# Data Discovery und Klassifizierung fuer anrufer.info

Data-Discovery-/Classification-Readiness 22/100; 2/11 Kontrollpunkt(e) erfuellt, 9 Luecke(n) oder Betreiber-Nachweise offen.

> Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete Discovery- und Klassifizierungsmatrix. Echte Field-Level-Discovery in internen Datenbanken, SaaS-Systemen und Cloud Stores muss der Betreiber freigeben und anbinden.

## Datenklassen
- **Kontakt- und Identifikationsdaten** (mittel): Formulare 1, PII-Funde 0. Beispiele: Name, E-Mail, Telefon, Kundennummer, Account-ID
- **Online-Identifier und Trackingdaten** (pruefen): Cookies 0, Storage-Hinweise 0. Beispiele: Cookie-ID, LocalStorage-Key, IP-/Device-/Analytics-Identifier
- **Kommunikations-, Support- und Transaktionsdaten** (mittel): Datenarten 0, Verarbeitungstaetigkeiten 0. Beispiele: Kontaktanfrage, Newsletter, Supportfall, Bestellung, Logdaten
- **Sensible oder besonders schuetzenswerte Daten** (pruefen): PII-/Sensitive-Signale fachlich pruefen.. Beispiele: Gesundheit, Finanzdaten, Minderjaehrige, Ausweis-/ID-Daten, Bewerbungsdaten
- **Mit Anbietern geteilte Daten** (pruefen): Vendor Count 0, Datenfluss-Kanten 0. Beispiele: Tracking-, CRM-, Hosting-, CDN-, Support- und Zahlungsdaten

## Quellen
- Website-Formulare und Eingabepunkte: vorhanden. Feldnamen, Pflichtfelder, Zweck und Speicherfrist je Formular erfassen.
- Cookies, Storage und Browser-Requests: gering. Identifier und Trackingzwecke gegen Consent/Notice klassifizieren.
- Gecrawlte Seiten und Nutzerpfade: vorhanden. Formular-, Datenschutz-, Checkout- und Tracking-Seiten priorisiert wiederholen.
- RoPA und Data Map: aufbauen. Systeme, Empfaenger und Datenklassen je Verarbeitung verknuepfen.
- Vendor Register und Drittanbieter-Matrix: aufbauen. Vendor-Datenkategorien, Transfer und Subprozessoren klassifizieren.

## Klassifizierungsregeln
- E-Mail, Telefon, Kontaktfelder => Kontakt-/Identifikationsdaten (mittel)
- Cookie-/Storage-/Analytics-Identifier => Online-Identifier/Tracking (hoch)
- PII in URL, Query oder Referrer => Datenleck / sensitive Uebermittlung (hoch)
- Drittanbieter- und Transferdaten => Empfaenger-/Transferdaten (hoch)
- Freitextfelder, Support- und Nachrichtentexte => Unstrukturierte personenbezogene Daten (mittel)

## Betreiberaufgaben
- [ ] E-Mail, Telefon, IDs, Gesundheits-/Finanz-/Kinder-/Profiling-Signale und URL-Leaks als sensitive Datenrisiken priorisieren.
- [ ] Quelle, Empfaenger, System, Vendor, Transfer, Speicherort und Loeschtrigger je Datenfluss pflegen.
- [ ] Klassifizierte Datenarten mit RoPA, Zweck, Rechtsgrundlage, Empfaenger, Speicherfrist und TOMs verbinden.
- [ ] Vendor-Datenkategorien, Tracking-/Support-/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.
- [ ] Data Discovery als Suchmanifest fuer Auskunft, Loeschung, Widerspruch, Portabilitaet und Vendor-Tasking nutzen.
- [ ] PIA/DPIA/TIA/Vendor/AI-Fragen mit Datenklassen, Systemen, Empfaengern und Risiken automatisch vorbefuellen.