Технический аудит · 2026-05-29

bauhaus.de

Государственный фонд культурного наследия школы Баухаус

Stiftung Bauhaus Dessau — государственный фонд, хранящий наследие школы Баухаус. 81 запрос, 3 домена. CookieFirst no-autoblock корректно блокирует все трекеры до согласия. Graebenbach и GraebenbachMono — шрифты Баухауса, локально. Matomo, YouTube, Meta Pixel — задокументированы, не активированы.

Хронология утечки

+95–118 мс · загрузка

Все CSS, JS, изображения — с www.bauhaus.de. Шрифты Graebenbach (Regular, Medium), GraebenbachMono (Regular, Light) и иконочный bauhaus.ttf — локально. Swiper, Lottie, Vue.js, Swup — все self-hosted.

+118 мс · CookieFirst JS

www.bauhaus.de/providers/cookiefirst/cookiefirst.js — обёртка CookieFirst загружается локально как провайдер.

Нет трекинга — no-autoblock работает

Matomo, YouTube, Meta Pixel, gomus не активированы. Режим no-autoblock означает: CookieFirst не блокирует скрипты автоматически, но все сторонние трекеры подключены через условную загрузку на стороне WordPress — они не загружаются без согласия. Set-Cookie — ноль.

Декларация против факта

✓ Matomo — задокументирован с Einwilligung — заявлен

✓ YouTube (Google Ireland) — задокументирован с SCC/DPF — заявлен

✓ Meta Pixel — задокументирован — заявлен

✓ gomus (система онлайн-билетов) — задокументирован — заявлен

✓ CookieFirst — задокументирован (Digital Data Solutions B.V., Нидерланды) — заявлен

✓ Friendly Challenge (альтернативный CAPTCHA) — задокументирован — заявлен

✓ Hetzner (хостинг) — задокументирован — заявлен

Тайминги передачи

+161 мс consent.cookiefirst.com баннер no-autoblock SDK v3.0.22. Digital Data Solutions B.V. Нидерланды.

+413 мс edge.cookiefirst.com баннер Геолокация для настройки баннера. UUID b429fc54.

Зафиксированные трекеры

CookieFirst CMP (consent.cookiefirst.com, edge.cookiefirst.com)

Зафиксированные нарушения

GDPR Art. 13(1)(e)

CookieFirst (Digital Data Solutions B.V., Нидерланды) загружается на +161 мс без согласия пользователя. CookieFirst как платформа управления согласием обрабатывает данные о выборе пользователя: IP-адрес, UUID устройства (b429fc54-f214-47ec-94e1-df385802efef), язык, страну (edge.cookiefirst.com/prod/location). Это стандартный компромисс: загрузка CMP до согласия технически необходима для отображения баннера. Все другие трекеры (Matomo, YouTube, Meta) заблокированы до согласия.

Контекст

Stiftung Bauhaus Dessau — государственный фонд, хранящий наследие знаменитой школы дизайна 1919–1933 годов. Финансируется федеральным правительством и землёй Саксония-Ангальт. Управляет оригинальными зданиями Баухауса в Дессау — объектами Всемирного наследия ЮНЕСКО. WordPress с кастомной темой. HAR: 81 запрос, 3 домена.

Graebenbach — шрифт Баухауса

Сайт использует шрифт Graebenbach (Regular, Medium) и GraebenbachMono (Regular, Light), а также иконочный шрифт bauhaus.ttf — все размещены локально. Graebenbach — современная интерпретация конструктивистской типографики Баухауса, разработанная специально для цифрового использования наследия школы. Нет Google Fonts, нет Adobe Fonts — шрифтовая независимость соблюдена.

CookieFirst no-autoblock — архитектурный выбор

Режим no-autoblock означает, что CookieFirst не сканирует HTML в поисках сторонних скриптов и не блокирует их автоматически. Вместо этого все трекеры подключаются условно: WordPress-плагины (Matomo, YouTube, Meta) проверяют наличие согласия в cookie CookieFirst перед загрузкой. Это требует более тщательной настройки, но даёт более предсказуемый результат: в HAR нет ни одного лишнего запроса к трекерам.

Friendly Challenge — конфиденциальная альтернатива reCAPTCHA

Сайт использует friendly-challenge/widget.module.min.js — Friendly Challenge от Friendly Captcha GmbH (Мюнхен). В отличие от Google reCAPTCHA, Friendly Challenge не устанавливает cookies и не передаёт данные в США: задачи верификации решаются математически в браузере без идентификации пользователя. Размещён локально (/libs-on-demand/). Это осознанный выбор в пользу приватного CAPTCHA — часть общей политики сайта.

Подробная политика конфиденциальности

Политика (на английском языке) подробно документирует Matomo, YouTube (с SCC и DPF), Meta Pixel, gomus (система билетов), CookieFirst, Friendly Challenge и хостинг Hetzner. Для каждого сервиса указаны адрес, правовое основание и механизм передачи данных. Уровень документации сопоставим с BSI.

Вывод

bauhaus.de — двенадцатый нулевой результат немецкой серии по факту активного трекинга. CookieFirst технически является внешним доменом, но его загрузка до баннера неизбежна — это системное свойство любой внешней CMP. Все декларируемые трекеры (Matomo, YouTube, Meta) корректно заблокированы до согласия. Государственный культурный фонд, не входящий в федеральную ITZBund-платформу, выстроил сопоставимый стандарт приватности собственными инструментами.

Доказательство

Оригинал (разбор)

HAR-файл: de/bauhaus-de-2026-05-29.har

SHA-256: 67bd8849a24e0e480806fb7a73aebea2288806544d491177ee0af64b0a4093a2

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bauhaus.de.

2. Обстоятельства
Я посетил сайт bauhaus.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) CookieFirst (Digital Data Solutions B.V., Нидерланды) загружается на +161 мс без согласия пользователя. CookieFirst как платформа управления согласием обрабатывает данные о выборе пользователя: IP-адрес, UUID устройства (b429fc54-f214-47ec-94e1-df385802efef), язык, страну (edge.cookiefirst.com/prod/location). Это стандартный компромисс: загрузка CMP до согласия технически необходима для отображения баннера. Все другие трекеры (Matomo, YouTube, Meta) заблокированы до согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bauhaus-de/

3. Нарушенные положения
GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]