{ "schema": "https://saferpage.de/schemas/dpia-dsfa-record.v1", "generated_at": "2026-06-08T20:37:46+00:00", "domain": "ardaudiothek.de", "available": true, "scan": { "id": "df7185f9-63c4-41ce-abbb-a929807ab023", "checked_at": "2026-06-08 15:29:30.307928+02" }, "status": "threshold_pruefen", "decision": "Schwellenpruefung mit Datenschutz, Legal und Technik dokumentieren.", "priority": "niedrig", "risk_score": 36, "summary": "DSFA-Arbeitsakte fuer ardaudiothek.de: 2 DSFA-Trigger, 0 hohe Risikofaktoren, Risiko-Score 36/100.", "metrics": { "risk_factor_count": 10, "triggered_count": 2, "high_risk_count": 0, "safeguard_count": 6, "question_count": 5, "form_count": 0, "third_party_count": 5, "vendor_count": 5, "cookie_count": 3, "tracking_signal_count": 0 }, "processing_scope": { "purpose": "Website-Betrieb, Nutzerinteraktion, Consent, Analyse/Marketing oder weitere oeffentlich erkennbare Zwecke fachlich konkretisieren.", "data_categories": [], "systems": [ "Website/CMS", "Hosting/CDN", "CMP/Consent", "Tag Manager/Analytics soweit erkannt", "Formular-/Kommunikationssysteme soweit erkannt" ], "recipients": [ "Interne Website-/Marketing-/IT-Teams", "Hosting/CDN", "sichtbare Drittanbieter/Processor", "Support-/CRM-Systeme falls intern genutzt" ], "legal_basis_evidence": "9 Rechtsgrundlagenzeile(n) aus SaferPage-Artefakten." }, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "triggered": false, "weight": 16, "severity": "hoch", "evidence": "0 Formular(e), 0 Datenart(en).", "action": "Verarbeitungszweck, Pflichtfelder, Datenkategorien, Betroffene und Empfaenger je Eingabepunkt dokumentieren.", "owner": "Fachbereich/Datenschutz", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern" }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "triggered": false, "weight": 18, "severity": "hoch", "evidence": "0 relevante Domain(s) im Default-Zustand, Tracking-Signale 0, Fingerprinting 0.", "action": "Nicht erforderliche Tags bis zur Einwilligung blockieren; Ablehnen, Widerruf und GPC nachweisen.", "owner": "Marketing/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren" }, { "id": "third_party_processors", "label": "Drittanbieter, Processor und Serviceketten", "triggered": true, "weight": 10, "severity": "mittel", "evidence": "5 Vendor-Eintrag/Eintraege, 5 Drittanbieter-Signal(e).", "action": "Rolle, Zweck, AVV/DPA, TOMs, Subprozessoren und Loeschfristen je Anbieter pruefen.", "owner": "Legal/Vendor Owner", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "international_transfer", "label": "Drittland-/Transferpruefung", "triggered": false, "weight": 12, "severity": "mittel", "evidence": "Transfer hoch 0, unklar 0.", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und EU-Alternativen dokumentieren.", "owner": "Legal/Datenschutz", "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen" }, { "id": "form_context_gaps", "label": "Kontextluecken an Formularen oder Notice", "triggered": false, "weight": 12, "severity": "hoch", "evidence": "0 Formular-Kontextluecke(n), 0 Notice-Luecke(n).", "action": "Datenschutzhinweis, Cookie-Erklaerung und Zweckangaben direkt am Nutzerpfad nachziehen.", "owner": "Datenschutz/Content", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern" }, { "id": "pii_leakage", "label": "PII-, URL- oder Referrer-Leakage", "triggered": false, "weight": 12, "severity": "hoch", "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 0.", "action": "Personenbezogene Werte nicht in URL, Referrer, Logs oder Tracking-Requests offenlegen.", "owner": "Webentwicklung/IT", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden" }, { "id": "sensitive_context", "label": "Sensible Zielgruppe oder Nutzungskontext", "triggered": false, "weight": 8, "severity": "mittel", "evidence": "Website-Typ nicht erkannt.", "action": "Bei Gesundheit, Behoerde, Minderjaehrigen, Finanzen oder sensiblen Leistungen DSFA-Schwelle fachlich erhoeht pruefen.", "owner": "Datenschutz/Legal", "guide_url": "https://saferpage.de/assessment/ardaudiothek.de" }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "triggered": false, "weight": 6, "severity": "mittel", "evidence": "0 externe Embed-/Widget-Signal(e).", "action": "Karten, Videos, Captchas und Social Widgets per Zwei-Klick oder nach Consent laden.", "owner": "Content/Webentwicklung", "guide_url": "https://saferpage.de/guides/externe-inhalte-datenschutzfreundlich-einbinden" }, { "id": "gpc_or_optout_gap", "label": "GPC-/Opt-out-Luecke", "triggered": true, "weight": 6, "severity": "mittel", "evidence": "GPC-Test mit 1 datenschutzrelevanten Domain(s).", "action": "GPC/Opt-out-Signale respektieren und Consent-Status technisch nachweisen.", "owner": "Datenschutz/IT", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren" }, { "id": "ai_or_automation", "label": "KI-, Chatbot- oder automatisierte Entscheidungssignale", "triggered": false, "weight": 8, "severity": "mittel", "evidence": "0 KI-/Automationssignal(e).", "action": "Transparenz, Rechtsgrundlage, menschliche Pruefung und DSFA-Bezug je Use Case dokumentieren.", "owner": "Product/Datenschutz/Legal", "guide_url": "https://saferpage.de/ki/ardaudiothek.de" } ], "triggered_factors": [ { "id": "third_party_processors", "label": "Drittanbieter, Processor und Serviceketten", "triggered": true, "weight": 10, "severity": "mittel", "evidence": "5 Vendor-Eintrag/Eintraege, 5 Drittanbieter-Signal(e).", "action": "Rolle, Zweck, AVV/DPA, TOMs, Subprozessoren und Loeschfristen je Anbieter pruefen.", "owner": "Legal/Vendor Owner", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "gpc_or_optout_gap", "label": "GPC-/Opt-out-Luecke", "triggered": true, "weight": 6, "severity": "mittel", "evidence": "GPC-Test mit 1 datenschutzrelevanten Domain(s).", "action": "GPC/Opt-out-Signale respektieren und Consent-Status technisch nachweisen.", "owner": "Datenschutz/IT", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren" } ], "safeguards": [ { "id": "consent_gating", "label": "Consent-Gating und GPC", "status": "offen", "owner": "Marketing/IT", "action": "Nicht erforderliche Cookies, Tags, Embeds und Requests bis zur Einwilligung blockieren; Ablehnen und GPC nachweisen.", "linked_evidence": "/consent/ardaudiothek.de/nachweise" }, { "id": "data_minimization", "label": "Datenminimierung je Eingabepunkt", "status": "pruefen", "owner": "Fachbereich/Datenschutz", "action": "Pflichtfelder, Zwecke, Datenarten und Speicherfristen reduzieren und begruenden.", "linked_evidence": "/verarbeitungen/ardaudiothek.de" }, { "id": "vendor_transfer_controls", "label": "Vendor-, AVV- und Transferkontrollen", "status": "offen", "owner": "Legal/Vendor Owner", "action": "AVV/DPA, TOMs, SCC/TIA, Subprozessoren und Anbieterregionen pruefen.", "linked_evidence": "/anbieter/ardaudiothek.de/due-diligence" }, { "id": "retention_deletion", "label": "Loeschung und Aufbewahrung", "status": "offen", "owner": "Datenschutz/IT", "action": "Loeschfristen, Systeme, Backups und Betroffenenrechte mit Verarbeitungstaetigkeiten verbinden.", "linked_evidence": "/rechte/ardaudiothek.de" }, { "id": "security_privacy_by_design", "label": "Security und Privacy by Design", "status": "offen", "owner": "IT/Security", "action": "TLS, Security Header, Referrer-Policy, sichere Cookies, Logging und Re-Scan als Abnahmekriterien nutzen.", "linked_evidence": "/technik/ardaudiothek.de" }, { "id": "transparency_notice", "label": "Transparenz und Notice-Lifecycle", "status": "vorbereitet", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Erklaerung, Anbieterregister und Betroffenenrechte versioniert aktualisieren.", "linked_evidence": "/policies/ardaudiothek.de" } ], "assessment_questions": [ { "id": "scope", "question": "Welche Verarbeitung, Website-Aenderung oder Anbieter-Einbindung ist Gegenstand der DSFA?", "owner": "Website-Betrieb/Product", "status": "Betreiber ergaenzen", "evidence": "Scope und fachlicher Zweck sind intern festzulegen." }, { "id": "necessity", "question": "Ist die Verarbeitung fuer den Zweck erforderlich und verhaeltnismaessig?", "owner": "Fachbereich/Datenschutz", "status": "teilweise vorbefuellt", "evidence": "9 Rechtsgrundlagenzeile(n)." }, { "id": "data_subjects", "question": "Welche Betroffenengruppen, Datenarten und besonderen Kategorien sind betroffen?", "owner": "Datenschutz", "status": "offen", "evidence": "0 Datenart(en) aus Notice/Scan." }, { "id": "risk_to_people", "question": "Welche konkreten Risiken fuer Betroffene entstehen vor und nach Schutzmassnahmen?", "owner": "DSB/Legal", "status": "pruefen", "evidence": "2 ausgelöste Risikofaktor(en)." }, { "id": "consultation", "question": "Bleibt ein hohes Restrisiko, das Datenschutzaufsicht oder Managemententscheidung erfordert?", "owner": "DSB/Management", "status": "pruefen", "evidence": "Risiko-Score 36/100, hohe Faktoren 0." } ], "consultation_decision": { "status": "nach Massnahmen bewerten", "summary": "Vorherige Konsultation oder Management-Freigabe ist erst nach fachlicher Bewertung der Schutzmassnahmen entscheidbar.", "required_evidence": [ "DSFA-Entscheidung", "Risikomatrix vorher/nachher", "Schutzmassnahmen", "DSB-Stellungnahme", "Management-Freigabe", "Re-Scan" ] }, "operator_evidence_requests": [ { "label": "Interner Projekt-/Verarbeitungs-Scope", "owner": "Fachbereich/Product", "reason": "Oeffentlicher Scan kennt keine internen Zwecke und Systeme vollstaendig." }, { "label": "AVV/DPA, SCC/TIA und TOMs", "owner": "Legal/Vendor Owner", "reason": "Vertrags- und Transferakten sind nicht oeffentlich beweisbar." }, { "label": "DSB-Stellungnahme und Managemententscheidung", "owner": "DSB/Management", "reason": "Finale DSFA-Entscheidung und Restrisiko muessen intern freigegeben werden." }, { "label": "Umsetzungsnachweis und Re-Scan", "owner": "IT/Datenschutz", "reason": "Schutzmassnahmen brauchen technische Evidenz nach Umsetzung." } ], "links": { "dsfa_center": "https://saferpage.de/dsfa/ardaudiothek.de", "json": "https://saferpage.de/dsfa/ardaudiothek.de/export", "csv": "https://saferpage.de/dsfa/ardaudiothek.de/export-csv", "markdown": "https://saferpage.de/dsfa/ardaudiothek.de/record-md", "report": "https://saferpage.de/ardaudiothek.de", "assessment_queue": "https://saferpage.de/assessment/ardaudiothek.de", "risk_center": "https://saferpage.de/risiko/ardaudiothek.de", "processing_record": "https://saferpage.de/verarbeitungen/ardaudiothek.de", "vendor_due_diligence": "https://saferpage.de/anbieter/ardaudiothek.de/due-diligence", "consent_evidence": "https://saferpage.de/consent/ardaudiothek.de/nachweise", "policy_lifecycle": "https://saferpage.de/policies/ardaudiothek.de" }, "sources": [ { "title": "OneTrust Assessment Automation", "url": "https://www.onetrust.com/products/assessment-automation/", "note": "Orientierung fuer PIA/DPIA/TIA-Automation und PrivacyOps-Workflows." }, { "title": "Securiti Assessment Automation", "url": "https://securiti.ai/products/assessment-automation/", "note": "Orientierung fuer RoPA-, PIA- und DPIA-Automation." }, { "title": "TrustArc Assessment Manager", "url": "https://trustarc.com/products/privacy-data-governance/assessment-manager/", "note": "Orientierung fuer Template-Bibliotheken und risikobasierte Assessments." } ], "disclaimer": "Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete DSFA-Arbeitsakte. Sie ersetzt keine rechtliche Bewertung, keine DSB-Stellungnahme und keine finale Betreiberentscheidung." }