Технический аудит · 2026-05-29

hoferpowertrain.com

Немецкий инжиниринговый подрядчик в сфере электроприводов

Инжиниринговый подрядчик в сфере электроприводов (Вайсах, Германия). 63 запроса, 27 доменов. Webflow, Cloudflare. GTM, Adobe Fonts, Google ReCaptcha, Weglot, HubSpot, Meta Pixel, LinkedIn Insight Tag — все до или без согласия. Cookie-Script CMP появляется на +577 мс, к этому времени большинство трекеров уже активны. Политика — автосгенерированная рыба без упоминания конкретных операторов.

Хронология утечки

+253 мс · Adobe Fonts и GTM — первая волна

use.typekit.net/zgj7pyl.js (Adobe Fonts/Typekit), www.google.com/recaptcha/api.js, cdn.weglot.com/weglot.min.js, www.acuteinspiration-inventive.com/js/805308.js — четыре внешних сервиса одновременно. +290 мс — p.typekit.net/p.gif (пиксель отслеживания использования шрифтов). +293 мс — GTM-WDTZPGC. +294 мс — pressebox.de.

+481 мс · js-cookie и jQuery с CDN

cdnjs.cloudflare.com/js-cookie/2.2.1 и d3e54v103j8qbb.cloudfront.net/jquery-3.5.1 — публичные CDN, технические зависимости Webflow.

+1102 мс · HubSpot полный стек

hsadspixel.net, hscollectedforms.net, hs-analytics.net, hs-banner.com — четыре HubSpot-домена одновременно. +1934 мс — track.hubspot.com/__ptq.gif с fingerprint-данными браузера (разрешение, язык, bfp-хеш).

+1959 мс · Cookie-Script аналитика

consent.cookie-script.com/analytics?action=firstshown — Cookie-Script фиксирует факт показа баннера. IAB TCF vendor-list.json и google-vendors.json загружаются на +2218–2219 мс — баннер в TCF-режиме.

+2050 мс · Meta Pixel и LinkedIn Insight Tag

connect.facebook.net/en_US/fbevents.js (ID 794230808053141) и snap.licdn.com/insight.min.js (pid=2375994) — рекламные пиксели. facebook.com/tr/?ev=PageView (+2790 мс), linkedin /collect и /wa (+2345–2793 мс).

Декларация против факта

+ Google Tag Manager — не упомянут — не заявлен

+ Adobe Fonts / Typekit — не упомянут — не заявлен

+ HubSpot — не упомянут — не заявлен

+ Meta Pixel — не упомянут — не заявлен

+ LinkedIn Insight Tag — не упомянут — не заявлен

+ Google ReCaptcha — не упомянут — не заявлен

+ Weglot — не упомянут — не заявлен

+ pressebox.de — не упомянут — не заявлен

+ Cookie-Script — не упомянут — не заявлен

Тайминги передачи

+253 мс use.typekit.net без согласия Adobe Fonts. Typekit. Трекинг-пиксель p.gif. До баннера.

+254 мс www.google.com / www.gstatic.com без согласия Google ReCaptcha. До баннера.

+254 мс cdn.weglot.com без согласия Weglot (переводчик). До баннера.

+293 мс www.googletagmanager.com без согласия GTM-WDTZPGC. Контейнер тегов. До баннера.

+583 мс js.hs-scripts.com (+ 8 доменов) без согласия HubSpot Marketing Hub. portalId=5375305. Фактически одновременно с баннером.

+2050 мс connect.facebook.net / www.facebook.com без согласия Meta Pixel. ID 794230808053141. PageView.

+2051 мс snap.licdn.com / px.ads.linkedin.com без согласия LinkedIn Insight Tag. pid=2375994.

Зафиксированные трекеры

Google Tag Manager (www.googletagmanager.com) — контейнер тегов, до баннера
Adobe Fonts / Typekit (use.typekit.net, p.typekit.net) — шрифты с трекингом, до баннера
Google ReCaptcha (www.google.com, www.gstatic.com) — до баннера
Weglot (cdn.weglot.com) — переводчик, до баннера
HubSpot (js.hs-scripts.com и 8 субдоменов) — CRM и маркетинг, до и после баннера
Meta Pixel (connect.facebook.net, www.facebook.com) — рекламный пиксель
LinkedIn Insight Tag (snap.licdn.com, px.ads.linkedin.com) — рекламный пиксель
pressebox.de (i2l.pressebox.de) — пресс-агрегатор, до баннера
Cookie-Script (cdn.cookie-script.com) — CMP

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

Google Tag Manager (GTM-WDTZPGC, +293 мс), Adobe Fonts/Typekit (use.typekit.net, +253 мс; p.typekit.net пиксель +290 мс), Google ReCaptcha (www.google.com, +254 мс), Weglot (cdn.weglot.com, +254 мс) и pressebox.de (i2l.pressebox.de, +294 мс) — все активируются до Cookie-Script (+577 мс). Данные о браузере и IP передаются как минимум пяти внешним операторам без согласия.
GDPR Art. 5(1)(a); TDDDG § 25(1)

HubSpot загружается на +583 мс (js.hs-scripts.com/5375305.js) — через 6 мс после Cookie-Script, фактически одновременно. Следом — 8 дополнительных доменов HubSpot: hsadspixel, hscollectedforms, hs-analytics, hs-banner, hsforms, hubapi, track.hubspot.com (__ptq.gif с разрешением экрана 1536x864, языком ru, fingerprint bfp=2df8a04b). Полный стек HubSpot Marketing Hub активен без согласия пользователя.
GDPR Art. 5(1)(a); TDDDG § 25(1)

Meta Pixel (ID 794230808053141) и LinkedIn Insight Tag (pid=2375994) загружаются на +2050–2051 мс. Facebook /tr/?ev=PageView и LinkedIn /collect передают URL посещения, параметры браузера и идентификаторы рекламных платформ. Cookie-Script к этому моменту уже загружен (+577 мс), но согласие не было получено.
GDPR Art. 13(1)(e)

Политика конфиденциальности сгенерирована инструментом CookieScript Privacy Policy Generator (прямо указано в тексте). Не содержит ни одного конкретного названия сервиса — ни HubSpot, ни LinkedIn, ни Meta, ни GTM, ни Weglot, ни Adobe Fonts. Описывает только абстрактные категории ('analytics tools', 'marketing initiatives'). Нарушение Art. 13(1)(e): получатели данных не идентифицированы.

Контекст

Hofer Powertrain (hofer consulting GmbH) — инжиниринговый подрядчик в области электроприводов и силовых агрегатов, Вайсах (Баден-Вюртемберг). Клиенты — автопроизводители и поставщики первого уровня. Webflow, Cloudflare. HAR: 63 запроса, 27 доменов.

Политика — автосгенерированная рыба

Политика конфиденциальности (effective date: 2025-10-01) сгенерирована инструментом CookieScript Privacy Policy Generator — это прямо указано в тексте документа. Политика не называет ни одного конкретного получателя данных: вместо «HubSpot», «Meta», «LinkedIn» — абстрактные фразы «online analytics tools», «third party service providers». Art. 13(1)(e) GDPR требует указания конкретных получателей или категорий получателей персональных данных.

Первая волна — до баннера

На +253–294 мс, ещё до загрузки Cookie-Script (+577 мс), активируются: Adobe Fonts/Typekit с пикселем отслеживания (p.typekit.net/p.gif), Google ReCaptcha (www.google.com, www.gstatic.com), Weglot — переводчик, передающий URL и язык браузера, Google Tag Manager (GTM-WDTZPGC), и pressebox.de — немецкий пресс-агрегатор с JavaScript-счётчиком.

HubSpot — полный маркетинговый стек

На +583 мс стартует js.hs-scripts.com/5375305.js — Hub ID 5375305. Следом разворачивается весь стек HubSpot Marketing Hub: hsadspixel (рекламные пиксели), hscollectedforms (сбор данных форм), hs-analytics (поведенческая аналитика), hs-banner (CRM-баннеры), hsforms и hubapi (формы и API). Финальный запрос track.hubspot.com/__ptq.gif содержит разрешение экрана 1536x864, язык браузера ru и fingerprint-хеш bfp=2df8a04b.

Meta Pixel и LinkedIn Insight Tag

Meta Pixel (ID 794230808053141) и LinkedIn Insight Tag (pid=2375994) загружаются на +2050–2051 мс и передают событие PageView с полным URL посещения на серверы рекламных платформ в США. Cookie-Script к этому моменту уже отображается более полутора секунд — согласие не получено.

Вывод

www.hoferpowertrain.com демонстрирует системное несоответствие GDPR: девять внешних рекламных и аналитических операторов активны до получения согласия, политика конфиденциальности не идентифицирует ни одного из них. Для корпоративного сайта B2B-поставщика автомобильной отрасли с доступом к чувствительным инженерным данным клиентов — нестандартно высокий уровень нарушений.

Доказательство

Оригинал (разбор)

HAR-файл: de/hoferpowertrain-com-2026-05-29.har

SHA-256: d10e44ea4f1145b40ed45a63e9e8b9e5578f20fe7aef060a4e2acbac43c1d671

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом hoferpowertrain.com.

2. Обстоятельства
Я посетил сайт hoferpowertrain.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google Tag Manager (GTM-WDTZPGC, +293 мс), Adobe Fonts/Typekit (use.typekit.net, +253 мс; p.typekit.net пиксель +290 мс), Google ReCaptcha (www.google.com, +254 мс), Weglot (cdn.weglot.com, +254 мс) и pressebox.de (i2l.pressebox.de, +294 мс) — все активируются до Cookie-Script (+577 мс). Данные о браузере и IP передаются как минимум пяти внешним операторам без согласия.

2) HubSpot загружается на +583 мс (js.hs-scripts.com/5375305.js) — через 6 мс после Cookie-Script, фактически одновременно. Следом — 8 дополнительных доменов HubSpot: hsadspixel, hscollectedforms, hs-analytics, hs-banner, hsforms, hubapi, track.hubspot.com (__ptq.gif с разрешением экрана 1536x864, языком ru, fingerprint bfp=2df8a04b). Полный стек HubSpot Marketing Hub активен без согласия пользователя.

3) Meta Pixel (ID 794230808053141) и LinkedIn Insight Tag (pid=2375994) загружаются на +2050–2051 мс. Facebook /tr/?ev=PageView и LinkedIn /collect передают URL посещения, параметры браузера и идентификаторы рекламных платформ. Cookie-Script к этому моменту уже загружен (+577 мс), но согласие не было получено.

4) Политика конфиденциальности сгенерирована инструментом CookieScript Privacy Policy Generator (прямо указано в тексте). Не содержит ни одного конкретного названия сервиса — ни HubSpot, ни LinkedIn, ни Meta, ни GTM, ни Weglot, ни Adobe Fonts. Описывает только абстрактные категории ('analytics tools', 'marketing initiatives'). Нарушение Art. 13(1)(e): получатели данных не идентифицированы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/hoferpowertrain-com/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]