Технический аудит · 2026-05-29

bauindustrie.de

Союз строительной отрасли Германии

Hauptverband der Deutschen Bauindustrie — отраслевой союз строительной промышленности. 69 запросов, 1 домен. Matomo self-hosted на /matomo/ — все данные остаются на собственном сервере. Политика: правовое основание — Einwilligung (согласие). Но Matomo срабатывает без зафиксированного согласия в HAR.

Хронология утечки

+211 мс · загрузка

CSS, JS-бандлы, изображения — все с www.bauindustrie.de. Roboto (Regular, Light, Medium, Bold, Black) — локально в /_assets/Fonts/.

+212 мс · consent

Consent-938150a02ba8f92b05cbc2453b5b4166.js — TYPO3 consent-расширение. Загружается раньше Matomo.

+348 мс · Matomo JS

www.bauindustrie.de/matomo/matomo.js — Matomo JS загружается с собственного сервера.

+456 мс · трекинговый запрос

www.bauindustrie.de/matomo/matomo.php — Matomo трекинговый запрос. Cookieless, AnonymizeIP включена.

Декларация против факта

✓ Matomo — задокументирован с Art. 6(1)(a) DSGVO (Einwilligung) — заявлен

✓ AnonymizeIP — задокументирована — заявлен

✓ opt-out — задокументирован — заявлен

Тайминги передачи

+212 мс www.bauindustrie.de consent JS TYPO3 Consent-JS. Баннер не зафиксирован.

+348 мс www.bauindustrie.de до согласия matomo/matomo.js. Self-hosted.

+456 мс www.bauindustrie.de до согласия matomo/matomo.php. Трекинг страницы.

Зафиксированные трекеры

Matomo self-hosted (www.bauindustrie.de/matomo/)

Зафиксированные нарушения

GDPR Art. 7; TDDDG § 25 — Matomo до зафиксированного согласия

Политика декларирует Matomo на основании Art. 6 Abs. 1 a) DSGVO (Einwilligung — согласие). Consent-938150a02ba8f92b05cbc2453b5b4166.js загружается на +212 мс. Matomo.js — на +348 мс. Matomo.php отправляет трекинговый запрос на +456 мс с action_name=Hauptverband der Deutschen Bauindustrie. В HAR не зафиксировано ни SET-Cookie от баннера, ни явного взаимодействия пользователя с consent-интерфейсом до срабатывания трекинга. Если согласие является правовым основанием (Einwilligung), Matomo должен активироваться только после его получения.

Контекст

Hauptverband der Deutschen Bauindustrie (HDB) — федеральный отраслевой союз строительной промышленности Германии, объединяющий около 2 000 компаний. TYPO3 CMS. HAR: 69 запросов, 1 домен — все к www.bauindustrie.de.

Matomo self-hosted — хорошая архитектура, проблемное правовое основание

HDB использует Matomo, размещённый на собственном сервере по пути /matomo/. Это означает: данные аналитики не передаются третьим сторонам, не уходят в облако, обрабатываются исключительно на инфраструктуре bauindustrie.de. Активирована AnonymizeIP — IP-адреса анонимизируются. Политика сообщает об opt-out механизме.

Проблема в правовом основании. Политика явно указывает: Art. 6 Abs. 1 a) DSGVO (Einwilligung) — согласие. Это означает, что сам HDB квалифицировал Matomo как требующий согласия инструмент. При этом Matomo загружается на +348 мс и отправляет трекинговый запрос на +456 мс. В HAR не зафиксировано ни интерактивного баннера, ни SET-Cookie от consent-механизма, ни явного взаимодействия пользователя до срабатывания Matomo.

Контраст с bamf.de показателен: там Matomo задокументирован с opt-out и в HAR отсутствует. Здесь Matomo задокументирован с Einwilligung — и в HAR присутствует до согласия.

Roboto локально

Пять начертаний Roboto (Regular, Light, Medium, Bold, Black) хостятся локально в /_assets/Fonts/. Нет Google Fonts.

Вывод

bauindustrie.de выбрал правильную техническую архитектуру (self-hosted Matomo, локальные шрифты, один домен) и корректное правовое основание (Einwilligung). Несоответствие — в реализации: Matomo срабатывает до получения подтверждённого согласия. Исправление одно: убедиться, что Matomo инициализируется только после записи consent-решения пользователя в TYPO3 consent-расширении.

Доказательство

Оригинал (разбор)

HAR-файл: de/bauindustrie-de-2026-05-29.har

SHA-256: a8d650c39a39fb357923ccde52c150057d9fdde8cb7cfca93d0bd80afdd7ee41

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bauindustrie.de.

2. Обстоятельства
Я посетил сайт bauindustrie.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика декларирует Matomo на основании Art. 6 Abs. 1 a) DSGVO (Einwilligung — согласие). Consent-938150a02ba8f92b05cbc2453b5b4166.js загружается на +212 мс. Matomo.js — на +348 мс. Matomo.php отправляет трекинговый запрос на +456 мс с action_name=Hauptverband der Deutschen Bauindustrie. В HAR не зафиксировано ни SET-Cookie от баннера, ни явного взаимодействия пользователя с consent-интерфейсом до срабатывания трекинга. Если согласие является правовым основанием (Einwilligung), Matomo должен активироваться только после его получения.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bauindustrie-de/

3. Нарушенные положения
GDPR Art. 7; TDDDG § 25 — Matomo до зафиксированного согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]