Datenschutz-Folgenabschaetzung / DPIA

bundeskanzler-helmut-kohl.de: DSFA-Entscheidung pruefbar vorbereiten

DSFA-Arbeitsakte fuer bundeskanzler-helmut-kohl.de: 1 DSFA-Trigger, 1 hohe Risikofaktoren, Risiko-Score 36/100.

Schwellenpruefung mit Datenschutz, Legal und Technik dokumentieren.
Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete DSFA-Arbeitsakte. Sie ersetzt keine rechtliche Bewertung, keine DSB-Stellungnahme und keine finale Betreiberentscheidung.

36 threshold_pruefen

JSON CSV Record MD Assessment Queue Risiko-Center Verarbeitungen Vendor Due Diligence Policy Lifecycle

36Risiko 1Trigger 1hoch 6Maßnahmen 5Fragen 0Drittanbieter 0Cookies

Schwellenentscheidung

Welche Risikofaktoren eine DSFA auslösen können

Arbeitsakte exportieren

Personenbezogene Dateneingabe trifft zu · hoch · Fachbereich/Datenschutz

3 Formular(e), 1 Datenart(en).

Verarbeitungszweck, Pflichtfelder, Datenkategorien, Betroffene und Empfaenger je Eingabepunkt dokumentieren.

Tracking, Profiling oder Consent-Zustandsrisiken nicht erkannt · hoch · Marketing/IT/Datenschutz

0 relevante Domain(s) im Default-Zustand, Tracking-Signale 0, Fingerprinting 0.

Nicht erforderliche Tags bis zur Einwilligung blockieren; Ablehnen, Widerruf und GPC nachweisen.

Drittanbieter, Processor und Serviceketten nicht erkannt · mittel · Legal/Vendor Owner

0 Vendor-Eintrag/Eintraege, 0 Drittanbieter-Signal(e).

Rolle, Zweck, AVV/DPA, TOMs, Subprozessoren und Loeschfristen je Anbieter pruefen.

Drittland-/Transferpruefung nicht erkannt · mittel · Legal/Datenschutz

Transfer hoch 0, unklar 0.

Transfergrundlage, SCC/TIA, Anbieterregion und EU-Alternativen dokumentieren.

Kontextluecken an Formularen oder Notice nicht erkannt · hoch · Datenschutz/Content

0 Formular-Kontextluecke(n), 0 Notice-Luecke(n).

Datenschutzhinweis, Cookie-Erklaerung und Zweckangaben direkt am Nutzerpfad nachziehen.

PII-, URL- oder Referrer-Leakage nicht erkannt · hoch · Webentwicklung/IT

PII-Risiko unklar, Referrer-betroffene Domains 0.

Personenbezogene Werte nicht in URL, Referrer, Logs oder Tracking-Requests offenlegen.

Sensible Zielgruppe oder Nutzungskontext nicht erkannt · mittel · Datenschutz/Legal

Website-Typ nicht erkannt.

Bei Gesundheit, Behoerde, Minderjaehrigen, Finanzen oder sensiblen Leistungen DSFA-Schwelle fachlich erhoeht pruefen.

Externe Inhalte vor Einwilligung nicht erkannt · mittel · Content/Webentwicklung

0 externe Embed-/Widget-Signal(e).

Karten, Videos, Captchas und Social Widgets per Zwei-Klick oder nach Consent laden.

GPC-/Opt-out-Luecke nicht erkannt · mittel · Datenschutz/IT

GPC-Test mit 0 datenschutzrelevanten Domain(s).

GPC/Opt-out-Signale respektieren und Consent-Status technisch nachweisen.

KI-, Chatbot- oder automatisierte Entscheidungssignale nicht erkannt · mittel · Product/Datenschutz/Legal

0 KI-/Automationssignal(e).

Transparenz, Rechtsgrundlage, menschliche Pruefung und DSFA-Bezug je Use Case dokumentieren.

Schutzmaßnahmen

Was vor einer Freigabe geschlossen oder begründet werden muss

Consent-Gating und GPC pruefen · Marketing/IT

Nicht erforderliche Cookies, Tags, Embeds und Requests bis zur Einwilligung blockieren; Ablehnen und GPC nachweisen.

Nachweis öffnen

Datenminimierung je Eingabepunkt offen · Fachbereich/Datenschutz

Pflichtfelder, Zwecke, Datenarten und Speicherfristen reduzieren und begruenden.

Nachweis öffnen

Vendor-, AVV- und Transferkontrollen pruefen · Legal/Vendor Owner

AVV/DPA, TOMs, SCC/TIA, Subprozessoren und Anbieterregionen pruefen.

Nachweis öffnen

Loeschung und Aufbewahrung vorbereitet · Datenschutz/IT

Loeschfristen, Systeme, Backups und Betroffenenrechte mit Verarbeitungstaetigkeiten verbinden.

Nachweis öffnen

Security und Privacy by Design offen · IT/Security

TLS, Security Header, Referrer-Policy, sichere Cookies, Logging und Re-Scan als Abnahmekriterien nutzen.

Nachweis öffnen

Transparenz und Notice-Lifecycle vorbereitet · Datenschutz/Content

Datenschutzhinweis, Cookie-Erklaerung, Anbieterregister und Betroffenenrechte versioniert aktualisieren.

Nachweis öffnen

Betreiberakte

Fragen, Nachweise und Restrisiko-Entscheidung

Website-Betrieb/Product Betreiber ergaenzen

Welche Verarbeitung, Website-Aenderung oder Anbieter-Einbindung ist Gegenstand der DSFA?

Scope und fachlicher Zweck sind intern festzulegen.

Fachbereich/Datenschutz teilweise vorbefuellt

Ist die Verarbeitung fuer den Zweck erforderlich und verhaeltnismaessig?

2 Rechtsgrundlagenzeile(n).

Datenschutz teilweise vorbefuellt

Welche Betroffenengruppen, Datenarten und besonderen Kategorien sind betroffen?

1 Datenart(en) aus Notice/Scan.

DSB/Legal pruefen

Welche konkreten Risiken fuer Betroffene entstehen vor und nach Schutzmassnahmen?

1 ausgelöste Risikofaktor(en).

DSB/Management pruefen

Bleibt ein hohes Restrisiko, das Datenschutzaufsicht oder Managemententscheidung erfordert?

Risiko-Score 36/100, hohe Faktoren 1.

Interner Projekt-/Verarbeitungs-Scope Fachbereich/Product

Oeffentlicher Scan kennt keine internen Zwecke und Systeme vollstaendig.

AVV/DPA, SCC/TIA und TOMs Legal/Vendor Owner

Vertrags- und Transferakten sind nicht oeffentlich beweisbar.

DSB-Stellungnahme und Managemententscheidung DSB/Management

Finale DSFA-Entscheidung und Restrisiko muessen intern freigegeben werden.

Umsetzungsnachweis und Re-Scan IT/Datenschutz

Schutzmassnahmen brauchen technische Evidenz nach Umsetzung.