Технический аудит · 2026-05-29

dpa.com

Ведущее немецкое новостное агентство

Deutsche Presse-Agentur — ведущее немецкое новостное агентство. 35 запросов, 4 домена. Next.js, nginx. FuturaPT и Inter — локально. Matomo cookieless на собственных серверах dpa, Art. 6(1)(f). Storyblok задекларирован без имени. Нет GTM, нет рекламных пикселей. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.dpa.com/en — Next.js, nginx. 304 из кеша. CSP: frame-ancestors 'self' *.storyblok.com — раскрывает CMS.

+95 мс · Storyblok CDN

a.storyblok.com — 10 запросов изображений напрямую (hero, портреты, whitepaper-обложки). Next.js image proxy не используется для Storyblok-ресурсов. IP-адрес посетителя передаётся на серверы Storyblok.

+171 мс · шрифты

FuturaPT/FuturaPTBook.woff2 и Inter/Inter-Regular.woff2 — оба локально из /fonts/. Нет Google Fonts.

+539 мс · Matomo (used.dpa.com)

used.dpa.com/js/container_dkuvDkTV.js — Matomo Tag Manager. Затем +591 мс — /js/?action_name=dpa%20German%20Press%20Agency&idsite=8&rec=1 — трекинг страницы. Cookieless, IP-анонимизация, hash-ID действителен 24 часа.

Декларация против факта

✓ Matomo Analytics (used.dpa.com) — задекларирован, cookieless, собственный сервер, Art. 6(1)(f), hash-ID 24 часа — заявлен

✓ Matomo Tag Manager — задекларирован — заявлен

✓ content management service provider (Storyblok) — задекларирован без имени — заявлен

✓ YouTube, LinkedIn, X, XING, TikTok, Instagram — упомянуты как соцсети dpa — заявлен

+ Storyblok (a.storyblok.com) — имя и домен не раскрыты в политике — не заявлен

Тайминги передачи

+539 мс used.dpa.com без баннера Matomo cookieless. Собственный сервер dpa. Art. 6(1)(f). Без cookies.

Зафиксированные трекеры

Matomo (used.dpa.com) — веб-аналитика cookieless, собственный сервер dpa

Зафиксированные нарушения

GDPR Art. 13(1)(e)

Storyblok описан в политике конфиденциальности исключительно как «content management service provider» без раскрытия имени компании, домена (a.storyblok.com) или страны регистрации. Art. 13(1)(e) требует указания получателей персональных данных или категорий получателей. Прямые запросы к a.storyblok.com (10 запросов изображений) передают IP-адрес посетителя на серверы Storyblok GmbH (Австрия/США).

Контекст

dpa (Deutsche Presse-Agentur) — основное немецкое новостное агентство, обслуживающее около 1000 медиаорганизаций. Корпоративный сайт на английском языке. Next.js, nginx. HAR: 35 запросов, 4 домена.

Matomo cookieless — без баннера, на собственных серверах

used.dpa.com — собственный домен dpa для Matomo. На +539 мс загружается Matomo Tag Manager (container_dkuvDkTV.js), на +591 мс — трекинг-запрос с idsite=8. Политика описывает Matomo подробно: без cookies, cookieless-режим с хешом на 24 часа, немедленная IP-анонимизация, данные остаются на серверах dpa. Правовое основание — Art. 6(1)(f) GDPR (законный интерес). Баннера согласия нет, и по декларируемой схеме он не требуется — TDDDG §25(2)(2) для технически необходимых технологий и Art. 6(1)(f) для cookieless-аналитики. Set-Cookie — ноль.

Storyblok — задекларирован без имени

CSP содержит frame-ancestors 'self' *.storyblok.com — это Storyblok headless CMS. 10 запросов к a.storyblok.com (изображения) загружаются напрямую без проксирования через Next.js. Политика описывает «content management service provider» как обработчика данных (Art. 4 No. 8, 28 GDPR) без раскрытия имени компании и домена. Art. 13(1)(e) требует указания получателей персональных данных: анонимное описание не соответствует требованиям прозрачности.

FuturaPT и Inter — локально

Корпоративный шрифт FuturaPT (Book) и Inter Regular — оба woff2, локально из /fonts/. Нет Google Fonts, нет Adobe Fonts.

Вывод

www.dpa.com имеет одно нарушение: Storyblok не раскрыт по имени в политике конфиденциальности. Технический стек чистый — нет GTM, нет рекламных пикселей, нет внешних CMP. Matomo cookieless на собственных серверах задекларирован корректно.

Доказательство

Оригинал (разбор)

HAR-файл: de/dpa-com-2026-05-29.har

SHA-256: 1116d64b97f16b1a04446d80d42bf6cee9c5bab8a7fece9a5a9ca846ea04dd5a

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом dpa.com.

2. Обстоятельства
Я посетил сайт dpa.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Storyblok описан в политике конфиденциальности исключительно как «content management service provider» без раскрытия имени компании, домена (a.storyblok.com) или страны регистрации. Art. 13(1)(e) требует указания получателей персональных данных или категорий получателей. Прямые запросы к a.storyblok.com (10 запросов изображений) передают IP-адрес посетителя на серверы Storyblok GmbH (Австрия/США).

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/dpa-com/

3. Нарушенные положения
GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]