Risk Register / DPIA

Risiko- & DSFA-Center für aop.uni-wuppertal.de

aop.uni-wuppertal.de Risiko-/DSFA-Center: 14 Risikozeile(n), 0 kritisch, 2 hoch/kritisch, DSFA prüfen.

Automatisch aus SaferPage-Befunden und öffentlicher Website-Evidenz abgeleitet. Risikoakzeptanz, Rechtsbewertung und finale DSFA-/DPIA-Entscheidung müssen Betreiber fachlich dokumentieren.

56 Risiken einplanen
14Risiken 0kritisch 2hoch/kritisch 0DSFA-Trigger 2RoPA-Aktivitäten 4Datenflüsse 60Retention 2026-07-15 07:10:46.974153+02letzter Check

Privacy Risk Register

Welche Risiken Management-Entscheidungen brauchen

Methodik
Beacon-/Keepalive-Telemetrie erkannt Beacon-/Telemetry-Tracking · hoch · Score 82 · Zielzeit 7 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

sendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Langlebige Tracking-/Marketing-Cookies Cookie-Laufzeit · hoch · Score 82 · Zielzeit 7 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Tracking-/Marketing-Cookies mit langer Laufzeit begrenzen und Consent prüfen.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
HSTS fehlt BSI/Security-Header · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

HSTS nach stabilem HTTPS aktivieren.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Content-Security-Policy fehlt BSI/Security-Header · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Content-Security-Policy schrittweise einführen.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
X-Frame-Options fehlt BSI/Security-Header · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Clickjacking-Schutz per Header setzen.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Bilder ohne Alternativtext Barrierefreiheit/Usability · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Bilder brauchen verständliche Alternativtexte oder dekorative Kennzeichnung.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Referrer-Policy fehlt BSI/Security-Header · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Referrer-Policy setzen, damit Drittseiten keine unnötigen Pfad- oder Query-Informationen erhalten.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Permissions-Policy fehlt BSI/Security-Header · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.
Verantwortlich
Programm-Verantwortung/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Technische Basis Prüfmodul · mittel · Score 48 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Kritische Transport- und Header-Hinweise zuerst beheben.
Verantwortlich
Betreiber/IT/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Erstaufruf & Datenschutz Prüfmodul · mittel · Score 40 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Drittanbieter und Cookies gegen Consent und Datenschutzhinweise prüfen.
Verantwortlich
Betreiber/IT/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Performance & Barrierefreiheit Prüfmodul · niedrig · Score 25 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Langsame oder unzugängliche Elemente gezielt nachprüfen.
Verantwortlich
Betreiber/IT/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Langlebige Tracking-/Marketing-Cookies privacy · mittel · Score 58 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Cookies wie _pk_id.69.5fd6 auf kurze Laufzeiten begrenzen, erst nach Einwilligung setzen und Speicherdauer konkret erklären.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Beacon-/Keepalive-Telemetrie erkannt privacy · niedrig · Score 35 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen
Bilder ohne Alternativtext accessibility · niedrig · Score 35 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Besucher und Betreiber erhöhen.

Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
SaferPage
Hintergrundseite öffnen

DSFA / DPIA

Ob eine Datenschutz-Folgenabschätzung fachlich geprüft werden sollte

StatusDSFA prüfen

Threshold Assessment dokumentieren und bei Änderungen erneut prüfen.

Risikofaktoren0

DSFA-/DPIA-Fallback: 0 Risikofaktor(en) aus öffentlicher Website-Evidenz ausgelöst.

Hohe Faktoren0

Tracking, Profiling, sensible Daten, Drittanbieter und Datenflüsse fachlich bewerten.

Tracking, Consent oder Drittanbieter nicht ausgelöst · hoch

Erstaufruf und sichtbare Banner-Controls geprüft; Klickzustände werden nur im großen Scan getestet.

Drittanbieter und Transferfragen nicht ausgelöst · mittel

Anbieterregister prüfen.

Formulare oder Dateneingaben nicht ausgelöst · mittel

Keine Formular- oder Zahlungsabfrage im passiven Startseiten-Sample erkannt.

RoPA / Verzeichnis

Welche Verarbeitungstätigkeiten ableitbar sind

Website-Betrieb und Sicherheitslogs mittel

Auslieferung, Sicherheit, Missbrauchsschutz und Fehleranalyse.

IT/Webbetrieb · Berechtigtes Interesse oder Vertrag prüfen.
Cookies, Consent und Nutzungsanalyse hoch

Consent-Verwaltung, Statistik, Marketing oder Komfortfunktionen.

Marketing/Datenschutz · Einwilligung oder technische Erforderlichkeit je Zweck dokumentieren.

Data Map

Welche Datenflüsse und Empfänger sichtbar sind

Website-Besucher → aop.uni-wuppertal.de niedrig · Request-Metadaten, IP-Adresse, Geräteinformationen

Sonstige

Website-Besucher → assets.uni-wuppertal.de niedrig · Request-Metadaten, IP-Adresse, Geräteinformationen

Sonstige

Website-Besucher → buwal.uni-wuppertal.de niedrig · Request-Metadaten, IP-Adresse, Geräteinformationen

Sonstige

Website-Besucher → wiwi.uni-wuppertal.de niedrig · Request-Metadaten, IP-Adresse, Geräteinformationen

Sonstige

Retention / Löschung

Welche Lösch- und Speicherfristen Betreiber belegen müssen

Retention-Hintergrund
Cookies, LocalStorage und SessionStorage Marketing/IT

Session bis 13 Monate je Zweck prüfen

Ablauf, Widerruf, Zweckende, technische Bereinigung
Kontakt-, Formular- und Nutzungsdaten Fachbereich/Datenschutz

Zweckende plus notwendige Nachweis-/Verjährungsfrist

Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage
Cookie-/Storage-Laufzeiten bewertet teilweise · Marketing/IT

2 Cookie-/Storage-Signal(e).

Dateninventar mit Löschfristen aufbauen · Datenschutz/IT

2 Verarbeitungstätigkeit(en), 4 Datenfluss-Kante(n).

Backups, Legal Hold und Ausnahmen Betreiber-Nachweis · Legal/IT

Aus öffentlichem Scan nicht beweisbar.

Offene Entscheidungen

Welche Betreiber-Nachweise intern ergänzt werden müssen

Welche internen Systeme, Tabellen, Mailboxen oder CRM-Ziele gehören zu jeder Verarbeitung? IT/Fachbereich

Systemliste je Verarbeitung mit Verantwortlichkeit und Löschfrist.

Welche finale Rechtsgrundlage und Speicherfrist gilt je Zweck? Datenschutz/Legal

RoPA-Freigabe, Rechtsgrundlagenmatrix und Retention-Matrix.

Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map? IT/Fachbereich

System- und Datenflussliste mit Verantwortlichkeit, Zweck und Löschfrist.

Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage? Datenschutz/Legal

Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis.

Werden Tracking, Profiling, Werbung oder umfangreiche Drittanbieter vor Einwilligung ausgelöst? Datenschutz/Marketing

prüfen

Welche Datenarten, Empfänger, Rechtsgrundlagen und Löschfristen sind je Verarbeitung dokumentiert? Datenschutz/IT

prüfen

Welche technischen und organisatorischen Schutzmaßnahmen senken das Restrisiko? IT/Security

prüfen