Технический аудит · 2026-05-29

immobilienscout24.de

Крупнейший немецкий портал недвижимости

Крупнейший немецкий портал недвижимости. 83 запроса, 17 доменов. Next.js, CloudFront. MakeItBetter — собственный шрифт, локально. Google GSI и Tealium IQ до баннера Usercentrics. AWS WAF телеметрия — не задекларирована. Set-Cookie — ноль.

Хронология утечки

+0 мс · главная страница

www.immobilienscout24.de/ — Next.js, CloudFront (HEL51). Link preload для четырёх шрифтов в заголовке ответа.

+136 мс · шрифты

MakeItBetter Regular и Bold (woff2) — собственный фирменный шрифт IS24, локально из /_next/static/media/. Нет Google Fonts.

+148 мс · собственная инфраструктура

sso.immobilienscout24.de/static/one-tap/sso-one-tap.js — SSO-модуль. web.chatbot.immobilienscout24.de — HeyImmo AI-чатбот (LLM). www.static-immobilienscout24.de/web-metrics/main.js — собственные метрики. tracking.immobilienscout24.de/tr.js — внутренний трекер страниц.

+413 мс · Google GSI — до баннера

accounts.google.com/gsi/client, /gsi/style, /gsi/status (client_id=208472424340-…) — Google Sign-In SDK загружается и выполняет проверку статуса авторизации. До Usercentrics.

+609 мс · Tealium IQ — до баннера

tags-eu.tiqcdn.com/utag/immobilienscout/is24/prod/utag.js — контейнер тегов Tealium, EU-зона. До Usercentrics.

+919 мс · AWS WAF SDK

82d925f87a91.edge.sdk.awswaf.com/challenge.js (304) и двукратный /telemetry (+1541 мс, +2547 мс) — поведенческая телеметрия для bot-detection.

Декларация против факта

✓ Usercentrics — задекларирован как Privacy Manager (CMP) — заявлен

✓ Google ReCaptcha — задекларирован для форм — заявлен

✓ HeyImmo (LLM-чатбот) — задекларирован, обработка chat-данных — заявлен

+ Google Sign-In / GSI (accounts.google.com) — не задекларирован отдельно — не заявлен

+ Tealium IQ (tags-eu.tiqcdn.com) — не упомянут — не заявлен

+ AWS WAF SDK (82d925f87a91.edge.sdk.awswaf.com) — не упомянут — не заявлен

Тайминги передачи

+413 мс accounts.google.com без согласия Google GSI / Sign-In SDK. Google Ireland Limited. До баннера.

+609 мс tags-eu.tiqcdn.com без согласия Tealium IQ. Tag Management. Не задекларирован.

+1541 мс 82d925f87a91.edge.sdk.awswaf.com без согласия AWS WAF telemetry. Amazon. Bot-detection. Не задекларирован.

Зафиксированные трекеры

Google Sign-In / GSI (accounts.google.com) — авторизация через Google, до баннера
Tealium IQ (tags-eu.tiqcdn.com) — Tag Management System, до баннера
AWS WAF SDK (82d925f87a91.edge.sdk.awswaf.com) — телеметрия защиты, не задекларирован
Usercentrics (app.usercentrics.eu и др.) — CMP, TCF

Зафиксированные нарушения

GDPR Art. 5(1)(a); TDDDG § 25(1)

Google GSI (gsi/client, gsi/style, gsi/status) загружается на +413 мс — за 240 мс до первого запроса Usercentrics (+653 мс). accounts.google.com получает данные о браузере и IP-адресе посетителя (client_id=208472424340-…) без согласия. Политика упоминает Google ReCaptcha, но не описывает Google Sign-In / One Tap как отдельный сервис.
GDPR Art. 5(1)(a); TDDDG § 25(1)

Tealium IQ (tags-eu.tiqcdn.com/utag/immobilienscout/is24/prod/utag.js) загружается на +609 мс — до Usercentrics loader (+653 мс). Tealium — Tag Management System, контейнер тегов, потенциально активирующий дополнительные трекеры. Не упомянут в политике конфиденциальности.
GDPR Art. 13(1)(e)

AWS WAF SDK (82d925f87a91.edge.sdk.awswaf.com) отправляет два telemetry-запроса (+1541 мс, +2547 мс). AWS WAF — Web Application Firewall Amazon, собирает поведенческие данные браузера для bot-detection. Не упомянут в политике конфиденциальности.

Контекст

ImmoScout24 — лидирующий немецкий портал недвижимости, часть Scout24 AG. Next.js, CloudFront (регион HEL51 — Хельсинки). HAR: 83 запроса, 17 доменов. Собственная инфраструктура: SSO, HeyImmo AI-чатбот, внутренний трекер страниц, метрики производительности.

Google GSI и Tealium IQ — до баннера

Usercentrics loader появляется на +653 мс. К этому моменту уже отработали два внешних сервиса: Google GSI на +413 мс и Tealium IQ на +609 мс.

Google GSI (gsi/client, gsi/style, gsi/status) — SDK Google Sign-In, обеспечивающий вход через аккаунт Google и функцию One Tap. Четыре запроса к accounts.google.com, включая gsi/status с client_id=208472424340-…, передают данные о браузере и сессии на серверы Google без согласия. Политика упоминает Google только в контексте ReCaptcha, Google Sign-In описан не отдельно.

Tealium IQ (tags-eu.tiqcdn.com/utag/immobilienscout/is24/prod/utag.js) — Tag Management System, EU-зона. Контейнер тегов, способный активировать дополнительные трекеры в зависимости от конфигурации utag. В политике конфиденциальности не упомянут ни под именем Tealium, ни как «Tag Management».

AWS WAF SDK — не задекларирован

82d925f87a91.edge.sdk.awswaf.com выполняет challenge.js (304, из кеша) и дважды отправляет telemetry — поведенческие данные браузера для bot-detection Amazon Web Services WAF. AWS WAF не упомянут в политике.

MakeItBetter — фирменный шрифт локально

IS24 использует собственный шрифт MakeItBetter (Regular, Bold) в формате woff2 из каталога Next.js. Четыре шрифтовых файла прелоадятся в заголовке HTTP-ответа. Нет Google Fonts.

Вывод

www.immobilienscout24.de имеет три нарушения: Google GSI и Tealium IQ активны до отображения баннера Usercentrics, AWS WAF SDK отправляет телеметрию без декларирования в политике. Собственная инфраструктура (SSO, чатбот, метрики) — без замечаний.

Доказательство

Оригинал (разбор)

HAR-файл: de/immobilienscout24-de-2026-05-29.har

SHA-256: b2957a432f8b5004f4d36d2194ff8377d5ee5cda2fa6b81b59d86c43b7a33f47

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: BfDI — Федеральный уполномоченный по защите данных — подать жалобу онлайн →

Кому: BfDI — Федеральный уполномоченный по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом immobilienscout24.de.

2. Обстоятельства
Я посетил сайт immobilienscout24.de и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 29.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Google GSI (gsi/client, gsi/style, gsi/status) загружается на +413 мс — за 240 мс до первого запроса Usercentrics (+653 мс). accounts.google.com получает данные о браузере и IP-адресе посетителя (client_id=208472424340-…) без согласия. Политика упоминает Google ReCaptcha, но не описывает Google Sign-In / One Tap как отдельный сервис.

2) Tealium IQ (tags-eu.tiqcdn.com/utag/immobilienscout/is24/prod/utag.js) загружается на +609 мс — до Usercentrics loader (+653 мс). Tealium — Tag Management System, контейнер тегов, потенциально активирующий дополнительные трекеры. Не упомянут в политике конфиденциальности.

3) AWS WAF SDK (82d925f87a91.edge.sdk.awswaf.com) отправляет два telemetry-запроса (+1541 мс, +2547 мс). AWS WAF — Web Application Firewall Amazon, собирает поведенческие данные браузера для bot-detection. Не упомянут в политике конфиденциальности.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/immobilienscout24-de/

3. Нарушенные положения
GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 5(1)(a); TDDDG § 25(1); GDPR Art. 13(1)(e)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]