Технический аудит · 2026-05-26

oeh.ac.at

Австрийский студенческий союз (ÖH)

Австрийский студенческий союз — 123 запроса, 3 домена. Matomo self-hosted на webanalytik.oeh.ac.at запускается без согласия. Подробная политика конфиденциальности описывает десятки сервисов — веб-аналитика среди них отсутствует.

Хронология утечки

+535 мс · Cloudflare Turnstile

challenges.cloudflare.com загружает anti-bot скрипт. В политике упомянут косвенно как CAPTCHA/Anti-Bot.

+590 мс · Matomo

webanalytik.oeh.ac.at/webanalytik.js — Matomo self-hosted. Consent-баннера нет.

+755 мс · трекинг-пинг

webanalytik.php: action_name=Welcome to the ÖH, idsite=5. До согласия.

Итог сессии

120 запросов к www.oeh.ac.at, 2 к webanalytik.oeh.ac.at, 1 к challenges.cloudflare.com. Ноль cookies.

Декларация против факта

✓ Cloudflare Turnstile — упомянут косвенно как Anti-Bot — заявлен

+ Matomo/webanalytik.oeh.ac.at — в политике отсутствует — не заявлен

Тайминги передачи

+590 мс webanalytik.oeh.ac.at 200 Matomo self-hosted. Данные остаются в инфраструктуре ÖH.

+755 мс webanalytik.oeh.ac.at 204 Трекинг-пинг: idsite=5, без согласия.

Зафиксированные трекеры

Matomo (webanalytik.oeh.ac.at, self-hosted)

Зафиксированные нарушения

GDPR Art. 6(1)(a), Art. 13, TKG § 165

webanalytik.oeh.ac.at/webanalytik.js загружается через 590 мс и отправляет трекинг-пинг (idsite=5) на 755 мс — без согласия и без consent-баннера. Политика конфиденциальности не упоминает Matomo и веб-аналитику сайта.

Контекст

ÖH (Österreichische Hochschüler:innenschaft) — австрийский студенческий союз с обязательным членством для всех студентов. WordPress + WooCommerce. HAR: 123 запроса, 3 домена. Политика конфиденциальности детальная — охватывает shop, newsletter, чёрную доску объявлений, форумы, wahlportal.

Matomo без декларации

webanalytik.oeh.ac.at — Matomo self-hosted на поддомене ÖH, запускается на +590 мс. Политика описывает Hetzner как хостинг, ActiveCampaign для email, но веб-аналитику сайта не упоминает вообще. Данные остаются в инфраструктуре ÖH — архитектурно правильно. Но запуск до согласия и отсутствие в политике — нарушение.

Политика подробная, но с пробелом

ÖH приложила значительные усилия к документации: 14+ разделов, правовые основания для каждой операции, DPO с контактом. На этом фоне отсутствие раздела о веб-аналитике выглядит как пропуск, а не намеренное скрытие.

Вывод

Студенческий союз, представляющий интересы студентов в вопросах защиты данных, запускает трекер без согласия и без декларации в собственной политике конфиденциальности.

Доказательство

Оригинал (разбор)

HAR-файл: at/oeh-ac-at-2026-05-26.har

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DSB — Австрийский орган по защите данных — подать жалобу онлайн →

Кому: DSB — Австрийский орган по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом oeh.ac.at.

2. Обстоятельства
Я посетил сайт oeh.ac.at и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 26.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) webanalytik.oeh.ac.at/webanalytik.js загружается через 590 мс и отправляет трекинг-пинг (idsite=5) на 755 мс — без согласия и без consent-баннера. Политика конфиденциальности не упоминает Matomo и веб-аналитику сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/at-oeh-ac-at/

3. Нарушенные положения
GDPR Art. 6(1)(a), Art. 13, TKG § 165

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]