Vendor Risk / AVV / Transfer

roxy.ch: Anbieterakten und Verträge prüfbar machen

Vendor-Due-Diligence für roxy.ch: 25 Anbieter, 4 hohes Risiko, 25 AVV/DPA-Prüfung(en), 14 Transferfrage(n).

Automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Vertragsunterlagen, TOMs, Subprozessoren, Transferbewertungen und Freigaben muss der Betreiber fachlich ergänzen.

52 kritisch prüfen
25Anbieter 4hoch 25AVV/DPA 14Transfer 25Subprozessoren

Anbieter

Priorisierte Due-Diligence-Liste

Google Static gstatic.com · Hosting/CDN · Score 85

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
5
Cookies
0
cdn.napali.app cdn.napali.app · Hosting/CDN · Score 81

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
50
Cookies
0
google.com google.com · Drittanbieter · Score 81

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
3
Cookies
0
Cloudflare Web Analytics static.cloudflareinsights.com · Analytics · Score 76

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
mittel
Requests
1
Cookies
0
images.napali.app images.napali.app · Drittanbieter · Score 66

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
5
Cookies
0
tags.tiqcdn.com tags.tiqcdn.com · Hosting/CDN · Score 66

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
5
Cookies
0
boardriders.sc.omtrdc.net boardriders.sc.omtrdc.net · Drittanbieter · Score 62

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
3
Cookies
0
tr.roxy.ch tr.roxy.ch · Drittanbieter · Score 61

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
4
Cookies
1
cdn.cquotient.com cdn.cquotient.com · Hosting/CDN · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
content.napali.app content.napali.app · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
dpm.demdex.net dpm.demdex.net · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
p.cquotient.com p.cquotient.com · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
niedrig
Requests
1
Cookies
0
rest.napali.app rest.napali.app · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
1
Cookies
0
roxy.api.highstreetapp.com roxy.api.highstreetapp.com · Drittanbieter · Score 50

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
1
Cookies
0
Anbieter 29 Anbieter 29 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 30 Anbieter 30 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 31 Anbieter 31 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 32 Anbieter 32 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 33 Anbieter 33 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0
Anbieter 34 Anbieter 34 · Drittanbieter · Score 38

Anbieterakte vervollständigen, Risiko bewerten und Re-Scan nach Umsetzung dokumentieren.

AVV/DPA, TOMs, Subprozessoren, Transfergrundlage, SCC/TIA, Löschfristen, Incident-Fristen und Datenschutzhinweis-Abgleich.
AVV/DPA
AVV/DPA prüfen
Transfer
unklar
Requests
0
Cookies
0

Vendor Policy Watch

Policy-, Subprozessor- und Transferänderungen beobachten

Watchlist exportieren
25Watchlist 17kritisch 8hoch 14Transfer
Google Static kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für Google Static prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
gstatic.com
Faellig
7 Tage
Trigger
6
cdn.napali.app kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für cdn.napali.app prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
cdn.napali.app
Faellig
7 Tage
Trigger
6
google.com kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für google.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
google.com
Faellig
7 Tage
Trigger
6
Cloudflare Web Analytics kritisch · woechentlich plus Release-Gate · Datenschutz/Legal + Vendor-Verantwortung

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für Cloudflare Web Analytics prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
static.cloudflareinsights.com
Faellig
7 Tage
Trigger
7
images.napali.app hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für images.napali.app prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
images.napali.app
Faellig
14 Tage
Trigger
6
tags.tiqcdn.com hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für tags.tiqcdn.com prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
tags.tiqcdn.com
Faellig
14 Tage
Trigger
6
boardriders.sc.omtrdc.net hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für boardriders.sc.omtrdc.net prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
boardriders.sc.omtrdc.net
Faellig
14 Tage
Trigger
6
tr.roxy.ch hoch · monatlich · Vendor-Verantwortung/Datenschutz

Policy-, AVV/DPA-, TOM-, Subprozessor- und Transferstand für tr.roxy.ch prüfen und Abweichung als Betreiber-Nachweisposition dokumentieren.

Quelle/URL, Abrufdatum, Screenshot oder Hash, geänderte Passage, betroffene Zwecke, Entscheidung, Verantwortlichkeit und Re-Scan-ID.
Domain
tr.roxy.ch
Faellig
14 Tage
Trigger
6

Fragebogen

Was Betreiber je Anbieter abfragen müssen

Fragebogen exportieren
Legal/Datenschutz · hoch

Welche Rolle hat der Anbieter und liegt ein aktueller AVV/DPA mit TOMs vor?

Rolle, Vertragstyp, AVV/DPA, TOM-Anlage, Review-Datum.
Legal/Vendor-Verantwortung · hoch

Welche Transfergrundlage gilt und ist eine SCC/TIA- oder Angemessenheitsbewertung dokumentiert?

Region, Hostingland, SCC/TIA, DPF/Angemessenheitsbezug oder EU-Alternative.
Procurement/Legal · mittel

Sind Unterauftragsverarbeiter, Änderungsmechanismus und Einspruchsprozess bekannt?

Subprozessorenliste, Benachrichtigungsweg, Einspruchs-/Kuendigungsprozess.
Datenschutz/IT · mittel

Welche Speicher-, Lösch- und Rückgabefristen gelten beim Anbieter?

Retention, Löschtrigger, Backup-Fristen, DSAR-/Löschprozess.
Security/Legal · hoch

Welche Sicherheits-, Incident- und Breach-Fristen gelten vertraglich?

TOMs, Security-Kontakt, Meldefrist, Eskalationspfad, letzte Security-Nachweise.
Marketing/IT/Datenschutz · hoch

Ist der Anbieter in Consent, Cookie-Erklärung und Datenschutzhinweis synchron beschrieben?

CMP-Service, Cookie-Zweck, Datenschutzhinweis-Abschnitt, Re-Scan-Nachweis.

Lifecycle

Discovery, Assessment, Mitigation und Monitoring

laufend · IT/Marketing

Neue Anbieter aus SaferPage-Scan, Monitoring und Tag-Manager erfassen.

vor Freigabe · Legal/Vendor-Verantwortung

Rolle, AVV/DPA, TOMs, Transfer, Subprozessoren und Löschfristen bewerten.

0-30 Tage · Betreiber/IT

Nicht notwendige Anbieter blockieren, entfernen oder datensparsame Alternative einsetzen.

monatlich · Compliance/Legal

Policy-, Subprozessor-, Transfer- und Monitoring-Änderungen reviewen.