EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

bmv.de

Федеральное министерство цифровизации и транспорта Германии
DE

Федеральное министерство цифровизации и транспорта. 32 запроса, 2 домена. etracker загружается без баннера на основании Art. 6(1)(e) + Do-Not-Track opt-out. etracker GmbH — гамбургская компания, данные остаются в Германии. Шрифты — локально. Тот же правовой вопрос, что у ard.de: достаточно ли DNT как механизма opt-out по TDDDG § 25.

Хронология утечки

+461 мс · загрузка
CSS, SVG-логотипы, изображения — все с www.bmv.de. Шрифты: font.css загружается с /cae/static/bmdv/ — локальный CSS с @font-face правилами.
+619 мс · JS
www.bmv.de/allInOne.js — единственный JS-файл. Минималистичный стек.
+711 мс · etracker
code.etracker.com/code/e.js — etracker Analytics. Загружается без баннера согласия. Статус ответа 0 — заблокирован браузером. Гамбург, Германия.

Декларация против факта

etracker — задокументирован с Art. 6(1)(e) DSGVO и DNT opt-out — заявлен
IP-анонимизация — задокументирована — заявлен
Session-Cookies — задокументированы как technisch notwendig — заявлен

Тайминги передачи

+711 мс code.etracker.com без согласия etracker e.js. Заблокирован браузером (статус 0). Гамбург, Германия.

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

BMDV (Bundesministerium für Digitales und Verkehr) — Федеральное министерство цифровизации и транспорта. Регулирует автомобильный, железнодорожный, водный и воздушный транспорт, а также телекоммуникации и цифровую инфраструктуру. HAR: 32 запроса — один из самых минималистичных стеков в серии. 31 запрос к www.bmv.de, 1 к code.etracker.com.

etracker без баннера — правовая позиция и её пределы

Политика применяет подход, аналогичный ARD: etracker используется на основании Art. 6 Abs. 1 lit. e DSGVO (публичный интерес) без cookie-баннера. Механизм отказа — Do-Not-Track: «Wenn Sie mit der Speicherung und Auswertung dieser Daten aus Ihrem Besuch nicht einverstanden sind, dann können Sie in Ihrem Browser die Option Do-Not-Track aktivieren». Политика подробно описывает процедуру активации DNT в Chrome, Firefox, Internet Explorer, Safari, Opera.

Проблема с DNT как механизмом opt-out двойная. Во-первых, DNT — заголовок HTTP-запроса, который браузер посылает серверу, но который сайт может игнорировать; он не является технически обязывающим механизмом. Во-вторых, TDDDG § 25 требует активного предшествующего согласия — пользователь должен выразить согласие до начала обработки данных, а не настраивать браузер в ожидании, что сайт учтёт эту настройку. BfDI неоднократно указывал на недостаточность DNT как замены активному баннеру согласия.

etracker — немецкая компания

etracker GmbH (Гамбург, основана 2000) — немецкая аналитическая платформа, позиционирующая себя как GDPR-совместимую альтернативу Google Analytics. Данные хранятся в Германии, нет трансатлантической передачи. Это принципиальное отличие от большинства нарушителей ирландской серии: данные не покидают Германию. Тем не менее TDDDG § 25 не делает исключений для национальных поставщиков.

Статус ответа 0 — браузер, не consent-механизм

etracker загружается со статусом 0 и временем ответа 0 мс — запрос был заблокирован контент-блокировщиком браузера аудита (uBlock Origin или аналог), а не механизмом согласия сайта. Сам факт инициации запроса к code.etracker.com произошёл — JS-код выполнился и направил запрос к внешнему серверу. Браузерный блокировщик перехватил его после инициации.

Вывод

bmv.de применяет тот же правовой подход, что ard.de, но с etracker вместо Piano Analytics: аналитика без баннера, на основании публичного интереса, с DNT как opt-out. Архитектура минималистична (32 запроса, 2 домена), шрифты локальны, данные остаются в Германии. Открытый правовой вопрос — достаточность DNT как механизма opt-out по TDDDG § 25 — остаётся предметом дискуссии между немецкими государственными органами и надзорными органами в области защиты данных.

Доказательство
Оригинал (разбор)
HAR-файл: de/bmv-de-2026-05-29.har
SHA-256: 859ccc44f328fe18c385891e814b3367d2860907f1f40d57b7cc5d62f8f157d5
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данныхподать жалобу онлайн → 

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bmv.de.

2. Обстоятельства
Я посетил сайт bmv.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) etracker (code.etracker.com/code/e.js) загружается на +711 мс без cookie-баннера и без согласия пользователя. Политика применяет Art. 6 Abs. 1 lit. e DSGVO (публичный интерес) как правовое основание и предлагает Do-Not-Track (DNT) браузера как механизм opt-out. По позиции EDPB и BfDI, DNT не является достаточным механизмом согласия по TDDDG § 25: consent должен быть активным и предшествовать обработке данных, а не полагаться на настройку браузера. Статус ответа 0 (запрос заблокирован браузером) означает, что etracker был инициирован, но перехвачен контент-блокировщиком.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bmv-de/

3. Нарушенные положения
GDPR Art. 7; TDDDG § 25

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]