Технический аудит · 2026-05-29

bundeswehr.de

Вооружённые силы Федеративной Республики Германия

Вооружённые силы Германии. 31 запрос, 2 домена. CoreMedia CMS. Bebas Neue и PT Sans — локально. Matomo на собственном сервере (webstatistik.bundeswehr.de) требует согласия по политике — в HAR активен без баннера. Kaltura, Google Maps, Twitter/Facebook — в CSP, в HAR не активны. Set-Cookie — ноль.

Хронология утечки

+124 мс · главная страница

www.bundeswehr.de/de/ — CoreMedia CMS. Редирект /de → /de/. CSP report-uri направлен на webstatistik.bundeswehr.de/report-uri/ — тот же домен что и Matomo.

+289 мс · weba.js

www.bundeswehr.de/service/weba/bw-de/weba.js — служебный JS CoreMedia, инициирующий загрузку Matomo Tag Manager с webstatistik.bundeswehr.de.

+290 мс · стили и логотипы

app.bundle.css, app.bundle.js — CoreMedia-бандлы. SVG-логотипы Bundeswehr (designmark, wordmark), SVG-иконки соцсетей (Facebook, Instagram, YouTube, WhatsApp, Flickr) — все локально.

+434 мс · Matomo — без баннера

webstatistik.bundeswehr.de/js/container_XIe0naNH.js — Matomo Tag Manager. Загружается до любого баннера согласия. Политика требует явного согласия перед активацией.

+508 мс · шрифты

BebasNeue-Regular.woff2, PTSans-Regular-Latin.woff2, PTSans-Italic-Latin.woff2, PTSans-Bold-Latin.woff2 — четыре woff2-файла из themes/bwre/fonts/, локально.

Декларация против факта

✓ Matomo (webstatistik.bundeswehr.de) — задекларирован, требует Einwilligung (§25(1) TTDSG) — заявлен

✓ Technisch notwendige Cookies — Art. 6(1)(e) DSGVO i.V.m. § 3 BDSG — заявлен

✓ YouTube, Facebook, Instagram, X, Mastodon, Bluesky — упомянуты как соцсети Bundeswehr — заявлен

✓ Kaltura (*.de.kaltura.com, *.video-cdn.net) — в CSP, для видео на внутренних страницах — заявлен

✓ Google Maps (maps.googleapis.com) — в CSP, для карт на внутренних страницах — заявлен

Тайминги передачи

+434 мс webstatistik.bundeswehr.de без согласия Matomo Tag Manager. Собственный сервер Bundeswehr. Политика требует Einwilligung.

Зафиксированные трекеры

Matomo (webstatistik.bundeswehr.de) — веб-аналитика, собственный сервер, без баннера

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

webstatistik.bundeswehr.de/js/container_XIe0naNH.js (Matomo Tag Manager) загружается на +434 мс без предшествующего баннера согласия. Политика явно требует Einwilligung (§25(1) TTDSG) для активации Matomo-cookies. В HAR нет CMP или баннера управления согласием. Политика ссылается на TTDSG вместо актуального TDDDG.

Контекст

Bundeswehr — вооружённые силы Германии, подчинённые Bundesministerium der Verteidigung (BMVg). Sensitivity — high. CoreMedia CMS, собственная инфраструктура. HAR: 31 запрос, 2 домена.

Matomo без баннера — нарушает собственную политику

weba.js (+289 мс) инициирует загрузку webstatistik.bundeswehr.de/js/container_XIe0naNH.js (+434 мс) — Matomo Tag Manager на собственном сервере Bundeswehr. Политика конфиденциальности прямо указывает: Matomo активируется «Auf der Grundlage Ihrer Einwilligung (§25 Abs. 1 Satz 1 TTDSG)» — то есть требует явного согласия. В HAR нет ни CMP-платформы, ни баннера согласия. CSP содержит report-uri https://webstatistik.bundeswehr.de/report-uri/ — тот же домен используется для CSP-нарушений и аналитики.

Bebas Neue и PT Sans — локально

Четыре woff2-файла: BebasNeue-Regular (заголовочный шрифт) и PT Sans (Regular, Italic, Bold) из темы CoreMedia. Нет Google Fonts, нет Adobe Fonts.

CSP раскрывает расширенный стек для внутренних страниц

Content-Security-Policy разрешает: *.de.kaltura.com и *.video-cdn.net (Kaltura — видеоплатформа для армейского контента), maps.googleapis.com и maps.gstatic.com (Google Maps), platform.twitter.com, connect.facebook.net, www.instagram.com. Всё перечисленное на главной странице не активно.

Политика ссылается на TTDSG вместо TDDDG

Политика использует «§ 25 Abs. 1 Satz 1 TTDSG» — устаревшее наименование. TDDDG действует с мая 2023 года.

Вывод

www.bundeswehr.de нарушает собственную политику конфиденциальности: Matomo декларирован как требующий явного согласия, но загружается без предшествующего баннера. Для сайта вооружённых сил с высокой чувствительностью данных — существенное нарушение. Политика содержит устаревшую правовую ссылку TTDSG вместо TDDDG.

Доказательство

Оригинал (разбор)

HAR-файл: de/bundeswehr-de-2026-05-29.har

SHA-256: d213c3dc0305a787187fd08dfe68d2773b89f45f605b33655deff358db33e9ca

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bundeswehr.de.

2. Обстоятельства
Я посетил сайт bundeswehr.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) webstatistik.bundeswehr.de/js/container_XIe0naNH.js (Matomo Tag Manager) загружается на +434 мс без предшествующего баннера согласия. Политика явно требует Einwilligung (§25(1) TTDSG) для активации Matomo-cookies. В HAR нет CMP или баннера управления согласием. Политика ссылается на TTDSG вместо актуального TDDDG.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bundeswehr-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]