# Data Discovery und Klassifizierung fuer ardaudiothek.de

Data-Discovery-/Classification-Readiness 65/100; 7/11 Kontrollpunkt(e) erfuellt, 4 Luecke(n) oder Betreiber-Nachweise offen.

> Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete Discovery- und Klassifizierungsmatrix. Echte Field-Level-Discovery in internen Datenbanken, SaaS-Systemen und Cloud Stores muss der Betreiber freigeben und anbinden.

## Datenklassen
- **Kontakt- und Identifikationsdaten** (mittel): Formulare 0, PII-Funde 0. Beispiele: Name, E-Mail, Telefon, Kundennummer, Account-ID
- **Online-Identifier und Trackingdaten** (hoch): Cookies 3, Storage-Hinweise 0. Beispiele: Cookie-ID, LocalStorage-Key, IP-/Device-/Analytics-Identifier
- **Kommunikations-, Support- und Transaktionsdaten** (mittel): Datenarten 0, Verarbeitungstaetigkeiten 3. Beispiele: Kontaktanfrage, Newsletter, Supportfall, Bestellung, Logdaten
- **Sensible oder besonders schuetzenswerte Daten** (pruefen): 0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.. Beispiele: Gesundheit, Finanzdaten, Minderjaehrige, Ausweis-/ID-Daten, Bewerbungsdaten
- **Mit Anbietern geteilte Daten** (hoch): Vendor Count 5, Datenfluss-Kanten 30. Beispiele: Tracking-, CRM-, Hosting-, CDN-, Support- und Zahlungsdaten

## Quellen
- Website-Formulare und Eingabepunkte: nicht erkannt. Feldnamen, Pflichtfelder, Zweck und Speicherfrist je Formular erfassen.
- Cookies, Storage und Browser-Requests: vorhanden. Identifier und Trackingzwecke gegen Consent/Notice klassifizieren.
- Gecrawlte Seiten und Nutzerpfade: aufbauen. Formular-, Datenschutz-, Checkout- und Tracking-Seiten priorisiert wiederholen.
- RoPA und Data Map: vorhanden. Systeme, Empfaenger und Datenklassen je Verarbeitung verknuepfen.
- Vendor Register und Drittanbieter-Matrix: vorhanden. Vendor-Datenkategorien, Transfer und Subprozessoren klassifizieren.

## Klassifizierungsregeln
- E-Mail, Telefon, Kontaktfelder => Kontakt-/Identifikationsdaten (mittel)
- Cookie-/Storage-/Analytics-Identifier => Online-Identifier/Tracking (hoch)
- PII in URL, Query oder Referrer => Datenleck / sensitive Uebermittlung (hoch)
- Drittanbieter- und Transferdaten => Empfaenger-/Transferdaten (hoch)
- Freitextfelder, Support- und Nachrichtentexte => Unstrukturierte personenbezogene Daten (mittel)

## Betreiberaufgaben
- [ ] Datenarten aus Formularen, Tracking, Cookies, Accounts, Support und Vendor-Fluessen zentral klassifizieren.
- [ ] Data Discovery als Suchmanifest fuer Auskunft, Loeschung, Widerspruch, Portabilitaet und Vendor-Tasking nutzen.
- [ ] Retention Schedule, Loeschtrigger, Legal Hold und Vendor-Loeschung je Datenklasse ableiten.
- [ ] CRM, DWH, Support, Marketing, Payment, Cloud Storage, Logsysteme und Datenbanken als interne Connectoren anbinden.