bundesverfassungsgericht.de

Контекст

Bundesverfassungsgericht — орган конституционного контроля Германии, Карлсруэ. Рассматривает жалобы на нарушение конституционных прав, споры между органами власти, проверяет конституционность законов. Sensitivity — high. GSB-платформа, Apache, ITZBund. HAR: 18 запросов, 1 домен.

Строжайший CSP в немецкой серии

Content-Security-Policy использует default-src 'self' с sha256-хешем единственного инлайн-скрипта ('sha256-TSvMvR1KhNSMgA0cXCcbJuroB+o1McSEH4wxscOg1hc='). connect-src и media-src разрешают только 'self' и multimedia.gsb.bund.de. frame-src 'self', frame-ancestors 'self', form-action 'self'. block-all-mixed-content и upgrade-insecure-requests. Ни один внешний домен не разрешён для скриптов или данных — это наиболее ограничительный CSP среди всех сайтов немецкой серии.

AkkoPaneuropean и Sabon LT Pro — корпоративные шрифты

BVerfG использует два лицензионных шрифтовых семейства: AkkoPaneuropean (Light, LightItalic, Medium) — гуманистическая гротеска Акко от Akkurat-типографии, и SabonLTW05-Bold — классическая антиква Sabon от Jan Tschichold. Оба в формате woff из /static/fonts/, локально. Нет Google Fonts.

ITZBund — задекларирован как обработчик данных

Политика явно называет ITZBund обработчиком данных (Auftragsverarbeiter, Art. 28 DSGVO) и предоставляет ссылку на политику конфиденциальности ITZBund. Обработка ограничена серверами в Германии.

X и YouTube — только внешние каналы

Политика описывает X и YouTube исключительно как внешние социальные каналы суда. Явно указывается, что пользователи не могут ответить на посты или отправить личные сообщения — интерактивные SDK на сайте не встроены. В HAR нет запросов к Twitter или Google.

Вывод

www.bundesverfassungsgericht.de — образцовый пример минимального технического стека для государственного органа высшей юрисдикции: один домен, 18 запросов, строжайший CSP, корпоративные шрифты локально, нет аналитики, ITZBund задекларирован. Нарушений GDPR на момент аудита не зафиксировано.