiBold) для совместного канала 3sat. Все 19 файлов в формате woff2 размещены локально в /_next/static/media/. Нет Adobe Fonts, нет Google Fonts.

Sentry через Jakala — мониторинг ошибок без согласия

На +1082 мс ZDF отправляет три envelope-запроса к sentry.jakala.services. Sentry — система мониторинга ошибок с открытым исходным кодом, self-hosted экземпляр которой развернут у Jakala GmbH (немецкое диджитал-агентство, Мюнхен). Sentry envelope содержит данные о производительности браузера, трассировках JS-ошибок и метаданных сессии. Это не рекламный трекер, но внешний получатель технических данных пользователя без согласия.

Политика конфиденциальности ZDF (версия от 25.03.2026) — краткая страница, отсылающая к «подробному описанию выше» без самого описания. Jakala и Sentry в ней не упомянуты.

ARD vs. ZDF — два подхода

ARD использует Piano Analytics (h-cdn.com / pa-cd.com) без баннера на основании публичного вещательного мандата. ZDF не использует Piano Analytics — ни в HAR нет следов AT Internet. Возможно, ZDF реализует Nutzungsmessung иначе или вовсе отказался от неё на публичном сайте. Единственный внешний получатель данных — Sentry через Jakala — не является инструментом аудитории.

Set-Cookie — ноль

Ни один из 205 запросов не устанавливает cookie через Set-Cookie.

Вывод

zdf.de демонстрирует архитектуру, принципиально отличающуюся от большинства медиапорталов ирландской серии: нет Google Analytics, нет GTM, нет Meta, нет рекламных сетей. Единственное нарушение — Sentry через Jakala без баннера и без документации. Для публичного вещателя, финансируемого из обязательного взноса граждан, это существенно ниже планки нарушений, чем у большинства проверенных сайтов немецкой серии.

Доказательство
Оригинал (разбор)
HAR-файл: de/zdf-de-2026-05-29.har
SHA-256: b2f7ae4669cbca484afd079975ab8e1dbb52f9479d48b900ffd25e5a8e6312ca
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данныхподать жалобу онлайн → 

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом zdf.de.

2. Обстоятельства
Я посетил сайт zdf.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) sentry.jakala.services/api/22/envelope — Sentry SDK отправляет три envelope-запроса с данными о сессии браузера, производительности и ошибках JS (+1082 мс). Jakala — немецкое диджитал-агентство, использующее self-hosted Sentry. Запросы происходят без cookie-баннера и без согласия. Политика конфиденциальности (краткая версия) не упоминает Sentry или Jakala как получателей данных.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/zdf-de/

3. Нарушенные положения
GDPR Art. 13(1)(e); TDDDG § 25

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]