# DSFA-Arbeitsakte fuer kenn-dein-limit.de

DSFA-Arbeitsakte fuer kenn-dein-limit.de: 1 DSFA-Trigger, 1 hohe Risikofaktoren, Risiko-Score 31/100.

**Entscheidung:** Schwellenpruefung mit Datenschutz, Legal und Technik dokumentieren.

> Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete DSFA-Arbeitsakte. Sie ersetzt keine rechtliche Bewertung, keine DSB-Stellungnahme und keine finale Betreiberentscheidung.

## Risikofaktoren
- **Personenbezogene Dateneingabe**: trifft zu, hoch. 2 Formular(e), 2 Datenart(en).
- **Tracking, Profiling oder Consent-Zustandsrisiken**: nicht erkannt, hoch. 0 relevante Domain(s) im Default-Zustand, Tracking-Signale 0, Fingerprinting 0.
- **Drittanbieter, Processor und Serviceketten**: nicht erkannt, mittel. 0 Vendor-Eintrag/Eintraege, 0 Drittanbieter-Signal(e).
- **Drittland-/Transferpruefung**: nicht erkannt, mittel. Transfer hoch 0, unklar 0.
- **Kontextluecken an Formularen oder Notice**: nicht erkannt, hoch. 0 Formular-Kontextluecke(n), 0 Notice-Luecke(n).
- **PII-, URL- oder Referrer-Leakage**: nicht erkannt, hoch. PII-Risiko unklar, Referrer-betroffene Domains 0.
- **Sensible Zielgruppe oder Nutzungskontext**: nicht erkannt, mittel. Website-Typ nicht erkannt.
- **Externe Inhalte vor Einwilligung**: nicht erkannt, mittel. 0 externe Embed-/Widget-Signal(e).
- **GPC-/Opt-out-Luecke**: nicht erkannt, mittel. GPC-Test mit 0 datenschutzrelevanten Domain(s).
- **KI-, Chatbot- oder automatisierte Entscheidungssignale**: nicht erkannt, mittel. 0 KI-/Automationssignal(e).

## Schutzmassnahmen
- [ ] Consent-Gating und GPC (pruefen, Marketing/IT): Nicht erforderliche Cookies, Tags, Embeds und Requests bis zur Einwilligung blockieren; Ablehnen und GPC nachweisen.
- [ ] Datenminimierung je Eingabepunkt (offen, Fachbereich/Datenschutz): Pflichtfelder, Zwecke, Datenarten und Speicherfristen reduzieren und begruenden.
- [ ] Vendor-, AVV- und Transferkontrollen (pruefen, Legal/Vendor Owner): AVV/DPA, TOMs, SCC/TIA, Subprozessoren und Anbieterregionen pruefen.
- [ ] Loeschung und Aufbewahrung (vorbereitet, Datenschutz/IT): Loeschfristen, Systeme, Backups und Betroffenenrechte mit Verarbeitungstaetigkeiten verbinden.
- [ ] Security und Privacy by Design (offen, IT/Security): TLS, Security Header, Referrer-Policy, sichere Cookies, Logging und Re-Scan als Abnahmekriterien nutzen.
- [ ] Transparenz und Notice-Lifecycle (vorbereitet, Datenschutz/Content): Datenschutzhinweis, Cookie-Erklaerung, Anbieterregister und Betroffenenrechte versioniert aktualisieren.

## Assessment-Fragen
- [ ] Welche Verarbeitung, Website-Aenderung oder Anbieter-Einbindung ist Gegenstand der DSFA? Owner: Website-Betrieb/Product. Evidenz: Scope und fachlicher Zweck sind intern festzulegen.
- [ ] Ist die Verarbeitung fuer den Zweck erforderlich und verhaeltnismaessig? Owner: Fachbereich/Datenschutz. Evidenz: 3 Rechtsgrundlagenzeile(n).
- [ ] Welche Betroffenengruppen, Datenarten und besonderen Kategorien sind betroffen? Owner: Datenschutz. Evidenz: 2 Datenart(en) aus Notice/Scan.
- [ ] Welche konkreten Risiken fuer Betroffene entstehen vor und nach Schutzmassnahmen? Owner: DSB/Legal. Evidenz: 1 ausgelöste Risikofaktor(en).
- [ ] Bleibt ein hohes Restrisiko, das Datenschutzaufsicht oder Managemententscheidung erfordert? Owner: DSB/Management. Evidenz: Risiko-Score 31/100, hohe Faktoren 1.

## Betreiber-Nachweise
- Interner Projekt-/Verarbeitungs-Scope (Fachbereich/Product): Oeffentlicher Scan kennt keine internen Zwecke und Systeme vollstaendig.
- AVV/DPA, SCC/TIA und TOMs (Legal/Vendor Owner): Vertrags- und Transferakten sind nicht oeffentlich beweisbar.
- DSB-Stellungnahme und Managemententscheidung (DSB/Management): Finale DSFA-Entscheidung und Restrisiko muessen intern freigegeben werden.
- Umsetzungsnachweis und Re-Scan (IT/Datenschutz): Schutzmassnahmen brauchen technische Evidenz nach Umsetzung.