{
    "schema": "https://saferpage.de/schemas/vendor-due-diligence.v1",
    "generated_at": "2026-07-02T00:25:45+00:00",
    "domain": "mut.de",
    "available": true,
    "scan": {
        "id": "16f55213-f2ac-418e-a94e-e6aa7da836e3",
        "checked_at": "2026-06-27 23:42:54.172004+02"
    },
    "summary": "Vendor-Due-Diligence für mut.de: 50 Anbieter, 19 hohes Risiko, 50 AVV/DPA-Prüfung(en), 44 Transferfrage(n).",
    "status": "kritisch prüfen",
    "metrics": {
        "vendor_count": 50,
        "high_risk_count": 19,
        "dpa_check_count": 50,
        "transfer_check_count": 44,
        "subprocessor_check_count": 50,
        "average_risk": 63
    },
    "vendors": [
        {
            "id": "ad_doubleclick_net",
            "provider": "Google DoubleClick",
            "domain": "ad.doubleclick.net",
            "purpose": "Werbung",
            "category": "Drittanbieter",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 1,
            "cookie_count": 1,
            "privacy_relevant": true,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "mittel",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "googleads_g_doubleclick_net",
            "provider": "Google DoubleClick",
            "domain": "googleads.g.doubleclick.net",
            "purpose": "Werbung",
            "category": "Marketing",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 1,
            "cookie_count": 1,
            "privacy_relevant": true,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "mittel",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "googletagmanager_com",
            "provider": "Google Tag Manager",
            "domain": "googletagmanager.com",
            "purpose": "Tag-Manager",
            "category": "Drittanbieter",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 3,
            "cookie_count": 0,
            "privacy_relevant": true,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "hoch",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "3 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "i_clarity_ms",
            "provider": "Microsoft Clarity",
            "domain": "i.clarity.ms",
            "purpose": "Session-Replay",
            "category": "Drittanbieter",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 4,
            "cookie_count": 0,
            "privacy_relevant": true,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "hoch",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "4 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "clarity_ms",
            "provider": "Microsoft Clarity",
            "domain": "clarity.ms",
            "purpose": "Session-Replay",
            "category": "Drittanbieter",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": true,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "mittel",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "platform_twitter_com",
            "provider": "X/Twitter Widget",
            "domain": "platform.twitter.com",
            "purpose": "Social-Widget",
            "category": "Drittanbieter",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 2,
            "cookie_count": 0,
            "privacy_relevant": true,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "hoch",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "2 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "widget_reviews_io",
            "provider": "widget.reviews.io",
            "domain": "widget.reviews.io",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 100,
            "risk_level": "hoch",
            "request_count": 21,
            "cookie_count": 1,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "niedrig",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "21 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "assets_reviews_io",
            "provider": "assets.reviews.io",
            "domain": "assets.reviews.io",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 87,
            "risk_level": "hoch",
            "request_count": 4,
            "cookie_count": 1,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "4 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "fonts_gstatic_com",
            "provider": "Google Fonts",
            "domain": "fonts.gstatic.com",
            "purpose": "Schriften",
            "category": "Externe Inhalte",
            "risk_score": 85,
            "risk_level": "hoch",
            "request_count": 5,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "5 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "shop_app",
            "provider": "shop.app",
            "domain": "shop.app",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 85,
            "risk_level": "hoch",
            "request_count": 3,
            "cookie_count": 1,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "3 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "google_com",
            "provider": "google.com",
            "domain": "google.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 83,
            "risk_level": "hoch",
            "request_count": 4,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "4 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "fonts_googleapis_com",
            "provider": "Google Fonts",
            "domain": "fonts.googleapis.com",
            "purpose": "Schriften",
            "category": "Externe Inhalte",
            "risk_score": 81,
            "risk_level": "hoch",
            "request_count": 3,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "3 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "cdn_shopify_com",
            "provider": "cdn.shopify.com",
            "domain": "cdn.shopify.com",
            "purpose": "Sonstige",
            "category": "Hosting/CDN",
            "risk_score": 81,
            "risk_level": "hoch",
            "request_count": 131,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "niedrig",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "131 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "static_klaviyo_com",
            "provider": "static.klaviyo.com",
            "domain": "static.klaviyo.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 81,
            "risk_level": "hoch",
            "request_count": 23,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "niedrig",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "23 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser|evidence"
        },
        {
            "id": "google_de",
            "provider": "google.de",
            "domain": "google.de",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 79,
            "risk_level": "hoch",
            "request_count": 2,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "2 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "ajax_googleapis_com",
            "provider": "ajax.googleapis.com",
            "domain": "ajax.googleapis.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 77,
            "risk_level": "hoch",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "apis_google_com",
            "provider": "apis.google.com",
            "domain": "apis.google.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 77,
            "risk_level": "hoch",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "api_reviews_io",
            "provider": "api.reviews.io",
            "domain": "api.reviews.io",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 76,
            "risk_level": "hoch",
            "request_count": 10,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "niedrig",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "10 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser|evidence"
        },
        {
            "id": "otlp_http_production_shopifysvc_com",
            "provider": "otlp-http-production.shopifysvc.com",
            "domain": "otlp-http-production.shopifysvc.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 72,
            "risk_level": "hoch",
            "request_count": 8,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "niedrig",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "8 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser|evidence"
        },
        {
            "id": "cdn_jsdelivr_net",
            "provider": "jsDelivr",
            "domain": "cdn.jsdelivr.net",
            "purpose": "CDN",
            "category": "Hosting/CDN",
            "risk_score": 68,
            "risk_level": "mittel",
            "request_count": 6,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "niedrig",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "6 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser|evidence"
        },
        {
            "id": "static_tracking_klaviyo_com",
            "provider": "static-tracking.klaviyo.com",
            "domain": "static-tracking.klaviyo.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 66,
            "risk_level": "mittel",
            "request_count": 5,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "5 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "cdnjs_cloudflare_com",
            "provider": "Cloudflare",
            "domain": "cdnjs.cloudflare.com",
            "purpose": "CDN",
            "category": "Hosting/CDN",
            "risk_score": 64,
            "risk_level": "mittel",
            "request_count": 4,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "4 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "bat_bing_com",
            "provider": "bat.bing.com",
            "domain": "bat.bing.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 64,
            "risk_level": "mittel",
            "request_count": 4,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "4 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "d1ac7owlocyo08_cloudfront_net",
            "provider": "d1ac7owlocyo08.cloudfront.net",
            "domain": "d1ac7owlocyo08.cloudfront.net",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 64,
            "risk_level": "mittel",
            "request_count": 4,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "4 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|vendor_lifecycle_risk|browser|browser"
        },
        {
            "id": "cdn_bundler_nice_team_net",
            "provider": "cdn-bundler.nice-team.net",
            "domain": "cdn-bundler.nice-team.net",
            "purpose": "Sonstige",
            "category": "Hosting/CDN",
            "risk_score": 52,
            "risk_level": "mittel",
            "request_count": 2,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "2 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "tseish_app_connect_trustedshops_com",
            "provider": "tseish-app.connect.trustedshops.com",
            "domain": "tseish-app.connect.trustedshops.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 52,
            "risk_level": "mittel",
            "request_count": 2,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "2 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "a_klaviyo_com",
            "provider": "a.klaviyo.com",
            "domain": "a.klaviyo.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "app_consentmo_com",
            "provider": "app.consentmo.com",
            "domain": "app.consentmo.com",
            "purpose": "Sonstige",
            "category": "Consent/CMP",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "bundler_nice_team_net",
            "provider": "bundler.nice-team.net",
            "domain": "bundler.nice-team.net",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "cdn_s3_pop_convert_com",
            "provider": "cdn.s3.pop-convert.com",
            "domain": "cdn.s3.pop-convert.com",
            "purpose": "Sonstige",
            "category": "Hosting/CDN",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "code_jquery_com",
            "provider": "code.jquery.com",
            "domain": "code.jquery.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "d19ayerf5ehaab_cloudfront_net",
            "provider": "d19ayerf5ehaab.cloudfront.net",
            "domain": "d19ayerf5ehaab.cloudfront.net",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "dr4qe3ddw9y32_cloudfront_net",
            "provider": "dr4qe3ddw9y32.cloudfront.net",
            "domain": "dr4qe3ddw9y32.cloudfront.net",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "fast_a_klaviyo_com",
            "provider": "fast.a.klaviyo.com",
            "domain": "fast.a.klaviyo.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "img_idealo_com",
            "provider": "img.idealo.com",
            "domain": "img.idealo.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "instagram_com",
            "provider": "instagram.com",
            "domain": "instagram.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "integrations_etrusted_com",
            "provider": "integrations.etrusted.com",
            "domain": "integrations.etrusted.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "monorail_edge_shopifysvc_com",
            "provider": "monorail-edge.shopifysvc.com",
            "domain": "monorail-edge.shopifysvc.com",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 50,
            "risk_level": "mittel",
            "request_count": 1,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "1 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "api_reviews_co_uk",
            "provider": "api.reviews.co.uk",
            "domain": "api.reviews.co.uk",
            "purpose": "Sonstige",
            "category": "Drittanbieter",
            "risk_score": 42,
            "risk_level": "niedrig",
            "request_count": 2,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "2 Request(s), 0 Cookie(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_due_diligence|vendor_processor_register|browser|browser"
        },
        {
            "id": "anbieter_79",
            "provider": "Anbieter 79",
            "domain": "Anbieter 79",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "39 Anbieterregister-Eintrag/Einträge, 39 Drittanbieter-Domain(s), 543 Browser-Request(s).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_80",
            "provider": "Anbieter 80",
            "domain": "Anbieter 80",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Vendor-Due-Diligence mit 39 Anbieter(n), 9 hohem Risiko, 39 AVV-/DPA-Prüfung(en) und 38 Transfer-/Jurisdiktionsfrage(n).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_81",
            "provider": "Anbieter 81",
            "domain": "Anbieter 81",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "39 AVV-/DPA-Prüfung(en), 39 Anbieter.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_82",
            "provider": "Anbieter 82",
            "domain": "Anbieter 82",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Transferfragen 38, hohe Risiken 9, unbekannte Transfers 24.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_83",
            "provider": "Anbieter 83",
            "domain": "Anbieter 83",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Assessment-Automation-Readiness 94/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_84",
            "provider": "Anbieter 84",
            "domain": "Anbieter 84",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Alerts 0, Regulatory-Pflichten 10.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_85",
            "provider": "Anbieter 85",
            "domain": "Anbieter 85",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 3 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_86",
            "provider": "Anbieter 86",
            "domain": "Anbieter 86",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Retention-/Deletion-Readiness 73/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_87",
            "provider": "Anbieter 87",
            "domain": "Anbieter 87",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Nachweis-Workflow mit 8 Nachweisposition(en): 8 sofort starten, 0 einplanen, 0 im Backlog.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_88",
            "provider": "Anbieter 88",
            "domain": "Anbieter 88",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Prüfbeleg vorhanden, Root-Hash 0c84925dac1c9d03.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        },
        {
            "id": "anbieter_89",
            "provider": "Anbieter 89",
            "domain": "Anbieter 89",
            "purpose": "Zweck prüfen",
            "category": "Drittanbieter",
            "risk_score": 38,
            "risk_level": "niedrig",
            "request_count": 0,
            "cookie_count": 0,
            "privacy_relevant": false,
            "role_hint": "Rolle klaeren",
            "dpa_status": "AVV/DPA prüfen",
            "dpa_needed": true,
            "transfer_label": "Transfer prüfen",
            "transfer_risk": "unklar",
            "subprocessor_status": "Subprozessorenliste anfordern/prüfen",
            "observed_evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
            "required_evidence": "AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.",
            "operator_action": "Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.",
            "source_block": "vendor_lifecycle_risk"
        }
    ],
    "questionnaire": [
        {
            "id": "role_contract",
            "owner": "Legal/Datenschutz",
            "priority": "hoch",
            "question": "Welche Rolle hat der Anbieter und liegt ein aktueller AVV/DPA mit TOMs vor?",
            "expected_evidence": "Rolle, Vertragstyp, AVV/DPA, TOM-Anlage, Review-Datum."
        },
        {
            "id": "transfer_tia",
            "owner": "Legal/Vendor-Verantwortung",
            "priority": "hoch",
            "question": "Welche Transfergrundlage gilt und ist eine SCC/TIA- oder Angemessenheitsbewertung dokumentiert?",
            "expected_evidence": "Region, Hostingland, SCC/TIA, DPF/Angemessenheitsbezug oder EU-Alternative."
        },
        {
            "id": "subprocessors",
            "owner": "Procurement/Legal",
            "priority": "mittel",
            "question": "Sind Unterauftragsverarbeiter, Änderungsmechanismus und Einspruchsprozess bekannt?",
            "expected_evidence": "Subprozessorenliste, Benachrichtigungsweg, Einspruchs-/Kuendigungsprozess."
        },
        {
            "id": "retention_deletion",
            "owner": "Datenschutz/IT",
            "priority": "mittel",
            "question": "Welche Speicher-, Lösch- und Rückgabefristen gelten beim Anbieter?",
            "expected_evidence": "Retention, Löschtrigger, Backup-Fristen, DSAR-/Löschprozess."
        },
        {
            "id": "incident_notice",
            "owner": "Security/Legal",
            "priority": "hoch",
            "question": "Welche Sicherheits-, Incident- und Breach-Fristen gelten vertraglich?",
            "expected_evidence": "TOMs, Security-Kontakt, Meldefrist, Eskalationspfad, letzte Security-Nachweise."
        },
        {
            "id": "consent_notice_sync",
            "owner": "Marketing/IT/Datenschutz",
            "priority": "hoch",
            "question": "Ist der Anbieter in Consent, Cookie-Erklärung und Datenschutzhinweis synchron beschrieben?",
            "expected_evidence": "CMP-Service, Cookie-Zweck, Datenschutzhinweis-Abschnitt, Re-Scan-Nachweis."
        }
    ],
    "evidence_requirements": [
        "AVV/DPA mit TOM-Anlage und Rollenbeschreibung",
        "Subprozessorenliste mit Änderungs- und Einspruchsprozess",
        "Transfergrundlage, SCC/TIA oder Angemessenheitsbezug",
        "Lösch-, Rückgabe-, Backup- und DSAR-Unterstützung",
        "Incident-/Breach-Fristen, Security-Kontakt und letzte Nachweise",
        "Synchroner Eintrag in Consent, Cookie-Erklärung, Datenschutzhinweis und Anbieterregister"
    ],
    "workflow": [
        {
            "id": "discover",
            "cadence": "laufend",
            "owner": "IT/Marketing",
            "task": "Neue Anbieter aus SaferPage-Scan, Monitoring und Tag-Manager erfassen."
        },
        {
            "id": "assess",
            "cadence": "vor Freigabe",
            "owner": "Legal/Vendor-Verantwortung",
            "task": "Rolle, AVV/DPA, TOMs, Transfer, Subprozessoren und Löschfristen bewerten."
        },
        {
            "id": "mitigate",
            "cadence": "0-30 Tage",
            "owner": "Betreiber/IT",
            "task": "Nicht notwendige Anbieter blockieren, entfernen oder datensparsame Alternative einsetzen."
        },
        {
            "id": "monitor",
            "cadence": "monatlich",
            "owner": "Compliance/Legal",
            "task": "Policy-, Subprozessor-, Transfer- und Monitoring-Änderungen reviewen."
        }
    ],
    "links": {
        "due_diligence_center": "https://saferpage.de/anbieter/mut.de/due-diligence",
        "json": "https://saferpage.de/anbieter/mut.de/due-diligence-json",
        "csv": "https://saferpage.de/anbieter/mut.de/due-diligence-csv",
        "markdown": "https://saferpage.de/anbieter/mut.de/questionnaire-md",
        "policy_watch_json": "https://saferpage.de/anbieter/mut.de/policy-watch-json",
        "policy_watch_csv": "https://saferpage.de/anbieter/mut.de/policy-watch-csv",
        "trust_subprocessors": "https://saferpage.de/trust/mut.de/subprozessoren",
        "vendor_register": "https://saferpage.de/anbieter/mut.de",
        "service_cards": "https://saferpage.de/anbieter/mut.de/servicekarten",
        "assessment_center": "https://saferpage.de/assessment/mut.de",
        "risk_center": "https://saferpage.de/risiko/mut.de",
        "regulatory_watch": "https://saferpage.de/regulatory-watch/mut.de",
        "report": "https://saferpage.de/mut.de"
    },
    "sources": [
        {
            "title": "Osano Vendor Privacy Risk Management",
            "url": "https://www.osano.com/products/vendor-risk",
            "note": "Orientierung für Vendor Discovery, Scoring, Assessments und Monitoring."
        },
        {
            "title": "OneTrust Third-Party Risk Management",
            "url": "https://www.onetrust.com/products/third-party-risk-management/",
            "note": "Orientierung für Assessment-Workflows und Drittanbieter-Risikomanagement."
        },
        {
            "title": "TrustArc Third-Party Risk Assessments",
            "url": "https://trustarc.com/solutions/privacy-vendor-risk-assessments/",
            "note": "Orientierung für automatisierte Vendor-/Privacy-Risk-Assessments."
        }
    ],
    "disclaimer": "Automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Vertragsunterlagen, TOMs, Subprozessoren, Transferbewertungen und Freigaben muss der Betreiber fachlich ergänzen."
}
