Германия on GDPR Audit

docmorris.de

Tue, 23 Jun 2026 00:00:00 +0300

Контекст

www.docmorris.de — сайт DocMorris, одной из крупнейших европейских онлайн-аптек (доставка лекарств и товаров для здоровья, личный кабинет, программа лояльности). Контролёры данных — DocMorris N.V. и DocMorris Services B.V. (Хеерлен, Нидерланды); сайт работает на немецкую аудиторию под доменом .de. Поскольку речь об аптеке, чувствительность контекста высокая.

Замер: 146 обращений к 12 доменам, главная страница, снят на чистом браузере без VPN и блокировщика. Сессия вошла через переадресацию с www.docmorris.nl на www.docmorris.de — этим объясняется нидерландский домен в списке. На сайте есть собственный механизм согласия на платформе consentmanager.

ard.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

ARD (Arbeitsgemeinschaft der öffentlich-rechtlichen Rundfunkanstalten der Bundesrepublik Deutschland) — консорциум публично-правовых вещателей Германии, объединяющий BR, HR, MDR, NDR, Radio Bremen, RBB, SR, SWR, WDR, Deutsche Welle. Ответственный за ard.de — Südwestrundfunk (SWR). HAR: 39 запросов, 5 доменов. 24 к www.ard.de, 10 к images.ard.de, 5 к внешним.

Nutzungsmessung без согласия — немецкий правовой подход

ARD не показывает cookie-баннер и не запрашивает согласия на аналитику. Правовое обоснование изложено в политике: Nutzungsmessung (измерение использования) проводится на основании Art. 6 Abs. 1 lit. e DSGVO в связи с законодательными нормами об öffentlich-rechtlichen Telemedienauftrag — публично-правовым медиамандатом.

bahn.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Deutsche Bahn AG — федеральное железнодорожное предприятие Германии, ответственное за пассажирские и грузовые перевозки. Продажа билетов, бронирование, управление аккаунтом. HAR: 411 запросов, 8 доменов. 390 запросов к www.bahn.de, 9 к assets.static-bahn.de, 7 к cms.static-bahn.de — и 5 к внешним доменам, из которых два принадлежат самой DB (at.bahn.de, cdn-at.bahn.de).

Собственная инфраструктура аналитики

DB использует at.bahn.de как собственный аналитический домен — поддомен bahn.de, то есть технически first-party. Через /ccrm (+3811 мс) инициируется редирект на cdn-at.bahn.de/1x1.gif (+4070 мс). Паттерн «redirect to 1x1 pixel» — классическая реализация Tealium iQ Tag Management с Adobe Analytics beacon. Политика подтверждает: Tealium и Adobe Analytics используются для аналитики, при необходимости IP-адреса анонимизируются.

bamf.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BAMF (Bundesamt für Migration und Flüchtlinge) — федеральное ведомство, принимающее решения по заявлениям на убежище, управляющее интеграционными программами и ведущее учёт иностранных граждан. Sensitivity — high: посетители сайта — в том числе лица, ищущие убежище, беженцы, мигранты. HAR: 58 запросов, 1 домен.

Архитектурная дисциплина

Все 58 запросов направлены исключительно к www.bamf.de. BundesSans и BundesSerif — государственный шрифтовой стандарт Bundesdesign — хостятся локально в /static/fonts/BundesSchrift/. Иконки лёгкого языка (Leichte Sprache) и жестового языка (Gebärdensprache) — SVG-файлы на собственном сервере. Нет Google Fonts, нет CDN, нет внешних JS-библиотек.

bauhaus.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Stiftung Bauhaus Dessau — государственный фонд, хранящий наследие знаменитой школы дизайна 1919–1933 годов. Финансируется федеральным правительством и землёй Саксония-Ангальт. Управляет оригинальными зданиями Баухауса в Дессау — объектами Всемирного наследия ЮНЕСКО. WordPress с кастомной темой. HAR: 81 запрос, 3 домена.

Graebenbach — шрифт Баухауса

Сайт использует шрифт Graebenbach (Regular, Medium) и GraebenbachMono (Regular, Light), а также иконочный шрифт bauhaus.ttf — все размещены локально. Graebenbach — современная интерпретация конструктивистской типографики Баухауса, разработанная специально для цифрового использования наследия школы. Нет Google Fonts, нет Adobe Fonts — шрифтовая независимость соблюдена.

bauindustrie.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Hauptverband der Deutschen Bauindustrie (HDB) — федеральный отраслевой союз строительной промышленности Германии, объединяющий около 2 000 компаний. TYPO3 CMS. HAR: 69 запросов, 1 домен — все к www.bauindustrie.de.

Matomo self-hosted — хорошая архитектура, проблемное правовое основание

HDB использует Matomo, размещённый на собственном сервере по пути /matomo/. Это означает: данные аналитики не передаются третьим сторонам, не уходят в облако, обрабатываются исключительно на инфраструктуре bauindustrie.de. Активирована AnonymizeIP — IP-адреса анонимизируются. Политика сообщает об opt-out механизме.

bbk.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) — федеральное ведомство, отвечающее за предупреждение населения об опасностях (система NINA, Cell Broadcast), координацию гражданской обороны и издание «Ratgeber für Notfallvorsorge und richtiges Handeln in Notsituationen». Подчиняется BMI. HAR: 65 запросов, 1 домен.

Matomo opt-in — реализован корректно

Политика конфиденциальности содержит однозначное утверждение: «Die Webanalyse wird jedoch nur aktiviert, sofern Sie über das Cookie-Banner ausdrücklich in die Nutzung von „Statistikcookies" eingewilligt haben (‚Opt-In’)». Это корректная реализация требований TDDDG § 25 и Art. 6(1)(a) DSGVO. В HAR от мая 2026 года Matomo-запросов нет: ни matomo.js, ни matomo.php. Механизм opt-in работает так, как задокументирован — в отличие от bauindustrie.de, где Matomo с той же декларацией срабатывает до согласия.

berlin.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

berlin.de — официальный интернет-портал Берлина, управляемый BerlinOnline GmbH. Портал освещает городские услуги, события, политику и администрацию. HAR: 39 запросов, 2 домена — www.berlin.de и w7.berlin.de (Webtrekk поддомен берлинской инфраструктуры).

Mapp Intelligence — земельный уровень vs. федеральный стандарт

На федеральном уровне все десять предыдущих сайтов серии показали нулевой результат или использовали opt-in/opt-out Matomo через государственную ITZBund-инфраструктуру. berlin.de — первый сайт земельного уровня — отступает от этого стандарта: использует Mapp Intelligence (Webtrekk GmbH) без баннера согласия на основании Art. 6(1)(e) DSGVO.

bfarm.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BfArM (Bundesinstitut für Arzneimittel und Medizinprodukte) — федеральный регулятор, выдающий разрешения на обращение лекарственных средств и медицинских изделий в Германии. Ведёт DiGA-Verzeichnis (реестр цифровых медицинских приложений) и Nationales Organspende-Register. Подчиняется Bundesgesundheitsministerium. Sensitivity — high: посетители — медицинские специалисты, пациенты, фармацевтические компании. HAR: 54 запроса, 2 домена (один — только редиректы).

Opt-out Matomo — BND-модель

Политика BfArM описывает Matomo с opt-out через checkbox: «Sie können sich hier entscheiden… Wenn Sie sich dagegen entscheiden möchten, wählen Sie bitte die entsprechende Option, um den Matomo-Deaktivierungs-Cookie abzulegen». Это та же модель opt-out, что у BND и BKA — в противоположность opt-in у BMJV, BBK и BKA. В HAR нет Matomo-запросов: пользователь не активировал аналитику. Правовой статус opt-out по TDDDG § 25 остаётся дискуссионным на уровне государственных органов.

bfdi.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) — независимый федеральный орган, надзирающий за соблюдением GDPR федеральными ведомствами Германии, а также за телекоммуникационными компаниями. Именно BfDI издаёт руководства по TDDDG и выносит решения по жалобам на нарушения GDPR на федеральном уровне. HAR: 38 запросов, 2 домена.

Нулевая аналитика — явная политическая позиция

Политика конфиденциальности BfDI прямо указывает: «Techniken, wie zum Beispiel Java-Applets oder Active-X-Controls, die es ermöglichen, das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt». Это декларация об отказе от любых инструментов поведенческого отслеживания — не просто документация отсутствующего, а explicit policy statement. В HAR нет Matomo, нет etracker, нет Piano Analytics, нет GTM. Используются только сессионные cookies, квалифицированные как technisch notwendig по § 25 Abs. 2 TDDDG, — без баннера, что корректно для этой категории.

bka.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BKA (Bundeskriminalamt) — федеральное уголовное ведомство, центральный орган уголовной полиции Германии. Координирует расследования международной преступности, терроризма, киберпреступлений. Публикует Fahndungsportfolio — розыскные объявления с фотографиями разыскиваемых лиц. Sensitivity — high: посетители сайта могут быть потерпевшими, свидетелями или лицами, взаимодействующими с системой уголовного судопроизводства. HAR: 109 запросов, 1 домен.

Matomo как аддон CMS — без внешних запросов

matomo.js загружается локально с www.bka.de/SiteGlobals/Frontend/JavaScript/addons/matomo.js на +102 мс — как встроенная часть CMS, а не внешний ресурс. Это принципиально: запрос к файлу на собственном домене не означает активации трекинга. Трекинговый запрос к Matomo-серверу (matomo.php) в HAR отсутствует — пользователь не дал согласия, аналитика не активирована.

bmi.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BMI (Bundesministerium des Innern und für Heimat) — Федеральное министерство внутренних дел, осуществляющее надзор над Bundespolizei, BKA, BfV, BBK, BAMF и другими ведомствами серии. Ответственное за внутреннюю безопасность, миграцию, гражданскую защиту и конституционный порядок. HAR: 112 запросов, 3 домена.

social.bund.de — государственный Mastodon

Главная страница BMI отображает ленту постов из Mastodon-аккаунта министерства. social.bund.de — государственный Fediverse-сервер, управляемый в рамках инфраструктуры bund.de. Три запроса: аватар аккаунта BMI, изображение-вложение к посту, уменьшенное изображение. Это не сторонний сервис: social.bund.de находится в государственной инфраструктуре, как и www.bmi.bund.de. Передача данных — между государственными серверами. Политика содержит раздел о Social Media, но не упоминает social.bund.de как отдельный технический получатель данных при загрузке главной страницы.

bmjv.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BMJV (Bundesministerium der Justiz) — Федеральное министерство юстиции Германии. Публикует законодательство, правовую политику, потребительские брошюры (Patientenverfügung, Betreuungsrecht). Веб-платформа fedеральных органов (ITZBund). HAR: 33 запроса, 1 домен — минимальный стек среди всех немецких сайтов серии.

Корректная реализация opt-in

Политика конфиденциальности чётко разграничивает три категории обработки: сервисные данные (Protokolldatei — сервисные логи на серверах ITZBund, Art. 6(1)(e) DSGVO), технически необходимые cookies (Session-Cookie, persistent Cookie для корзины и баннера, § 25 Abs. 2 Nr. 2 TDDDG) и Matomo (Art. 6(1)(a) DSGVO + § 25 Abs. 1 TDDDG — Einwilligung).

bmv.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BMDV (Bundesministerium für Digitales und Verkehr) — Федеральное министерство цифровизации и транспорта. Регулирует автомобильный, железнодорожный, водный и воздушный транспорт, а также телекоммуникации и цифровую инфраструктуру. HAR: 32 запроса — один из самых минималистичных стеков в серии. 31 запрос к www.bmv.de, 1 к code.etracker.com.

etracker без баннера — правовая позиция и её пределы

Политика применяет подход, аналогичный ARD: etracker используется на основании Art. 6 Abs. 1 lit. e DSGVO (публичный интерес) без cookie-баннера. Механизм отказа — Do-Not-Track: «Wenn Sie mit der Speicherung und Auswertung dieser Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie in Ihrem Browser die Option Do-Not-Track aktivieren». Политика подробно описывает процедуру активации DNT в Chrome, Firefox, Internet Explorer, Safari, Opera.

bmwsb.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BMWSB (Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen) — Федеральное министерство жилищного строительства, городского развития и строительства. GSB-платформа, Apache. HAR: 50 запросов, 2 домена.

Instagram CDN до баннера — политика не описывает встраивание

На +250 мс с scontent-dus1-1.cdninstagram.com (Meta CDN, дата-центр Дюссельдорф) загружаются шесть JPEG-изображений Instagram-ленты BMWSB. GSB cookie-баннер появляется на +564 мс — Instagram CDN опережает его на ~314 мс. IP-адрес посетителя передаётся на серверы Meta при каждом посещении главной страницы.

bsi.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BSI (Bundesamt für Sicherheit in der Informationstechnik) — национальный орган по кибербезопасности Германии. Публикует предупреждения об уязвимостях, стандарты IT-безопасности (BSI-Grundschutz), сертифицирует продукты безопасности, ведёт Hall of Fame исследователей безопасности. HAR: 108 запросов, 1 домен. Контент страницы охватывает IT-SiKongress 2026, NIS2, KRITIS — всё в области информационной безопасности.

Документация — наиболее детальная в немецкой серии

Политика конфиденциальности BSI (121 775 символов) — самая подробная из всех немецких сайтов серии. Содержит структурированную таблицу обработки данных с колонками: категория, данные, субъект, цель, срок хранения. Отдельно задокументированы: Protokolldateien (30 дней, ITZBund, Art. 6(1)(e)), сессионные cookies (без PII), matomoTracking cookie (с полным описанием собираемых данных, механизмом анонимизации IP), OpenStreetMap (только при явном использовании карты, Einwilligung).

bundesfinanzministerium.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BMF (Bundesministerium der Finanzen) — Федеральное министерство финансов, ответственное за федеральный бюджет, налоговое законодательство и финансовую политику Германии. HAR: 42 запроса, 1 домен.

Addon_Tracker и Addon_ConsentBanner — собственная реализация

Министерство финансов использует собственные JS-аддоны для трекинга и управления согласием — Addon_Tracker.js и Addon_ConsentBanner.js — вместо внешних CMP-платформ (OneTrust, Cookiebot). Оба хостируются локально на www.bundesfinanzministerium.de. Addon_Tracker загружается на +708 мс, Addon_ConsentBanner — на +858 мс. В HAR нет Matomo-запросов: согласие не дано, аналитика не активирована. Политика декларирует Matomo с Einwilligung по § 25 Abs. 1 TDDDG.

bundesgerichtshof.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BGH (Bundesgerichtshof) — Федеральный верховный суд Германии, высшая инстанция по гражданским и уголовным делам. Расположен в Карлсруэ. Публикует судебные решения, пресс-релизы и информацию о процедурах. Sensitivity — high: посетители сайта — участники судебных разбирательств, адвокаты, журналисты, стороны споров. HAR: 34 запроса, 2 домена.

Явная декларация против трекинга

Политика конфиденциальности BGH содержит формулу, идентичную BfDI: «Techniken, wie zum Beispiel Java-Applets oder Active-X-Controls, die es ermöglichen, das Zugriffsverhalten der Nutzer nachzuvollziehen, werden nicht eingesetzt». Это не просто отсутствие трекеров — это задокументированная политика отказа от поведенческого отслеживания. HAR подтверждает: ни одного запроса к аналитическим или трекинговым сервисам.

bundesnetzagentur.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Bundesnetzagentur — Федеральное сетевое агентство, регулирующее рынки электроэнергии, газа, телекоммуникаций, почты и железных дорог в Германии. Подчиняется BMWi. Известна рядом громких решений: запрет детских умных часов с подслушивающей функцией (2017), надзор за алгоритмической дискриминацией в сетях. HAR: 109 запросов, 1 домен.

Формула отказа от трекинга — третье повторение

Политика содержит ту же декларацию, что BGH и BfDI: «Techniken, die es ermöglichen, das Zugriffsverhalten der Nutzer*innen nachzuvollziehen, werden nicht eingesetzt» — с добавлением гендерного символа *innen, отражающим современный стиль немецких государственных документов. Это не случайное совпадение формулировок: она закреплена в методических рекомендациях ITZBund и DSK для государственных сайтов, отказывающихся от аналитики.

bundespolizei.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Bundespolizei — Федеральная полиция Германии, подчинённая Федеральному министерству внутренних дел. Обеспечивает охрану государственной границы, безопасность федеральных железных дорог и воздушных портов. Sensitivity — high. HAR: 47 запросов, 1 домен.

Чистая архитектура

Все 47 запросов направлены исключительно к bundespolizei.de. Стек: собственные CSS-файлы Typo3 CMS, BundesSans-Web и BundesSerif-Web — шрифты государственного дизайн-стандарта Германии (Bundesdesign), размещённые локально. Swiper.js, Solr — все локально. Иконки соцсетей (Facebook, YouTube, Instagram, X, WhatsApp) — статические SVG без внешних SDK.

bundesverfassungsgericht.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Bundesverfassungsgericht — орган конституционного контроля Германии, Карлсруэ. Рассматривает жалобы на нарушение конституционных прав, споры между органами власти, проверяет конституционность законов. Sensitivity — high. GSB-платформа, Apache, ITZBund. HAR: 18 запросов, 1 домен.

Строжайший CSP в немецкой серии

Content-Security-Policy использует default-src 'self' с sha256-хешем единственного инлайн-скрипта ('sha256-TSvMvR1KhNSMgA0cXCcbJuroB+o1McSEH4wxscOg1hc='). connect-src и media-src разрешают только 'self' и multimedia.gsb.bund.de. frame-src 'self', frame-ancestors 'self', form-action 'self'. block-all-mixed-content и upgrade-insecure-requests. Ни один внешний домен не разрешён для скриптов или данных — это наиболее ограничительный CSP среди всех сайтов немецкой серии.

bundeswehr.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Bundeswehr — вооружённые силы Германии, подчинённые Bundesministerium der Verteidigung (BMVg). Sensitivity — high. CoreMedia CMS, собственная инфраструктура. HAR: 31 запрос, 2 домена.

Matomo без баннера — нарушает собственную политику

weba.js (+289 мс) инициирует загрузку webstatistik.bundeswehr.de/js/container_XIe0naNH.js (+434 мс) — Matomo Tag Manager на собственном сервере Bundeswehr. Политика конфиденциальности прямо указывает: Matomo активируется «Auf der Grundlage Ihrer Einwilligung (§25 Abs. 1 Satz 1 TTDSG)» — то есть требует явного согласия. В HAR нет ни CMP-платформы, ни баннера согласия. CSP содержит report-uri https://webstatistik.bundeswehr.de/report-uri/ — тот же домен используется для CSP-нарушений и аналитики.

bundeswirtschaftsministerium.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BMWK (Bundesministerium für Wirtschaft und Klimaschutz) — Федеральное министерство экономики и климата Германии. Доступно через три домена: bmwk.bund.de → www.bmwk.de → www.bundeswirtschaftsministerium.de. CoreMedia CMS (CAE), Apache. HAR: 31 запрос, 6 доменов.

etracker требует согласия — в HAR активен без баннера

Политика явно описывает etracker как опциональный сервис, требующий согласия пользователя: «Sie können jederzeit entscheiden, ob Sie uns erlauben…» с отсылкой к «Einwilligungsverwaltung» в нижней части страницы. Правовое основание — §25(1) TTDSG i.V.m. Art. 6(1)(a) DSGVO. В HAR code.etracker.com/code/e.js загружается на +1296 мс без предшествующего баннера согласия.

bva.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BVA (Bundesverwaltungsamt) — универсальное федеральное сервисное ведомство, выполняющее около 150 задач для других федеральных органов: от выплаты BAföG и Kindergeld до управления реестрами и визовой поддержки. Крупнейшее сервисное ведомство Германии. GSB-платформа, Apache. HAR: 58 запросов, 1 домен.

BundesSchrift — пять начертаний локально

BVA использует BundesSansWeb (Regular, Bold, BoldItalic, Italic) и BundesSerifWeb-Bold — пять woff-файлов из /static/fonts/BundesSchrift/. Государственное шрифтовое семейство, хостится локально. Slick.woff для слайдера — тоже локально.

Cookie-баннер реализован собственными средствами GSB без внешних CMP. Политика перечисляет только технически необходимые cookies: JSESSIONID (сессия), SERVERID (балансировка, истекает с сессией) и cookie-баннера (closed, сигнализирует о закрытии). Все — на основании §25(2)(2) TDDDG, без согласия. В HAR Set-Cookie — ноль.

bverwg.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Bundesverwaltungsgericht — высшая инстанция административной юстиции Германии, Лейпциг. Рассматривает кассационные жалобы по делам административного права. Sensitivity — high. Grav CMS, Cloudflare CDN. HAR: 27 запросов, 1 домен.

Grav CMS с собственной темой

Сайт построен на Grav — flat-file CMS без базы данных. Тема bverwg содержит полный набор локальных ресурсов: шрифты, иконки, изображения, JS/CSS. Один скомпилированный CSS-бандл, один JS-бандл. HTML5-видеоплеер px-video.js с VTT-субтитрами — без iframe YouTube или Vimeo.

Cloudflare — CDN без декларирования по имени

Заголовки ответа однозначно идентифицируют Cloudflare: server: cloudflare, cf-ray: a038618ef9bcb32c-FRA, cf-cache-status: HIT. Network Error Logging (NEL) настроен на a.nel.cloudflare.com — Cloudflare получает отчёты об ошибках сети браузера. При использовании Cloudflare CDN IP-адреса всех посетителей проходят через инфраструктуру Cloudflare Inc. (США).

bzst.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

BZSt (Bundeszentralamt für Steuern) — федеральное центральное налоговое ведомство, Бонн. Ведёт реестры налоговых идентификаторов, администрирует возврат налогов, управляет международным налоговым сотрудничеством. Sensitivity — high. GSB-платформа, Apache. HAR: 50 запросов, 3 домена.

Matomo без баннера — Art. 6(1)(e)

addon_matomo.js загружается локально на +106 мс и инициирует запросы к piwik.itzbund.de на +278 мс. GSB CookieBanner в HAR отсутствует полностью — в отличие от RKI, THW и других GSB-сайтов серии, где баннер присутствует. Трекинг-запрос (/js/?action_name=…&idsite=4) на +368 мс содержит подробные данные: User-Agent Client Hints (Edge 148, Windows 19.0.0, платформа), разрешение экрана, идентификатор просмотра страницы.

destatis.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Statistisches Bundesamt (Destatis) — федеральное статистическое ведомство Германии, Висбаден. Публикует официальную статистику по экономике, населению, обществу. GSB-платформа, Myra Security CDN. HAR: 46 запросов, 2 домена.

StatisSans — корпоративный шрифт в 7 начертаниях

Destatis использует собственный шрифт StatisSans в семи начертаниях: Light, Book, Regular, Medium, SemiBold, Bold, Italic — все woff2 из /static/fonts/statissans/. Шрифт разработан специально для Statistisches Bundesamt, визуально связан с корпоративным стилем ведомства. Нет Google Fonts, нет Adobe Fonts. Виджет чатбота Faktenfuchs дополнительно загружает BundesSans с bundesbots.de.

dihk.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

DIHK (Deutscher Industrie- und Handelskammertag) — федеральный союз 79 торгово-промышленных палат Германии, представляющих около 3,5 миллиона предприятий. CoreMedia CMS, Varnish. HAR: 34 запроса, 3 домена.

etracker без баннера — Art. 6(1)(f)

На +111 мс загружается code.etracker.com/code/e.js (account ID 1BEWo9). На +178 мс — t.js с версией и идентификатором аккаунта. На +278 мс — www.etracker.de/cntcc с полным URL страницы (pagename=https://www.dihk.de/) и временной меткой. Баннера согласия нет.

Политика декларирует etracker через Art. 6(1)(f) DSGVO (законный интерес) и описывает cookieless-режим по умолчанию: данные обрабатываются в Германии, etracker сертифицирован знаком ePrivacyseal. Правомерность применения Art. 6(1)(f) для веб-аналитики без согласия остаётся предметом дискуссии в надзорной практике: DSK (Datenschutzkonferenz) в ряде позиций указывает на необходимость согласия. Политика не ссылается на TDDDG, что само по себе является упущением для сайта немецкой организации, работающего с cookies и подобными технологиями.

dpa.com

Fri, 29 May 2026 00:00:00 +0300

Контекст

dpa (Deutsche Presse-Agentur) — основное немецкое новостное агентство, обслуживающее около 1000 медиаорганизаций. Корпоративный сайт на английском языке. Next.js, nginx. HAR: 35 запросов, 4 домена.

Matomo cookieless — без баннера, на собственных серверах

used.dpa.com — собственный домен dpa для Matomo. На +539 мс загружается Matomo Tag Manager (container_dkuvDkTV.js), на +591 мс — трекинг-запрос с idsite=8. Политика описывает Matomo подробно: без cookies, cookieless-режим с хешом на 24 часа, немедленная IP-анонимизация, данные остаются на серверах dpa. Правовое основание — Art. 6(1)(f) GDPR (законный интерес). Баннера согласия нет, и по декларируемой схеме он не требуется — TDDDG §25(2)(2) для технически необходимых технологий и Art. 6(1)(f) для cookieless-аналитики. Set-Cookie — ноль.

evergabe.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

eVergabe.de — официальный федеральный портал государственных закупок Германии, обеспечивающий публикацию тендеров и процедур госзакупок. Sensitivity — high: сайт обрабатывает данные участников торгов и государственных заказчиков. Next.js, CloudWAF. HAR: 65 запросов, 13 доменов.

GTM и ReCaptcha — до баннера

На +852 мс одновременно загружаются GTM (GTM-PGQ2TZ) и Google ReCaptcha (render=6LfYf_kqAAAAACp89Dmqpzs2OO4FKZ6T_m8DUe22). Usercentrics появляется на +1900 мс — через секунду. GA4 (G-XTTERB4HCG) через GTM отправляет g/collect на +2612 мс — до отображения баннера (+2688 мс). Google Fonts (Roboto, два начертания) загружается через ReCaptcha iframe на +3591 мс.

findresultshub.com

Fri, 29 May 2026 00:00:00 +0300

Контекст

findresultshub.com — парковочная страница системы монетизации DNS Verizon Media/Yahoo. Перехватывает браузерный трафик, направленный на grundbuch-online.de — немецкий онлайн-сервис реестра недвижимости (Grundbuch). Посетители, набирающие адрес реестра недвижимости, попадают на рекламную страницу с поисковой формой. openresty, Google Cloud CDN.

Парковочная монетизация DNS — механизм

Параметр ?dn=grundbuch-online.de идентифицирует исходный домен. Платформа Verizon Media/Yahoo DNS (бывший Yodel/Oversee) генерирует контекстные рекламные объявления по ключевым словам, связанным с исходным доменом — в данном случае «Property Records Search». Рекламный аукцион обслуживается через resultsfinderhub.com/sr/SAFEFRAME.html, параметры bid содержат cid=8CUF3S44R, prid=8PR11258V, crid=505678630.

fitko.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

FITKO (Föderale IT-Kooperation) — исполнительный орган IT-Planungsrat, межправительственного координационного органа по информационным технологиям в администрации федерации и земель Германии. Правовая основа — IT-Staatsvertrag (ст. 91c GG). Оператор данных — FITKO как юридическое лицо публичного права (Anstalt des öffentlichen Rechts). Отраслевое законодательство: HDSIG (Hessisches Datenschutz- und Informationsfreiheitsgesetz). TYPO3, nginx. HAR: 33 запроса, 2 домена.

Kern — федеральная дизайн-система через unpkg.com

FITKO использует Kern — федеральную дизайн-систему для цифровых государственных сервисов Германии (@kern-ux/native@2.6.2). Два компонента загружаются с unpkg.com: CSS-декларации шрифта Fira Sans и JS-компонент шапки kern-kopfzeile.js. unpkg.com — публичный npm CDN, управляемый Cloudflare. При загрузке ресурсов IP-адрес посетителя передаётся на серверы Cloudflare. Оба файла кешируются браузером на один год.

helmholtz.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Helmholtz-Gemeinschaft Deutscher Forschungszentren — крупнейшая научно-исследовательская организация Германии, объединяющая 18 национальных центров: от DESY и GSI до Forschungszentrum Jülich и Helmholtz-Zentrum Berlin. Финансирование — преимущественно федеральное и земельное. TYPO3, nginx. HAR: 15 запросов, 1 домен.

HelmholtzHalvar — корпоративный шрифт локально

Helmholtz-Gemeinschaft использует собственный шрифт HelmholtzHalvar (начертание Mittel Regular) — woff2 из локального каталога _assets/. Halvar — семейство немецкого type-дизайнера Яна Мишеля Касаманна (Studio MASA), адаптированное и переименованное для Helmholtz. Нет Google Fonts, нет Adobe Fonts.

hoferpowertrain.com

Fri, 29 May 2026 00:00:00 +0300

Контекст

Hofer Powertrain (hofer consulting GmbH) — инжиниринговый подрядчик в области электроприводов и силовых агрегатов, Вайсах (Баден-Вюртемберг). Клиенты — автопроизводители и поставщики первого уровня. Webflow, Cloudflare. HAR: 63 запроса, 27 доменов.

Политика — автосгенерированная рыба

Политика конфиденциальности (effective date: 2025-10-01) сгенерирована инструментом CookieScript Privacy Policy Generator — это прямо указано в тексте документа. Политика не называет ни одного конкретного получателя данных: вместо «HubSpot», «Meta», «LinkedIn» — абстрактные фразы «online analytics tools», «third party service providers». Art. 13(1)(e) GDPR требует указания конкретных получателей или категорий получателей персональных данных.

immobilienscout24.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

ImmoScout24 — лидирующий немецкий портал недвижимости, часть Scout24 AG. Next.js, CloudFront (регион HEL51 — Хельсинки). HAR: 83 запроса, 17 доменов. Собственная инфраструктура: SSO, HeyImmo AI-чатбот, внутренний трекер страниц, метрики производительности.

Google GSI и Tealium IQ — до баннера

Usercentrics loader появляется на +653 мс. К этому моменту уже отработали два внешних сервиса: Google GSI на +413 мс и Tealium IQ на +609 мс.

Google GSI (gsi/client, gsi/style, gsi/status) — SDK Google Sign-In, обеспечивающий вход через аккаунт Google и функцию One Tap. Четыре запроса к accounts.google.com, включая gsi/status с client_id=208472424340-…, передают данные о браузере и сессии на серверы Google без согласия. Политика упоминает Google только в контексте ReCaptcha, Google Sign-In описан не отдельно.

kmk.org

Fri, 29 May 2026 00:00:00 +0300

Контекст

KMK (Kultusministerkonferenz) — постоянная конференция министров образования и культуры 16 земель Германии. Координирует образовательную политику на федеральном уровне. Секретариат — Берлин. TYPO3, nginx, Vite. HAR: 71 запрос, 1 домен.

Klaro — open-source CMP, локально, без задекларирования

Три файла Klaro (klaro.min.js, klaroConfig.js, klaroObserver.js) загружаются из локального каталога _assets/ TYPO3. Klaro — open-source библиотека управления согласием (MIT-лицензия), не требующая внешних серверных запросов и не передающая данные третьим лицам. В HAR нет ни одного запроса к внешним серверам Klaro — вся CMP-логика работает на стороне клиента. Политика конфиденциальности не упоминает Klaro, механизм управления согласием и используемые cookies согласия.

mpg.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Max-Planck-Gesellschaft — крупнейшая немецкая организация фундаментальных исследований, объединяющая 84 института. Нобелевские лауреаты: 39 с момента основания. Apache, Ruby on Rails. HAR: 39 запросов, 5 доменов.

Шрифты с кириллицей — локально

MPG использует Roboto в четырёх начертаниях с расширенным набором символов: латиница, расширенная латиница, греческий, кириллица — все woff2 локально. Merriweather Regular и собственный иконочный шрифт mpg_icons-webfont — тоже локально. Link-preload для Roboto 700 прописан непосредственно в заголовке HTTP-ответа. Нет Google Fonts.

muenchen.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

Portal München — официальный городской информационный портал Мюнхена, оператор — Landeshauptstadt München (LHM). Drupal CMS, Fastly CDN. HAR: 106 запросов, 9 доменов.

etracker без cookies — до баннера

На +123 мс загружаются два скрипта etracker: static.etracker.com/code/e.js и code.etracker.com/code/e.js. Это происходит одновременно с загрузчиком Usercentrics — баннер появится только через +755 мс.

Политика конфиденциальности обосновывает etracker через Art. 6(1)(f) DSGVO (законный интерес) и описывает cookieless-режим: данные псевдонимизированы, обрабатываются исключительно в Германии, не передаются третьим лицам, уважается Do Not Track. etracker GmbH действительно предлагает cookieless-аналитику — это дифференцирующая характеристика сервиса. Тем не менее данные о браузере, URL и поведении пользователя уходят на etracker до любого взаимодействия с баннером. Правомерность Art. 6(1)(f) для аналитики без согласия — предмет дискуссии в немецкой надзорной практике.

obi.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

OBI — немецкая розничная сеть строительных и хозяйственных гипермаркетов, 350+ магазинов в Германии. Дочерняя компания Tengelmann Group. CloudFront CDN, Next.js-подобная архитектура. HAR: 388 запросов, 21 домен.

Загрузка до баннера: четыре внешних сервиса

Usercentrics (CMP) отображает баннер согласия через ~4,6 секунды после начала загрузки страницы. К этому моменту уже активированы четыре внешних сервиса.

На +120 мс загружается Instana EUM (eum.instana.io/1.8.1/eum.min.js) — инструмент Real User Monitoring компании IBM. На протяжении сессии Instana трижды отправляет данные на eum-blue-saas.instana.io. На +121 мс загружается движок Kameleoon (l96jc26jvj.kameleoon.eu/engine.js). На +337 мс — запрос к eu-data.kameleoon.eu/visit/visitor с присвоением visitorCode, а на +1101 мс — отправка событий визита с этим идентификатором. На +202 мс загружается Google Tag Manager (GTM-5SDGHH). На +1442 мс активируется Bannerflow с пикселем отслеживания.

rki.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

RKI (Robert Koch-Institut) — федеральный институт в ведении Федерального министерства здравоохранения. Ведёт эпидемиологический надзор, публикует научные рекомендации и данные о вспышках инфекций. Sensitivity — high. HAR: 31 запрос, 1 домен, Apache, GSB.

Lato локально, без Google Fonts

RKI использует шрифт Lato (Regular, Italic, Bold) — три woff2-файла из /static/fonts/Lato/. Lato разработан польским дизайнером Łukaszem Dziedzicем и широко распространяется через Google Fonts, однако RKI размещает его локально, исключая запросы к серверам Google при загрузке страницы.

service.bund.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

service.bund.de — федеральный портал, управляемый Bundesverwaltungsamt (BVA, Федеральное административное ведомство, Кёльн). Агрегирует вакансии и объявления о тендерах органов федерального, земельного и муниципального уровней. GSB-платформа, Apache. HAR: 27 запросов, 1 домен.

Минималистичная архитектура без внешних зависимостей

Все 27 запросов направлены исключительно к www.service.bund.de. Стек — GSB (Gemeinsames Servicezentrum der Bundesbehörden): стандартные CSS-бандлы, три локальных JS-файла. Шрифты подключаются через системный стек браузера — нет woff/woff2-файлов в HAR. Иконки партнёрских порталов-тизеров (GovData, D115, Geoportal, juris и др.) хостируются локально. Leaflet.css присутствует как стиль для карт, которые используются на внутренних страницах, — на главной странице тайлы карт не загружались.

thw.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

THW (Technisches Hilfswerk) — федеральное агентство Германии по технической помощи при катастрофах и чрезвычайных ситуациях. Около 80 000 добровольцев, 668 местных подразделений. Подчинено Федеральному министерству внутренних дел. Sensitivity — high. HAR: 65 запросов, 1 домен, Apache, GSB (Gemeinsames Servicezentrum der Bundesbehörden).

Государственная шрифтовая система BundesSchrift

THW использует восемь начертаний из семейства BundesSchrift-v3-014: BundesSansWeb (Regular, Italic, Bold, BoldItalic) и BundesSerifWeb (Regular, Italic, Bold, BoldItalic). Все файлы в формате woff размещены локально в /static/fonts/. Это стандарт федерального дизайна Германии — централизованно распространяемые шрифты без обращений к внешним CDN.

zdb.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

ZDB (Zentralverband des Deutschen Baugewerbes) — Центральный союз немецкого строительного ремесла, объединяющий около 35 000 предприятий. Основан в 1899 году, штаб-квартира в Берлине. TYPO3 CMS, Apache. HAR: 35 запросов, 1 домен.

Чистая архитектура

Все 35 запросов направлены исключительно к www.zdb.de. CSS и JS собраны TYPO3-мёрджером в /typo3temp/assets/compressed/. Шрифты Barlow (Regular, Bold 700, ExtraBold 800) и иконочный набор Font Awesome (brands и solid) размещены локально в расширении zdb_content. Нет обращений к Google Fonts, Adobe Fonts или сторонним CDN. Set-Cookie — ноль.

zdf.de

Fri, 29 May 2026 00:00:00 +0300

Контекст

ZDF (Zweites Deutsches Fernsehen) — второй федеральный общественный телевещатель Германии. Финансируется из Rundfunkbeitrag — обязательного взноса телерадиовещания. Совместно с ARD управляет рядом каналов: 3sat, Arte, KiKA, ZDFneo. Next.js (Turbopack) — современный фреймворк, полная переработка предыдущей архитектуры. HAR: 205 запросов, 5 доменов — все в немецкой инфраструктуре.

Корпоративные шрифты — 19 файлов локально

ZDF использует три корпоративных шрифтовых семейства: ZDFType (Regular, Medium, Bold, Heavy), ZDFTypeCond (Light, Regular, Medium, Bold, Heavy — для заголовков), ZDFMicro (Light, Regular, Medium, Bold — для интерфейсных элементов). Дополнительно — 3satHurme (Black, Bold, Light, Regular, SemiBold) для совместного канала 3sat. Все 19 файлов в формате woff2 размещены локально в /_next/static/media/. Нет Adobe Fonts, нет Google Fonts.

Германия on GDPR Audit

docmorris.de

Контекст

ard.de

Контекст

Nutzungsmessung без согласия — немецкий правовой подход

bahn.de

Контекст

Собственная инфраструктура аналитики

bamf.de

Контекст

Архитектурная дисциплина

bauhaus.de

Контекст

Graebenbach — шрифт Баухауса

bauindustrie.de

Контекст

Matomo self-hosted — хорошая архитектура, проблемное правовое основание

bbk.bund.de

Контекст

Matomo opt-in — реализован корректно

berlin.de

Контекст

Mapp Intelligence — земельный уровень vs. федеральный стандарт

bfarm.de

Контекст

Opt-out Matomo — BND-модель

bfdi.bund.de

Контекст

Нулевая аналитика — явная политическая позиция

bka.de

Контекст

Matomo как аддон CMS — без внешних запросов

bmi.bund.de

Контекст

social.bund.de — государственный Mastodon

bmjv.de

Контекст

Корректная реализация opt-in

bmv.de

Контекст

etracker без баннера — правовая позиция и её пределы

bmwsb.bund.de

Контекст

Instagram CDN до баннера — политика не описывает встраивание

bsi.bund.de

Контекст

Документация — наиболее детальная в немецкой серии

bundesfinanzministerium.de

Контекст

Addon_Tracker и Addon_ConsentBanner — собственная реализация

bundesgerichtshof.de

Контекст

Явная декларация против трекинга

bundesnetzagentur.de

Контекст

Формула отказа от трекинга — третье повторение

bundespolizei.de

Контекст

Чистая архитектура

bundesverfassungsgericht.de

Контекст

Строжайший CSP в немецкой серии

bundeswehr.de

Контекст

Matomo без баннера — нарушает собственную политику

bundeswirtschaftsministerium.de

Контекст

etracker требует согласия — в HAR активен без баннера

bva.bund.de

Контекст

BundesSchrift — пять начертаний локально

Собственный cookie-баннер — только необходимые cookies

bverwg.de

Контекст

Grav CMS с собственной темой

Cloudflare — CDN без декларирования по имени

bzst.de

Контекст

Matomo без баннера — Art. 6(1)(e)