Vendor Risk / AVV / Transfer

bug.de: Anbieterakten und Verträge prüfbar machen

Vendor-Due-Diligence für bug.de: 21 Anbieter, 3 hohes Risiko, 21 AVV/DPA-Prüfung(en), 13 Transferfrage(n).

Automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Vertragsunterlagen, TOMs, Subprozessoren, Transferbewertungen und Freigaben muss der Betreiber fachlich ergänzen.

47 kritisch prüfen
21Anbieter 3hoch 21AVV/DPA 13Transfer 21Subprozessoren

Anbieter

Priorisierte Due-Diligence-Liste

Google Fonts fonts.gstatic.com · Externe Inhalte · Score 81

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
mittel
Requests
3
Cookies
0
Google Fonts fonts.googleapis.com · Externe Inhalte · Score 77

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
mittel
Requests
1
Cookies
0
consent.cookiefirst.com consent.cookiefirst.com · Consent/CMP · Score 74

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
9
Cookies
0
forms-na1.hsforms.com forms-na1.hsforms.com · Drittanbieter · Score 52

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
2
Cookies
0
js.hsforms.net js.hsforms.net · Drittanbieter · Score 52

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
2
Cookies
0
api.cookiefirst.com api.cookiefirst.com · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
consent-eu.cookiefirst.com consent-eu.cookiefirst.com · Consent/CMP · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
edge.cookiefirst.com edge.cookiefirst.com · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
forms.hsforms.com forms.hsforms.com · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
assets.co2neutralwebsite.de assets.co2neutralwebsite.de · Drittanbieter · Score 40

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
Anbieter 21 Anbieter 21 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 22 Anbieter 22 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 23 Anbieter 23 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 24 Anbieter 24 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 25 Anbieter 25 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 26 Anbieter 26 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 27 Anbieter 27 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 28 Anbieter 28 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 29 Anbieter 29 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 30 Anbieter 30 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0

Vendor Policy Watch

Policy-, Subprozessor- und Transferänderungen beobachten

Watchlist exportieren
21Watchlist 14kritisch 7hoch 13Transfer
Google Fonts kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für Google Fonts prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
fonts.gstatic.com
Faellig
7 Tage
Trigger
6
Google Fonts kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für Google Fonts prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
fonts.googleapis.com
Faellig
7 Tage
Trigger
6
consent.cookiefirst.com kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für consent.cookiefirst.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
consent.cookiefirst.com
Faellig
7 Tage
Trigger
6
forms-na1.hsforms.com hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für forms-na1.hsforms.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
forms-na1.hsforms.com
Faellig
14 Tage
Trigger
6
js.hsforms.net hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für js.hsforms.net prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
js.hsforms.net
Faellig
14 Tage
Trigger
6
api.cookiefirst.com hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für api.cookiefirst.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
api.cookiefirst.com
Faellig
14 Tage
Trigger
6
consent-eu.cookiefirst.com hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für consent-eu.cookiefirst.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
consent-eu.cookiefirst.com
Faellig
14 Tage
Trigger
6
edge.cookiefirst.com hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für edge.cookiefirst.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
edge.cookiefirst.com
Faellig
14 Tage
Trigger
6

Fragebogen

Was Betreiber je Anbieter abfragen müssen

Fragebogen exportieren
Legal/Datenschutz · hoch

Welche Rolle hat der Anbieter und liegt ein aktueller AVV/DPA mit TOMs vor?

Rolle, Vertragstyp, AVV/DPA, TOM-Anlage, Review-Datum.
Legal/Vendor-Verantwortung · hoch

Welche Transfergrundlage gilt und ist eine SCC/TIA- oder Angemessenheitsbewertung dokumentiert?

Region, Hostingland, SCC/TIA, DPF/Angemessenheitsbezug oder EU-Alternative.
Procurement/Legal · mittel

Sind Unterauftragsverarbeiter, Änderungsmechanismus und Einspruchsprozess bekannt?

Subprozessorenliste, Benachrichtigungsweg, Einspruchs-/Kuendigungsprozess.
Datenschutz/IT · mittel

Welche Speicher-, Lösch- und Rückgabefristen gelten beim Anbieter?

Retention, Löschtrigger, Backup-Fristen, DSAR-/Löschprozess.
Security/Legal · hoch

Welche Sicherheits-, Incident- und Breach-Fristen gelten vertraglich?

TOMs, Security-Kontakt, Meldefrist, Eskalationspfad, letzte Security-Nachweise.
Marketing/IT/Datenschutz · hoch

Ist der Anbieter in Consent, Cookie-Erklärung und Datenschutzhinweis synchron beschrieben?

CMP-Service, Cookie-Zweck, Datenschutzhinweis-Abschnitt, Re-Scan-Nachweis.

Lifecycle

Discovery, Assessment, Mitigation und Monitoring

laufend · IT/Marketing

Neue Anbieter aus SaferPage-Scan, Monitoring und Tag-Manager erfassen.

vor Freigabe · Legal/Vendor-Verantwortung

Rolle, AVV/DPA, TOMs, Transfer, Subprozessoren und Löschfristen bewerten.

0-30 Tage · Betreiber/IT

Nicht notwendige Anbieter blockieren, entfernen oder datensparsame Alternative einsetzen.

monatlich · Compliance/Legal

Policy-, Subprozessor-, Transfer- und Monitoring-Änderungen reviewen.