Технический аудит · 2026-05-29

bverwg.de

Федеральный административный суд Германии

Федеральный административный суд Германии. 27 запросов, 1 домен. Grav CMS, Cloudflare CDN. Merriweather и Font Awesome — локально. Нет аналитики, нет трекеров, нет баннера. Cloudflare NEL задекларирован как «Dienste Dritter» без имени. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.bverwg.de/das-gericht — Grav CMS, Cloudflare CDN (cf-ray: a038618ef9bcb32c-FRA, cf-cache-status: HIT). NEL-заголовок указывает эндпоинт a.nel.cloudflare.com для отчётности об ошибках сети.

+106 мс · стили и медиа

Единственный CSS-бандл (assets/5eeeb5fa…css) и JS-бандл (assets/67494444…js), скомпилированные Grav. Логотипы (SVG, PNG), изображения разделов суда — все локально.

+128 мс · шрифты

Font Awesome 4.6.3 (fontawesome-webfont.woff2) и Merriweather v18 (Regular, Italic, Bold с latin-ext) — три woff2-файла, все локально из user/themes/bverwg/fonts/.

+147 мс · VTT-субтитры

user/data/media/020000.vtt — WebVTT субтитры для видеоролика о суде. px-video.js — собственный HTML5-плеер без внешних зависимостей.

Декларация против факта

✓ Cookies — технически необходимые, Art. 6(1)(f) — заявлен

✓ Dienste Dritter — упомянуты без конкретных имён — заявлен

✓ Auftragsverarbeiter (организатор экскурсий) — упомянут без имени — заявлен

+ Cloudflare Inc. (CDN и NEL) — не упомянут по имени — не заявлен

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Cloudflare выступает CDN и обрабатывает все запросы к сайту (cf-ray, cf-cache-status, server: cloudflare). Cloudflare Network Error Logging (NEL) отправляет отчёты на a.nel.cloudflare.com. Политика декларирует «Dienste Dritter» (услуги третьих лиц) без раскрытия конкретных провайдеров — Cloudflare Inc. (США) не упомянут по имени. Art. 13(1)(e) требует указания получателей или категорий получателей персональных данных.

Контекст

Bundesverwaltungsgericht — высшая инстанция административной юстиции Германии, Лейпциг. Рассматривает кассационные жалобы по делам административного права. Sensitivity — high. Grav CMS, Cloudflare CDN. HAR: 27 запросов, 1 домен.

Grav CMS с собственной темой

Сайт построен на Grav — flat-file CMS без базы данных. Тема bverwg содержит полный набор локальных ресурсов: шрифты, иконки, изображения, JS/CSS. Один скомпилированный CSS-бандл, один JS-бандл. HTML5-видеоплеер px-video.js с VTT-субтитрами — без iframe YouTube или Vimeo.

Cloudflare — CDN без декларирования по имени

Заголовки ответа однозначно идентифицируют Cloudflare: server: cloudflare, cf-ray: a038618ef9bcb32c-FRA, cf-cache-status: HIT. Network Error Logging (NEL) настроен на a.nel.cloudflare.com — Cloudflare получает отчёты об ошибках сети браузера. При использовании Cloudflare CDN IP-адреса всех посетителей проходят через инфраструктуру Cloudflare Inc. (США).

Политика декларирует использование «Dienste Dritter» (услуги третьих лиц) с обработкой данных «на особо защищённых серверах в Германии и других государствах ЕС» и допускает обработку вне ЕЭЗ при соблюдении Art. 44 ff. GDPR. Cloudflare не назван по имени.

Политика — лаконичная, без TDDDG

Политика конфиденциальности занимает около 4200 символов и не содержит ни одного упоминания конкретного стороннего провайдера. Cookies описываются как технически необходимые (Art. 6(1)(f)), без ссылки на TDDDG.

Merriweather и Font Awesome — локально

Merriweather v18 (Regular, Italic, Bold с расширенным набором latin-ext) и Font Awesome 4.6.3 — все woff2 из локальной темы Grav. Нет Google Fonts.

Вывод

www.bverwg.de не использует трекеры и аналитику. Единственное нарушение — Cloudflare не раскрыт по имени в политике конфиденциальности. Для сайта высшего административного суда, рассматривающего в том числе дела о защите данных, это заметное упущение.

Доказательство

Оригинал (разбор)

HAR-файл: de/bverwg-de-2026-05-29.har

SHA-256: 388247e270412d38d5a97a67ea988ca0bbb1faa8aa704c115fce05b1149387c8

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bverwg.de.

2. Обстоятельства
Я посетил сайт bverwg.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Cloudflare выступает CDN и обрабатывает все запросы к сайту (cf-ray, cf-cache-status, server: cloudflare). Cloudflare Network Error Logging (NEL) отправляет отчёты на a.nel.cloudflare.com. Политика декларирует «Dienste Dritter» (услуги третьих лиц) без раскрытия конкретных провайдеров — Cloudflare Inc. (США) не упомянут по имени. Art. 13(1)(e) требует указания получателей или категорий получателей персональных данных.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bverwg-de/

3. Нарушенные положения
GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]