{ "schema": "https://saferpage.de/schemas/dpia-dsfa-record.v1", "generated_at": "2026-06-24T22:46:04+00:00", "domain": "fzk.uni-hannover.de", "available": true, "scan": { "id": "300713ec-fdc2-4423-b9f3-d4d6e8025a93", "checked_at": "2026-06-23 11:44:02.176902+02" }, "status": "threshold_pruefen", "decision": "Schwellenprüfung mit Datenschutz, Legal und Technik dokumentieren.", "priority": "niedrig", "risk_score": 26, "summary": "DSFA-Arbeitsakte für fzk.uni-hannover.de: 2 DSFA-Trigger, 1 hohe Risikofaktoren, Risiko-Score 26/100.", "metrics": { "risk_factor_count": 10, "triggered_count": 2, "high_risk_count": 1, "safeguard_count": 6, "question_count": 5, "form_count": 4, "third_party_count": 1, "vendor_count": 1, "cookie_count": 0, "tracking_signal_count": 0 }, "processing_scope": { "purpose": "Website-Betrieb, Nutzerinteraktion, Consent, Analyse/Marketing oder weitere öffentlich erkennbare Zwecke fachlich konkretisieren.", "data_categories": [ "Kontaktformular" ], "systems": [ "Website/CMS", "Hosting/CDN", "CMP/Consent", "Tag Manager/Analytics soweit erkannt", "Formular-/Kommunikationssysteme soweit erkannt" ], "recipients": [ "Interne Website-/Marketing-/IT-Teams", "Hosting/CDN", "sichtbare Drittanbieter/Processor", "Support-/CRM-Systeme falls intern genutzt" ], "legal_basis_evidence": "3 Rechtsgrundlagenzeile(n) aus SaferPage-Artefakten." }, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "triggered": true, "weight": 16, "severity": "hoch", "evidence": "4 Formular(e), 1 Datenart(en).", "action": "Verarbeitungszweck, Pflichtfelder, Datenkategorien, Betroffene und Empfänger je Eingabepunkt dokumentieren.", "owner": "Fachbereich/Datenschutz", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern" }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "triggered": false, "weight": 18, "severity": "hoch", "evidence": "0 relevante Domain(s) im Default-Zustand, Tracking-Signale 0, Fingerprinting 0.", "action": "Nicht erforderliche Tags bis zur Einwilligung blockieren; Ablehnen, Widerruf und GPC nachweisen.", "owner": "Marketing/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren" }, { "id": "third_party_processors", "label": "Drittanbieter, Processor und Serviceketten", "triggered": true, "weight": 10, "severity": "mittel", "evidence": "1 Vendor-Eintrag/Einträge, 1 Drittanbieter-Signal(e).", "action": "Rolle, Zweck, AVV/DPA, TOMs, Subprozessoren und Löschfristen je Anbieter prüfen.", "owner": "Legal/Vendor-Verantwortung", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "international_transfer", "label": "Drittland-/Transferprüfung", "triggered": false, "weight": 12, "severity": "mittel", "evidence": "Transfer hoch 0, unklar 0.", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und EU-Alternativen dokumentieren.", "owner": "Legal/Datenschutz", "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen" }, { "id": "form_context_gaps", "label": "Kontextlücken an Formularen oder Notice", "triggered": false, "weight": 12, "severity": "hoch", "evidence": "0 Formular-Kontextlücke(n), 0 Notice-Lücke(n).", "action": "Datenschutzhinweis, Cookie-Erklärung und Zweckangaben direkt am Nutzerpfad nachziehen.", "owner": "Datenschutz/Content", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern" }, { "id": "pii_leakage", "label": "PII-, URL- oder Referrer-Leakage", "triggered": false, "weight": 12, "severity": "hoch", "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 0.", "action": "Personenbezogene Werte nicht in URL, Referrer, Logs oder Tracking-Requests offenlegen.", "owner": "Webentwicklung/IT", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden" }, { "id": "sensitive_context", "label": "Sensible Zielgruppe oder Nutzungskontext", "triggered": false, "weight": 8, "severity": "mittel", "evidence": "Website-Typ nicht erkannt.", "action": "Bei Gesundheit, Behörde, Minderjährigen, Finanzen oder sensiblen Leistungen DSFA-Schwelle fachlich erhöht prüfen.", "owner": "Datenschutz/Legal", "guide_url": "https://saferpage.de/assessment/fzk.uni-hannover.de" }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "triggered": false, "weight": 6, "severity": "mittel", "evidence": "0 externe Embed-/Widget-Signal(e).", "action": "Karten, Videos, Captchas und Social Widgets per Zwei-Klick oder nach Consent laden.", "owner": "Content/Webentwicklung", "guide_url": "https://saferpage.de/guides/externe-inhalte-datenschutzfreundlich-einbinden" }, { "id": "gpc_or_optout_gap", "label": "GPC-/Opt-out-Lücke", "triggered": false, "weight": 6, "severity": "mittel", "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).", "action": "GPC/Opt-out-Signale respektieren und Consent-Status technisch nachweisen.", "owner": "Datenschutz/IT", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren" }, { "id": "ai_or_automation", "label": "KI-, Chatbot- oder automatisierte Entscheidungssignale", "triggered": false, "weight": 8, "severity": "mittel", "evidence": "0 KI-/Automationssignal(e).", "action": "Transparenz, Rechtsgrundlage, menschliche Prüfung und DSFA-Bezug je Use Case dokumentieren.", "owner": "Product/Datenschutz/Legal", "guide_url": "https://saferpage.de/ki/fzk.uni-hannover.de" } ], "triggered_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "triggered": true, "weight": 16, "severity": "hoch", "evidence": "4 Formular(e), 1 Datenart(en).", "action": "Verarbeitungszweck, Pflichtfelder, Datenkategorien, Betroffene und Empfänger je Eingabepunkt dokumentieren.", "owner": "Fachbereich/Datenschutz", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern" }, { "id": "third_party_processors", "label": "Drittanbieter, Processor und Serviceketten", "triggered": true, "weight": 10, "severity": "mittel", "evidence": "1 Vendor-Eintrag/Einträge, 1 Drittanbieter-Signal(e).", "action": "Rolle, Zweck, AVV/DPA, TOMs, Subprozessoren und Löschfristen je Anbieter prüfen.", "owner": "Legal/Vendor-Verantwortung", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren" } ], "safeguards": [ { "id": "consent_gating", "label": "Consent-Gating und GPC", "status": "prüfen", "owner": "Marketing/IT", "action": "Nicht erforderliche Cookies, Tags, Embeds und Requests bis zur Einwilligung blockieren; Ablehnen und GPC nachweisen.", "linked_evidence": "/consent/fzk.uni-hannover.de/nachweise" }, { "id": "data_minimization", "label": "Datenminimierung je Eingabepunkt", "status": "offen", "owner": "Fachbereich/Datenschutz", "action": "Pflichtfelder, Zwecke, Datenarten und Speicherfristen reduzieren und begründen.", "linked_evidence": "/verarbeitungen/fzk.uni-hannover.de" }, { "id": "vendor_transfer_controls", "label": "Vendor-, AVV- und Transferkontrollen", "status": "offen", "owner": "Legal/Vendor-Verantwortung", "action": "AVV/DPA, TOMs, SCC/TIA, Subprozessoren und Anbieterregionen prüfen.", "linked_evidence": "/anbieter/fzk.uni-hannover.de/due-diligence" }, { "id": "retention_deletion", "label": "Löschung und Aufbewahrung", "status": "vorbereitet", "owner": "Datenschutz/IT", "action": "Löschfristen, Systeme, Backups und Betroffenenrechte mit Verarbeitungstätigkeiten verbinden.", "linked_evidence": "/rechte/fzk.uni-hannover.de" }, { "id": "security_privacy_by_design", "label": "Security und Privacy by Design", "status": "offen", "owner": "IT/Security", "action": "TLS, Security Header, Referrer-Policy, sichere Cookies, Logging und Re-Scan als Abnahmekriterien nutzen.", "linked_evidence": "/technik/fzk.uni-hannover.de" }, { "id": "transparency_notice", "label": "Transparenz und Notice-Lifecycle", "status": "vorbereitet", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und Betroffenenrechte versioniert aktualisieren.", "linked_evidence": "/policies/fzk.uni-hannover.de" } ], "assessment_questions": [ { "id": "scope", "question": "Welche Verarbeitung, Website-Änderung oder Anbieter-Einbindung ist Gegenstand der DSFA?", "owner": "Website-Betrieb/Product", "status": "Betreiber ergänzen", "evidence": "Scope und fachlicher Zweck sind intern festzulegen." }, { "id": "necessity", "question": "Ist die Verarbeitung für den Zweck erforderlich und verhaeltnismaessig?", "owner": "Fachbereich/Datenschutz", "status": "teilweise vorbefuellt", "evidence": "3 Rechtsgrundlagenzeile(n)." }, { "id": "data_subjects", "question": "Welche Betroffenengruppen, Datenarten und besonderen Kategorien sind betroffen?", "owner": "Datenschutz", "status": "teilweise vorbefuellt", "evidence": "1 Datenart(en) aus Notice/Scan." }, { "id": "risk_to_people", "question": "Welche konkreten Risiken für Betroffene entstehen vor und nach Schutzmaßnahmen?", "owner": "DSB/Legal", "status": "prüfen", "evidence": "2 ausgelöste Risikofaktor(en)." }, { "id": "consultation", "question": "Bleibt ein hohes Restrisiko, das Datenschutzaufsicht oder Managemententscheidung erfordert?", "owner": "DSB/Management", "status": "prüfen", "evidence": "Risiko-Score 26/100, hohe Faktoren 1." } ], "consultation_decision": { "status": "nach Maßnahmen bewerten", "summary": "Vorherige Konsultation oder Management-Freigabe ist erst nach fachlicher Bewertung der Schutzmaßnahmen entscheidbar.", "required_evidence": [ "DSFA-Entscheidung", "Risikomatrix vorher/nachher", "Schutzmaßnahmen", "DSB-Stellungnahme", "Management-Freigabe", "Re-Scan" ] }, "operator_evidence_requests": [ { "label": "Interner Projekt-/Verarbeitungs-Scope", "owner": "Fachbereich/Product", "reason": "Öffentlicher Scan kennt keine internen Zwecke und Systeme vollständig." }, { "label": "AVV/DPA, SCC/TIA und TOMs", "owner": "Legal/Vendor-Verantwortung", "reason": "Vertrags- und Transferakten sind nicht öffentlich beweisbar." }, { "label": "DSB-Stellungnahme und Managemententscheidung", "owner": "DSB/Management", "reason": "Finale DSFA-Entscheidung und Restrisiko müssen intern freigegeben werden." }, { "label": "Umsetzungsnachweis und Re-Scan", "owner": "IT/Datenschutz", "reason": "Schutzmaßnahmen brauchen technische Evidenz nach Umsetzung." } ], "privacyops_boundary": { "scan_evidence_only": "Die DSFA-Arbeitsakte nutzt nur öffentliche SaferPage-Scan-Evidence und daraus abgeleitete Risikosignale.", "operator_context_required": "Interne Zwecke, Verträge, TOMs, DSB-Stellungnahmen, Managementfreigaben und Restrisikoentscheidungen müssen Betreiber selbst ergänzen.", "not_legal_advice": "Die Seite ist keine Rechtsberatung, keine DSB-Stellungnahme, keine Zertifizierung und keine automatische DSFA-Pflichtfeststellung.", "report_boundary": "Öffentliche Testresult-Seiten bleiben faktenorientiert; DSFA-Hintergrundseiten und Betreiberakten sind ausgelagerte Betreiber-Workflows." }, "privacyops_comparison": { "positioning": "Öffentliche Betreiber-Arbeitsakte für DSFA-/DPIA-Schwellenprüfung, Risk Register, RoPA, Vendor/TIA und Re-Scan-Nachweise.", "claim_boundary": "SaferPage behauptet keine vollständige PrivacyOps-Suite und keine produktive DSB-/Legal-Freigabe; Assessment Automation bleibt evidence-first und operator-reviewed.", "competitor_patterns": [ "Assessment Automation", "DPIA/PIA/TIA Workflow", "Template-Bibliothek", "Risk-based Assessment Queue" ], "public_evidence_links": [ "https://saferpage.de/vergleich", "https://saferpage.de/marktumfeld", "https://saferpage.de/evidence-hub", "https://saferpage.de/assessment/fzk.uni-hannover.de", "https://saferpage.de/risiko/fzk.uni-hannover.de" ] }, "links": { "dsfa_center": "https://saferpage.de/dsfa/fzk.uni-hannover.de", "json": "https://saferpage.de/dsfa/fzk.uni-hannover.de/export", "csv": "https://saferpage.de/dsfa/fzk.uni-hannover.de/export-csv", "markdown": "https://saferpage.de/dsfa/fzk.uni-hannover.de/record-md", "report": "https://saferpage.de/fzk.uni-hannover.de", "assessment_queue": "https://saferpage.de/assessment/fzk.uni-hannover.de", "risk_center": "https://saferpage.de/risiko/fzk.uni-hannover.de", "processing_record": "https://saferpage.de/verarbeitungen/fzk.uni-hannover.de", "vendor_due_diligence": "https://saferpage.de/anbieter/fzk.uni-hannover.de/due-diligence", "consent_evidence": "https://saferpage.de/consent/fzk.uni-hannover.de/nachweise", "policy_lifecycle": "https://saferpage.de/policies/fzk.uni-hannover.de" }, "sources": [ { "title": "OneTrust Assessment Automation", "url": "https://www.onetrust.com/products/assessment-automation/", "note": "Orientierung für PIA/DPIA/TIA-Automation und PrivacyOps-Workflows." }, { "title": "Securiti Assessment Automation", "url": "https://securiti.ai/products/assessment-automation/", "note": "Orientierung für RoPA-, PIA- und DPIA-Automation." }, { "title": "TrustArc Assessment Manager", "url": "https://trustarc.com/products/privacy-data-governance/assessment-manager/", "note": "Orientierung für Template-Bibliotheken und risikobasierte Assessments." } ], "disclaimer": "Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete DSFA-Arbeitsakte. Sie ersetzt keine rechtliche Bewertung, keine DSB-Stellungnahme und keine finale Betreiberentscheidung." }