Технический аудит · 2026-05-29

evergabe.de

Федеральный портал государственных закупок Германии

Федеральный портал государственных закупок Германии. 65 запросов, 13 доменов. Next.js, CloudWAF. Figtree Variable Font — локально. GTM и ReCaptcha до баннера Usercentrics. GA4 активен до отображения баннера. Bot Framework не задекларирован. Политика — машинный перевод с описанием уже прекращённых сервисов.

Хронология утечки

+307 мс · главная страница

www.evergabe.de/ — Next.js, CloudWAF (собственный WAF). Два редиректа: http→https и evergabe.de→www.evergabe.de.

+842 мс · шрифт и CSS

Figtree-VariableFont_wght.ttf (+842 мс preload, +1159 мс загрузка) — variable font, локально. Next.js CSS-бандлы — локально.

+852 мс · GTM и ReCaptcha — до баннера

www.googletagmanager.com/gtm.js?id=GTM-PGQ2TZ и www.google.com/recaptcha/api.js?render=6LfYf_kq… — загружаются одновременно. За ~1 секунду до Usercentrics loader.

+1153 мс · Storyblok

a.storyblok.com — изображение hero-секции напрямую (не через Next.js image proxy). Storyblok — headless CMS. IP-адрес посетителя передаётся на серверы Storyblok.

+2176 мс · GA4 destination

www.googletagmanager.com/gtag/destination?id=G-XTTERB4HCG — GA4 конфигурация через GTM. Через 436 мс — region1.google-analytics.com/g/collect с полными параметрами сессии.

+2334 мс · Microsoft Bot Framework

cdn.botframework.com/botframework-webchat/latest/webchat.js — Microsoft Azure Bot Services чат-виджет. До отображения баннера Usercentrics.

+3591 мс · Google Fonts

fonts.gstatic.com — Roboto (два начертания, woff2) загружается через ReCaptcha-iframe. Google Fonts не декларированы.

Декларация против факта

✓ Google Analytics (Universal Analytics + Google Optimize) — задекларированы, Art. 6(1)(f); оба сервиса прекращены Google — заявлен

+ Google Tag Manager — не упомянут — не заявлен

+ Google Analytics 4 (G-XTTERB4HCG) — не упомянут (декларирован только UA) — не заявлен

+ Microsoft Bot Framework (cdn.botframework.com) — не упомянут — не заявлен

+ Storyblok (a.storyblok.com) — не упомянут — не заявлен

+ Google Fonts / Roboto (fonts.gstatic.com) — не упомянут — не заявлен

+ Usercentrics — не упомянут — не заявлен

Тайминги передачи

+852 мс www.googletagmanager.com без согласия GTM-PGQ2TZ. До баннера.

+852 мс www.google.com / www.gstatic.com без согласия Google ReCaptcha. До баннера.

+2612 мс region1.google-analytics.com без согласия GA4 G-XTTERB4HCG. До отображения баннера.

+2334 мс cdn.botframework.com без согласия Microsoft Bot Framework. Не задекларирован.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com) — контейнер тегов, до баннера
Google ReCaptcha (www.google.com, www.gstatic.com) — до баннера
Google Analytics 4 (region1.google-analytics.com) — до баннера
Google Fonts / Roboto (fonts.gstatic.com) — через ReCaptcha-iframe
Microsoft Bot Framework (cdn.botframework.com) — чатбот, не задекларирован
Usercentrics (web.cmp.usercentrics.eu и др.) — CMP

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

Google Tag Manager (GTM-PGQ2TZ, +852 мс) и Google ReCaptcha (www.google.com/recaptcha/api.js, +852 мс) активируются одновременно — за один секунду до Usercentrics loader (+1900 мс). Оба передают данные на серверы Google без согласия.
GDPR Art. 5(1)(a); TDDDG § 25(1)

Google Analytics 4 (tid=G-XTTERB4HCG) через GTM активирует запрос к region1.google-analytics.com/g/collect на +2612 мс — до появления баннера Usercentrics (+2688 мс, session/1px.png). GA4 получает полный набор параметров: tid, gtm, параметры сеанса, происхождение трафика. Политика декларирует GA (Universal Analytics / Google Optimize), но не GA4.
GDPR Art. 13(1)(e)

Microsoft Bot Framework (cdn.botframework.com/botframework-webchat/latest/webchat.js, +2334 мс) — чат-виджет Microsoft Azure Bot Services, загружается без согласия. Не упомянут в политике конфиденциальности.
GDPR Art. 13(1)(e)

Политика конфиденциальности содержит явные следы машинного перевода на русский язык («eVeregung.de», «eVerbung.de» вместо «eVergabe.de») и описывает устаревшие сервисы Google Universal Analytics и Google Optimize (оба прекращены Google в 2023–2024 гг.), вместо актуального GA4. Usercentrics, Bot Framework, Storyblok и Google Fonts не упомянуты.

Контекст

eVergabe.de — официальный федеральный портал государственных закупок Германии, обеспечивающий публикацию тендеров и процедур госзакупок. Sensitivity — high: сайт обрабатывает данные участников торгов и государственных заказчиков. Next.js, CloudWAF. HAR: 65 запросов, 13 доменов.

GTM и ReCaptcha — до баннера

На +852 мс одновременно загружаются GTM (GTM-PGQ2TZ) и Google ReCaptcha (render=6LfYf_kqAAAAACp89Dmqpzs2OO4FKZ6T_m8DUe22). Usercentrics появляется на +1900 мс — через секунду. GA4 (G-XTTERB4HCG) через GTM отправляет g/collect на +2612 мс — до отображения баннера (+2688 мс). Google Fonts (Roboto, два начертания) загружается через ReCaptcha iframe на +3591 мс.

Политика — машинный перевод с устаревшим содержанием

Политика конфиденциальности написана по-русски с явными артефактами машинного перевода: вместо «eVergabe.de» в тексте встречается «eVeregung.de» и «eVerbung.de». Описываемые сервисы — Google Universal Analytics и Google Optimize — прекращены Google в 2023–2024 годах соответственно. Вместо них фактически работает GA4, который в политике не упомянут. Usercentrics, Bot Framework, Storyblok и Google Fonts отсутствуют в политике.

Microsoft Bot Framework — не задекларирован

cdn.botframework.com/botframework-webchat/latest/webchat.js (+2334 мс) — SDK Microsoft Azure Bot Services для чат-виджета. Загружается до баннера, не упомянут в политике. Для портала государственных закупок, пользователи которого могут вводить чувствительные данные о тендерах, это существенный пробел.

Storyblok — прямые запросы к CDN

Одно изображение (a.storyblok.com) загружается напрямую, минуя Next.js image proxy — IP посетителя передаётся на серверы Storyblok. Политика Storyblok не декларирована.

Вывод

www.evergabe.de имеет системные нарушения: GTM и ReCaptcha активны до баннера, GA4 не задекларирован, Bot Framework не упомянут. Политика конфиденциальности описывает прекращённые сервисы и содержит следы машинного перевода. Для портала государственных закупок с повышенной чувствительностью данных — нестандартно низкий уровень GDPR-соответствия.

Доказательство

Оригинал (разбор)

HAR-файл: de/evergabe-de-2026-05-29.har

SHA-256: d6c4d270fe9e5ec589b60e69b9439266388dd5ea2b8f5ef5365f421111322969

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом evergabe.de.

2. Обстоятельства
Я посетил сайт evergabe.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager (GTM-PGQ2TZ, +852 мс) и Google ReCaptcha (www.google.com/recaptcha/api.js, +852 мс) активируются одновременно — за один секунду до Usercentrics loader (+1900 мс). Оба передают данные на серверы Google без согласия.

2) Google Analytics 4 (tid=G-XTTERB4HCG) через GTM активирует запрос к region1.google-analytics.com/g/collect на +2612 мс — до появления баннера Usercentrics (+2688 мс, session/1px.png). GA4 получает полный набор параметров: tid, gtm, параметры сеанса, происхождение трафика. Политика декларирует GA (Universal Analytics / Google Optimize), но не GA4.

3) Microsoft Bot Framework (cdn.botframework.com/botframework-webchat/latest/webchat.js, +2334 мс) — чат-виджет Microsoft Azure Bot Services, загружается без согласия. Не упомянут в политике конфиденциальности.

4) Политика конфиденциальности содержит явные следы машинного перевода на русский язык («eVeregung.de», «eVerbung.de» вместо «eVergabe.de») и описывает устаревшие сервисы Google Universal Analytics и Google Optimize (оба прекращены Google в 2023–2024 гг.), вместо актуального GA4. Usercentrics, Bot Framework, Storyblok и Google Fonts не упомянуты.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/evergabe-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 13(1)(e); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]