EUGDPR Audit
RU EN
Технический аудит · 2026-05-29

service.bund.de

федеральный портал вакансий и госуслуг Германии
DE

Федеральный портал вакансий и госуслуг Германии, оператор — Bundesverwaltungsamt (BVA). 27 запросов, 1 домен. GSB-платформа. Шрифты через system stack. Нет cookie-баннера — только технически необходимые сессионные cookies (JSESSIONID) без согласия согласно § 25(2) TDDDG. CSP разрешает geodatenzentrum.de (BKG) для карт — в HAR не активен. Set-Cookie — ноль. Ни одного внешнего домена.

Хронология утечки

+0 мс · главная страница
www.service.bund.de/Content/DE/Home/homepage_node.html — HTML, Apache, GSB. Permissions-Policy явно отключает camera, geolocation, microphone, payment, interest-cohort.
+139 мс · стили
leaflet.css, styles.css, additional.css, addon_forms.css, print.css — всё локально. Leaflet используется для карт на внутренних страницах, тайлы на главной не загружаются.
+141 мс · скрипты и изображения
_basic.js, _base.js, _enhanced_Startseite.js, global.js — локально. Тизерные изображения партнёрских порталов (GovData, D115, Geoportal и др.) — все с www.service.bund.de.
+549 мс · логотип и favicon
logo.png, favicon.ico — локально. Нет запросов к внешним ресурсам.

Декларация против факта

JSESSIONID — технически необходимый сессионный cookie, § 25(2) TDDDG — заявлен
BKG (geodatenzentrum.de) — упомянут для отображения карт, IP передаётся BKG — заявлен
Newsletter — упомянут как отдельный сервис с согласием — заявлен

Контекст

service.bund.de — федеральный портал, управляемый Bundesverwaltungsamt (BVA, Федеральное административное ведомство, Кёльн). Агрегирует вакансии и объявления о тендерах органов федерального, земельного и муниципального уровней. GSB-платформа, Apache. HAR: 27 запросов, 1 домен.

Минималистичная архитектура без внешних зависимостей

Все 27 запросов направлены исключительно к www.service.bund.de. Стек — GSB (Gemeinsames Servicezentrum der Bundesbehörden): стандартные CSS-бандлы, три локальных JS-файла. Шрифты подключаются через системный стек браузера — нет woff/woff2-файлов в HAR. Иконки партнёрских порталов-тизеров (GovData, D115, Geoportal, juris и др.) хостируются локально. Leaflet.css присутствует как стиль для карт, которые используются на внутренних страницах, — на главной странице тайлы карт не загружались.

Permissions-Policy — явное ограничение браузерных API

Заголовок Permissions-Policy явно запрещает доступ к camera, geolocation, gyroscope, magnetometer, microphone, payment, usb и interest-cohort (FLoC). Последнее — сигнал осознанного отказа от поведенческого профилирования на уровне браузерного API.

BKG — федеральная картография вместо Google Maps

CSP включает img-src *.geodatenzentrum.de — источник тайловых карт Bundesamt für Kartographie und Geodäsie (BKG). Политика конфиденциальности объясняет: при загрузке карты IP-адрес передаётся BKG исключительно для защиты от кибератак, дальнейшая передача не производится. В HAR главной страницы запросов к geodatenzentrum.de нет — карта не отображалась.

Cookies без баннера — по закону

Политика декларирует только JSESSIONID — сессионный cookie для балансировки нагрузки серверов. Правовое основание — § 25 Abs. 2 Ziffer 2 TDDDG (технически необходимые cookies без согласия). В HAR Set-Cookie — ноль: cookie устанавливается только при активных сессиях (вход в личный кабинет, подписка на рассылку).

Вывод

www.service.bund.de не передаёт данные посетителей третьим лицам. Один домен, нет внешних SDK, нет трекеров, нет cookie-баннера — и не нужен, так как используются исключительно технически необходимые сессионные cookies. Нарушений GDPR на момент аудита не зафиксировано.

Доказательство
Оригинал (разбор)
HAR-файл: de/service-bund-de-2026-05-29.har
SHA-256: 17e424c4f932c0e1cfe4b488309b52b54928eea17895547b43b1ada058d4a215
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.