{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-27T16:20:13+00:00", "domain": "barcawelt.de", "scan": { "id": "d37ec286-44fb-48a8-af02-5549717b121b", "checked_at": "2026-06-27 13:05:29.713403+02" }, "summary": "barcawelt.de Risiko-/DSFA-Center: 18 Risikozeile(n), 3 kritisch, 11 hoch/kritisch, dpia_empfohlen.", "status": "kritisch", "risk_score": 87, "metrics": { "risk_count": 18, "critical_count": 3, "high_count": 11, "risk_score": 87, "dpia_triggers": 6, "activities": 4, "flow_edges": 106, "retention_score": 92 }, "links": { "report": "https://saferpage.de/barcawelt.de", "risk_center": "https://saferpage.de/risiko/barcawelt.de", "json": "https://saferpage.de/risiko/barcawelt.de/export", "csv": "https://saferpage.de/risiko/barcawelt.de/export-csv", "operator_board": "https://saferpage.de/betreiber/barcawelt.de", "evidence_markdown": "https://saferpage.de/betreiber/barcawelt.de", "trust_center": "https://saferpage.de/trust/barcawelt.de", "vendor_register": "https://saferpage.de/anbieter/barcawelt.de", "cookie_declaration": "https://saferpage.de/cookies/barcawelt.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "vendor_risk_register", "target_time": "30 Tage", "area": "Vendor Risk", "responsibility": "Legal/Vendor-Verantwortung", "title": "Vendor-, AVV-/DPA- und Transfer-Risiko", "impact": "Unklare Anbieterrollen, Drittlandtransfers oder fehlende AVV/DPA-Nachweise erhöhen Compliance-Risiko.", "source": "vendor_due_diligence", "due_days": 30, "evidence": "Vendor-Due-Diligence mit 30 Anbieter(n), 5 hohem Risiko, 30 AVV-/DPA-Prüfung(en) und 27 Transfer-/Jurisdiktionsfrage(n).", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 98, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#vendor_risk_register", "recommended_action": "Top-Anbieter priorisieren, AVV/DPA/TIA prüfen und Vendor-Akte vervollständigen." }, { "id": "dpia_decision_risk", "target_time": "30 Tage", "area": "Privacy by Design", "responsibility": "Datenschutz/Product/Legal", "title": "DPIA-/DSFA-Entscheidung offen", "impact": "Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-/DPIA-Entscheidung.", "source": "dpia_screening", "due_days": 30, "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 76/100, 6 ausgelöste Risikofaktor(en), 4 hoch.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#dpia_decision_risk", "recommended_action": "DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren." }, { "id": "data_flow_risk", "target_time": "30 Tage", "area": "Data Map", "responsibility": "Datenschutz/IT", "title": "Hohe Risiken in Datenflüssen", "impact": "Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.", "source": "data_flow_map", "due_days": 30, "evidence": "Data Map mit 70 Knoten und 106 Datenfluss-Kanten; 46 Kante(n) hohes Risiko, 27 Transfer-Kante(n), 3 offene Mapping-Fragen.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#data_flow_risk", "recommended_action": "Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären." }, { "id": "SP-001", "target_time": "7 Tage", "area": "BSI/Patchmanagement", "responsibility": "Technik", "title": "CVE-2021-23017: 1-byte memory overwrite in resolver", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "background_url": "/guides/sichtbare-versionen-und-cves-beheben", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#SP-001", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern." }, { "id": "SP-002", "target_time": "7 Tage", "area": "Barrierefreiheit & Usability", "responsibility": "UX/Content", "title": "Barrierefreiheit & Usability", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "1 Bild(er) ohne alt, 3 Formularfeld(er) ohne Beschriftung, 6 Button(s) ohne Namen.", "background_url": "/guides/barrierefreiheit-cookie-banner-formulare", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#SP-002", "recommended_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen." }, { "id": "SP-003", "target_time": "7 Tage", "area": "Impressum, Kontakt & Datenschutzerklärung", "responsibility": "Datenschutz", "title": "Impressum, Kontakt & Datenschutzerklärung", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "Impressum: nein, Datenschutz: ja, Kontakt: nein.", "background_url": "/guides/impressum-und-kontakt-sichtbar-machen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#SP-003", "recommended_action": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen." }, { "id": "SP-004", "target_time": "7 Tage", "area": "Referrer & URL-Leaks", "responsibility": "Website-Betrieb", "title": "Referrer & URL-Leaks", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "5 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 1 sensible Query-Kontexte.", "background_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#SP-004", "recommended_action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren." }, { "id": "SP-005", "target_time": "7 Tage", "area": "Cookie-Inventar", "responsibility": "Datenschutz/Marketing", "title": "Cookie-Inventar", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "8 Cookie(s), 2 Tracking-/Werbe-Cookie(s), 1 Drittanbieter-Cookie(s), 3 langlebig, 0 sehr lang.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#SP-005", "recommended_action": "Cookie-Liste mit Zweck, Anbieter, First-/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen." }, { "id": "SP-006", "target_time": "7 Tage", "area": "Tracking-Pixel & Beacons", "responsibility": "Datenschutz/Marketing", "title": "Tracking-Pixel & Beacons", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "3 Pixel-/Bildtracking-Hinweis(e), 3 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).", "background_url": "/guides/tracking-pixel-und-beacons-begrenzen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#SP-006", "recommended_action": "Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen." }, { "id": "incident_readiness_risk", "target_time": "7 Tage", "area": "Incident Response", "responsibility": "DSB/Legal/IT", "title": "Incident-/Breach-Readiness unzureichend", "impact": "Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.", "source": "incident_breach_readiness", "due_days": 7, "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 2 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).", "background_url": "/guides/security-header-setzen", "likelihood": "mittel", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#incident_readiness_risk", "recommended_action": "Incident Verantwortlichkeit, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten." }, { "id": "privacy_notice_gap_risk", "target_time": "14 Tage", "area": "Transparenz", "responsibility": "Datenschutz/Content", "title": "Datenschutzhinweis deckt beobachtete Technik nicht vollständig ab", "impact": "Nutzer erhalten möglicherweise keine vollständige Information zu Anbietern, Cookies oder Zwecken.", "source": "privacy_disclosure_gap_analysis", "due_days": 14, "evidence": "Disclosure-Abgleich: 5 beobachtete Anbieter, 2 Anbieter ohne klare Erwähnung, 3 fehlende Policy-Bausteine.", "background_url": "/guides/datenschutzerklaerung-verbessern", "likelihood": "mittel", "risk_level": "hoch", "risk_score": 71, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#privacy_notice_gap_risk", "recommended_action": "Datenschutzerklärung, Cookie-Tabelle und Anbieterregister gegen Scan-Evidenz aktualisieren." }, { "id": "known_vulnerability_advisory", "target_time": "30 Tage", "area": "vulnerability", "responsibility": "Website-Betrieb/Datenschutz", "title": "CVE-2021-23017: 1-byte memory overwrite in resolver", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "CVE-2021-23017: 1-byte memory overwrite in resolver", "background_url": "/guides/sichtbare-versionen-und-cves-beheben", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#known_vulnerability_advisory", "recommended_action": "nginx-Version gegen die offizielle Advisory pruefen und auf 1.21.0+, 1.20.1+ oder neuer aktualisieren." }, { "id": "pre_consent_tracking_cookies", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Tracking-Cookies vor Einwilligung gesetzt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Tracking-Cookies vor Einwilligung gesetzt", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#pre_consent_tracking_cookies", "recommended_action": "Tracking-Cookies erst nach aktiver Einwilligung setzen." }, { "id": "hidden_text", "target_time": "30 Tage", "area": "seo", "responsibility": "Website-Betrieb/Datenschutz", "title": "Versteckter Text erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Versteckter Text erkannt", "background_url": "/guides/seo-spam-und-cloaking-bereinigen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#hidden_text", "recommended_action": "Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird." }, { "id": "tracking_without_consent_hint", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Tracking ohne sichtbaren Cookie-Hinweis", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Tracking ohne sichtbaren Cookie-Hinweis", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#tracking_without_consent_hint", "recommended_action": "Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird." }, { "id": "third_party_sensitive_query_leak", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "background_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#third_party_sensitive_query_leak", "recommended_action": "Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren." }, { "id": "payment_without_clear_operator", "target_time": "30 Tage", "area": "data_entry", "responsibility": "Website-Betrieb/Datenschutz", "title": "Zahlungs-/Shop-Signal ohne klare Betreibertransparenz", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Zahlungs-/Shop-Signal ohne klare Betreibertransparenz", "background_url": "/guides/formulare-datenschutzkonform-absichern", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#payment_without_clear_operator", "recommended_action": "Vor einer Zahlung Impressum, Kontakt, Widerruf/AGB und Zahlungsanbieter prüfen." }, { "id": "imprint_missing", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Kein Impressum-Link erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Kein Impressum-Link erkannt", "background_url": "/guides/impressum-und-kontakt-sichtbar-machen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/barcawelt.de#imprint_missing", "recommended_action": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein." } ], "dpia_screening": { "status": "dpia_empfohlen", "summary": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 76/100, 6 ausgelöste Risikofaktor(en), 4 hoch.", "decision": "DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.", "available": true, "disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-/DSFA-Entscheidung muss fachlich/rechtlich dokumentiert werden.", "risk_score": 76, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "weight": 18, "evidence": "32 Formular(e), Datenarten: Login/Passwort, E-Mail, Adresse, Zahlung", "severity": "hoch", "background_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": true }, { "id": "form_context_gaps", "label": "Formulare ohne ausreichenden Datenschutzkontext", "action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.", "weight": 14, "evidence": "0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext vorhanden.", "severity": "hoch", "background_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": false }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "weight": 18, "evidence": "4 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.", "severity": "hoch", "background_url": "/guides/tracking-und-consent-reparieren", "triggered": true }, { "id": "third_party_processors", "label": "Viele Drittanbieter oder Processor", "action": "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "weight": 10, "evidence": "30 Anbieterregister-Eintrag/Einträge, 30 Drittanbieter-Domain(s).", "severity": "mittel", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "triggered": true }, { "id": "international_transfer", "label": "Drittland-/Transferprüfung", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "weight": 12, "evidence": "Transfer hoch 7, unklar 19.", "severity": "hoch", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "triggered": true }, { "id": "pii_leakage", "label": "PII-, Referrer- oder URL-Leakage", "action": "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "weight": 12, "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 5.", "severity": "hoch", "background_url": "/guides/pii-und-url-datenlecks-vermeiden", "triggered": true }, { "id": "public_authority_or_sensitive_context", "label": "Öffentliche Stelle oder sensibler Nutzungskontext", "action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.", "weight": 8, "evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.", "severity": "mittel", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "triggered": false }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.", "weight": 6, "evidence": "1 externe Embed-/Widget-Element(e) vorab geladen.", "severity": "mittel", "background_url": "/guides/externe-inhalte-datenschutzfreundlich-einbinden", "triggered": true }, { "id": "gpc_or_optout_gap", "label": "GPC/Opt-out-Lücke", "action": "GPC/Opt-out-Signale respektieren und technisch nachweisen.", "weight": 6, "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).", "severity": "mittel", "background_url": "/guides/tracking-und-consent-reparieren", "triggered": false } ], "high_risk_count": 4, "triggered_count": 6, "recommended_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Nachweisbearbeitung-Nachweispositionen vor DPIA-Freigabe priorisieren." ], "assessment_questions": [ { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "responsibility": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "responsibility": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "responsibility": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "responsibility": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "responsibility": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "responsibility": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Nachweisbearbeitung-Nachweispositionen mit Verantwortlichkeit, Zielzeit und Wiederholungsscan schließen." ], "linked_workflow_evidence_count": 6 }, "processing_activity_record": { "status": "Betreiber ergänzen", "summary": "RoPA-Entwurf mit 4 Verarbeitungstätigkeit(en), 2 hohem Risikolevel und 6 offenen Betreiberfragen.", "activities": [ { "name": "Website-Formulare und Eingaben", "purpose": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.", "evidence": "32 Formular(e), Datenarten Login/Passwort, E-Mail, Adresse, Zahlung.", "transfer": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 82, "recipients": [ "Google reCAPTCHA", "Google Analytics", "Google DoubleClick", "Google Tag Manager", "c.delivery.consentmanager.net", "Google Fonts", "Google Static" ], "risk_level": "hoch", "activity_id": "website_forms", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Löschfrist je Anfrage-/Newsletter-/Konto-Prozess festlegen.", "controller_hint": "barcawelt.de", "data_categories": [ "Login/Passwort", "E-Mail", "Adresse", "Zahlung" ], "operator_action": "Zweck, Pflichtfelder, Empfänger, Speicherfrist, Rechtsgrundlage und Betroffenenrechte je Formular dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 7 }, { "name": "Cookies, Web Storage und Consent", "purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.", "evidence": "15 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "transfer": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 88, "recipients": [ "Google", "barcawelt.de", "c.delivery.consentmanager.net", "Eigene Website oder eingebundener Dienst" ], "risk_level": "mittel", "activity_id": "cookies_storage", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.", "controller_hint": "barcawelt.de", "data_categories": [ "Cookie-ID", "Consent-Status", "Geräte-/Browserinformationen", "Storage-Key-Metadaten" ], "operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies/Storage-Einträgen abgleichen.", "legal_basis_hint": "TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 4 }, { "name": "Drittanbieter-Dienste und Einbindungen", "purpose": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.", "evidence": "30 Anbieter/Processor, 27 mit Datenschutz-/Transfer-Prüfbedarf.", "transfer": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 86, "recipients": [ "Google reCAPTCHA", "Google Analytics", "Google DoubleClick", "Google Tag Manager", "c.delivery.consentmanager.net", "Google Fonts", "Google Static", "cdn.consentmanager.net", "display.apester.com", "events.apester.com", "gravatar.com", "jsDelivr", "micro.rubiconproject.com", "player.aniview.com", "renderer.apester.com", "sdk.apester.com", "static.apester.com", "track1.aniview.com", "notifpush.com", "s.w.org", "static.highvibes.media", "steady.page", "steadycdn.com", "steadyhq.com", "tg1.aniview.com", "w.likebtn.com", "api.h5v.eu", "cdn.h5v.eu", "static.wlct-one.de" ], "risk_level": "hoch", "activity_id": "third_party_services", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Speicherfristen der Anbieter dokumentieren und Verträge/AVV prüfen.", "controller_hint": "barcawelt.de", "data_categories": [ "IP-Adresse", "Nutzungsdaten", "Geräteinformationen", "Referrer-/Request-Metadaten" ], "operator_action": "AVV/DPA, Rolle, Zweck, Transfergrundlage und Datenschutzerklärung je Anbieter pflegen.", "legal_basis_hint": "Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 29 }, { "name": "Betroffenenrechte- und Datenschutzanfragen", "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.", "evidence": "Betroffenenrechte-Readiness: 70/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "transfer": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 74, "recipients": [ "interne Datenschutz-/Legal-/Fachbereichsteams" ], "risk_level": "mittel", "activity_id": "privacy_rights_requests", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.", "controller_hint": "barcawelt.de", "data_categories": [ "Identitätsbezug", "Kontaktinformationen", "Anfragetyp", "Kommunikationsinhalte" ], "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 } ], "open_questions": [] }, "data_flow_map": { "status": "kritische Flüsse prüfen", "summary": "Data Map mit 70 Knoten und 106 Datenfluss-Kanten; 46 Kante(n) hohes Risiko, 27 Transfer-Kante(n), 3 offene Mapping-Fragen.", "edges": [ { "type": "controller_activity", "label": "verantwortet", "source": "controller:barcawelt-de", "target": "activity:website-forms", "edge_id": "controller:barcawelt-de->activity:website-forms:verantwortet", "evidence": "32 Formular(e), Datenarten Login/Passwort, E-Mail, Adresse, Zahlung.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 80, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "Website-Formulare und Eingaben", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:login-passwort", "edge_id": "activity:website-forms->data:login-passwort:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Login/Passwort", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:e-mail", "edge_id": "activity:website-forms->data:e-mail:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "E-Mail", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:adresse", "edge_id": "activity:website-forms->data:adresse:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Adresse", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:zahlung", "edge_id": "activity:website-forms->data:zahlung:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Zahlung", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-recaptcha", "edge_id": "activity:website-forms->recipient:google-recaptcha:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google reCAPTCHA", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-analytics", "edge_id": "activity:website-forms->recipient:google-analytics:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google Analytics", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-doubleclick", "edge_id": "activity:website-forms->recipient:google-doubleclick:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google DoubleClick", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-tag-manager", "edge_id": "activity:website-forms->recipient:google-tag-manager:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google Tag Manager", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:c-delivery-consentmanager-net", "edge_id": "activity:website-forms->recipient:c-delivery-consentmanager-net:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "c.delivery.consentmanager.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-fonts", "edge_id": "activity:website-forms->recipient:google-fonts:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google Fonts", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-static", "edge_id": "activity:website-forms->recipient:google-static:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google Static", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:barcawelt-de", "target": "activity:cookies-storage", "edge_id": "controller:barcawelt-de->activity:cookies-storage:verantwortet", "evidence": "15 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 80, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "Cookies, Web Storage und Consent", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:cookie-id", "edge_id": "activity:cookies-storage->data:cookie-id:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Cookie-ID", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:consent-status", "edge_id": "activity:cookies-storage->data:consent-status:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Consent-Status", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:ger-te-browserinformationen", "edge_id": "activity:cookies-storage->data:ger-te-browserinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Geräte-/Browserinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:storage-key-metadaten", "edge_id": "activity:cookies-storage->data:storage-key-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Storage-Key-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:google", "edge_id": "activity:cookies-storage->recipient:google:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Google", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:barcawelt-de", "edge_id": "activity:cookies-storage->recipient:barcawelt-de:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "barcawelt.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:c-delivery-consentmanager-net", "edge_id": "activity:cookies-storage->recipient:c-delivery-consentmanager-net:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "c.delivery.consentmanager.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:eigene-website-oder-eingebundener-dienst", "edge_id": "activity:cookies-storage->recipient:eigene-website-oder-eingebundener-dienst:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Eigene Website oder eingebundener Dienst", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:barcawelt-de", "target": "activity:third-party-services", "edge_id": "controller:barcawelt-de->activity:third-party-services:verantwortet", "evidence": "30 Anbieter/Processor, 27 mit Datenschutz-/Transfer-Prüfbedarf.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 80, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "Drittanbieter-Dienste und Einbindungen", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ip-adresse", "edge_id": "activity:third-party-services->data:ip-adresse:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "IP-Adresse", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:nutzungsdaten", "edge_id": "activity:third-party-services->data:nutzungsdaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Nutzungsdaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ger-teinformationen", "edge_id": "activity:third-party-services->data:ger-teinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Geräteinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:referrer-request-metadaten", "edge_id": "activity:third-party-services->data:referrer-request-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Referrer-/Request-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-recaptcha", "edge_id": "activity:third-party-services->recipient:google-recaptcha:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google reCAPTCHA", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-analytics", "edge_id": "activity:third-party-services->recipient:google-analytics:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Analytics", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-doubleclick", "edge_id": "activity:third-party-services->recipient:google-doubleclick:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google DoubleClick", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-tag-manager", "edge_id": "activity:third-party-services->recipient:google-tag-manager:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Tag Manager", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:c-delivery-consentmanager-net", "edge_id": "activity:third-party-services->recipient:c-delivery-consentmanager-net:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "c.delivery.consentmanager.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-fonts", "edge_id": "activity:third-party-services->recipient:google-fonts:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Fonts", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-static", "edge_id": "activity:third-party-services->recipient:google-static:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Static", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:cdn-consentmanager-net", "edge_id": "activity:third-party-services->recipient:cdn-consentmanager-net:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "cdn.consentmanager.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:display-apester-com", "edge_id": "activity:third-party-services->recipient:display-apester-com:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "display.apester.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:events-apester-com", "edge_id": "activity:third-party-services->recipient:events-apester-com:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "events.apester.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:gravatar-com", "edge_id": "activity:third-party-services->recipient:gravatar-com:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "gravatar.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:jsdelivr", "edge_id": "activity:third-party-services->recipient:jsdelivr:bermittelt-an-empf-nger", "evidence": "30 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 19 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "jsDelivr", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:barcawelt-de", "target": "activity:privacy-rights-requests", "edge_id": "controller:barcawelt-de->activity:privacy-rights-requests:verantwortet", "evidence": "Betroffenenrechte-Readiness: 70/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 80, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "Betroffenenrechte- und Datenschutzanfragen", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:identit-tsbezug", "edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Identitätsbezug", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kontaktinformationen", "edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kontaktinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:anfragetyp", "edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Anfragetyp", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kommunikationsinhalte", "edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kommunikationsinhalte", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:privacy-rights-requests", "target": "recipient:interne-datenschutz-legal-fachbereichsteams", "edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger", "evidence": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "interne Datenschutz-/Legal-/Fachbereichsteams", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-recaptcha", "edge_id": "controller:barcawelt-de->vendor:google-recaptcha:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "Google reCAPTCHA", "operator_action": "Captcha nur auf betroffenen Formularseiten laden und Anbieter, Zweck und Alternativen erklären." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-recaptcha", "target": "transfer:drittland-usa", "edge_id": "vendor:google-recaptcha->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google reCAPTCHA", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-recaptcha", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-recaptcha:flie-t-an-anbieter", "evidence": "3 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google reCAPTCHA", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-doubleclick", "edge_id": "controller:barcawelt-de->vendor:google-doubleclick:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "Google DoubleClick", "operator_action": "Vor Einwilligung blockieren oder klar begründen; Anbieter in Consent-Banner und Datenschutzerklärung nennen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-doubleclick", "target": "transfer:drittland-usa", "edge_id": "vendor:google-doubleclick->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google DoubleClick", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-doubleclick", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-doubleclick:flie-t-an-anbieter", "evidence": "2 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google DoubleClick", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-analytics", "edge_id": "controller:barcawelt-de->vendor:google-analytics:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "Google Analytics", "operator_action": "Analytics erst nach Einwilligung oder datenschutzfreundlich ohne personenbezogene Profile betreiben." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-analytics", "target": "transfer:drittland-usa", "edge_id": "vendor:google-analytics->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Analytics", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-analytics", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-analytics:flie-t-an-anbieter", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google Analytics", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-tag-manager", "edge_id": "controller:barcawelt-de->vendor:google-tag-manager:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "Google Tag Manager", "operator_action": "Vor Einwilligung blockieren oder klar begründen; Anbieter in Consent-Banner und Datenschutzerklärung nennen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-tag-manager", "target": "transfer:drittland-usa", "edge_id": "vendor:google-tag-manager->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Tag Manager", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-tag-manager", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-tag-manager:flie-t-an-anbieter", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google Tag Manager", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:c-delivery-consentmanager-net", "edge_id": "controller:barcawelt-de->vendor:c-delivery-consentmanager-net:setzt-anbieter-ein", "evidence": "3 Request(s), 1 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "barcawelt.de", "target_label": "c.delivery.consentmanager.net", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:c-delivery-consentmanager-net", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:c-delivery-consentmanager-net->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "c.delivery.consentmanager.net", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:c-delivery-consentmanager-net", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:c-delivery-consentmanager-net:flie-t-an-anbieter", "evidence": "3 Request(s), 1 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "c.delivery.consentmanager.net", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:renderer-apester-com", "edge_id": "controller:barcawelt-de->vendor:renderer-apester-com:setzt-anbieter-ein", "evidence": "30 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "renderer.apester.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:renderer-apester-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:renderer-apester-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "renderer.apester.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:events-apester-com", "edge_id": "controller:barcawelt-de->vendor:events-apester-com:setzt-anbieter-ein", "evidence": "21 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "events.apester.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:events-apester-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:events-apester-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "events.apester.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-static", "edge_id": "controller:barcawelt-de->vendor:google-static:setzt-anbieter-ein", "evidence": "5 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "Google Static", "operator_action": "CDN-/Asset-Abrufe auf Notwendigkeit, Region und Auftragsverarbeitung prüfen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-static", "target": "transfer:drittland-usa", "edge_id": "vendor:google-static->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Static", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-fonts", "edge_id": "controller:barcawelt-de->vendor:google-fonts:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "Google Fonts", "operator_action": "Schriften lokal hosten oder den externen Abruf in Datenschutz und Consent-Konzept erklären." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-fonts", "target": "transfer:drittland-usa", "edge_id": "vendor:google-fonts->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Fonts", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:google-fonts", "edge_id": "controller:barcawelt-de->vendor:google-fonts:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "Google Fonts", "operator_action": "Schriften lokal hosten oder den externen Abruf in Datenschutz und Consent-Konzept erklären." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-fonts", "target": "transfer:drittland-usa", "edge_id": "vendor:google-fonts->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Fonts", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:cdn-consentmanager-net", "edge_id": "controller:barcawelt-de->vendor:cdn-consentmanager-net:setzt-anbieter-ein", "evidence": "6 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "cdn.consentmanager.net", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:cdn-consentmanager-net", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:cdn-consentmanager-net->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "cdn.consentmanager.net", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:sdk-apester-com", "edge_id": "controller:barcawelt-de->vendor:sdk-apester-com:setzt-anbieter-ein", "evidence": "6 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "sdk.apester.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:sdk-apester-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:sdk-apester-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "sdk.apester.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:static-apester-com", "edge_id": "controller:barcawelt-de->vendor:static-apester-com:setzt-anbieter-ein", "evidence": "4 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "static.apester.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:static-apester-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:static-apester-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "static.apester.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:track1-aniview-com", "edge_id": "controller:barcawelt-de->vendor:track1-aniview-com:setzt-anbieter-ein", "evidence": "4 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "track1.aniview.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:track1-aniview-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:track1-aniview-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "track1.aniview.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:display-apester-com", "edge_id": "controller:barcawelt-de->vendor:display-apester-com:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "display.apester.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:display-apester-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:display-apester-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "display.apester.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:gravatar-com", "edge_id": "controller:barcawelt-de->vendor:gravatar-com:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "gravatar.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:gravatar-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:gravatar-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "gravatar.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:jsdelivr", "edge_id": "controller:barcawelt-de->vendor:jsdelivr:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer CDN/global, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "jsDelivr", "operator_action": "CDN-/Asset-Abrufe auf Notwendigkeit, Region und Auftragsverarbeitung prüfen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:jsdelivr", "target": "transfer:cdn-global", "edge_id": "vendor:jsdelivr->transfer:cdn-global:transfer-jurisdiktionspr-fung", "evidence": "CDN/global", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "jsDelivr", "target_label": "CDN/global", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:micro-rubiconproject-com", "edge_id": "controller:barcawelt-de->vendor:micro-rubiconproject-com:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "micro.rubiconproject.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:micro-rubiconproject-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:micro-rubiconproject-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "micro.rubiconproject.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:player-aniview-com", "edge_id": "controller:barcawelt-de->vendor:player-aniview-com:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "player.aniview.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:player-aniview-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:player-aniview-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "player.aniview.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:tg1-aniview-com", "edge_id": "controller:barcawelt-de->vendor:tg1-aniview-com:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "tg1.aniview.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:tg1-aniview-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:tg1-aniview-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "tg1.aniview.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:w-likebtn-com", "edge_id": "controller:barcawelt-de->vendor:w-likebtn-com:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "barcawelt.de", "target_label": "w.likebtn.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:w-likebtn-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:w-likebtn-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "w.likebtn.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:notifpush-com", "edge_id": "controller:barcawelt-de->vendor:notifpush-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "notifpush.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:notifpush-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:notifpush-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "notifpush.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:s-w-org", "edge_id": "controller:barcawelt-de->vendor:s-w-org:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "s.w.org", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:s-w-org", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:s-w-org->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "s.w.org", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:static-highvibes-media", "edge_id": "controller:barcawelt-de->vendor:static-highvibes-media:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "static.highvibes.media", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:static-highvibes-media", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:static-highvibes-media->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "static.highvibes.media", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:steady-page", "edge_id": "controller:barcawelt-de->vendor:steady-page:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "steady.page", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:steady-page", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:steady-page->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "steady.page", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:steadycdn-com", "edge_id": "controller:barcawelt-de->vendor:steadycdn-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "steadycdn.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:steadycdn-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:steadycdn-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "steadycdn.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:steadyhq-com", "edge_id": "controller:barcawelt-de->vendor:steadyhq-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "steadyhq.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:steadyhq-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:steadyhq-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "steadyhq.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:cdn-h5v-eu", "edge_id": "controller:barcawelt-de->vendor:cdn-h5v-eu:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "cdn.h5v.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:api-h5v-eu", "edge_id": "controller:barcawelt-de->vendor:api-h5v-eu:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "api.h5v.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:barcawelt-de", "target": "vendor:static-wlct-one-de", "edge_id": "controller:barcawelt-de->vendor:static-wlct-one-de:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "barcawelt.de", "target_label": "static.wlct-one.de", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." } ], "open_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Nachweispositionenysteme oder Mailboxen.", "responsibility": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "responsibility": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "responsibility": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." } ] }, "retention_deletion": { "status": "retention-ready", "summary": "Retention-/Deletion-Readiness 92/100; 9/10 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.", "score": 92, "checks": [ { "id": "retention_notice", "label": "Speicherfristen und Löschung im Datenschutzhinweis", "responsibility": "Datenschutz/Content", "action": "Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Entwurf aus Scan-Evidenz: 8 Cookie(s), 30 Drittanbieter-Domain(s), 7 Storage-Key(s).", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "cookie_retention", "label": "Cookie-/Storage-Laufzeiten bewertet", "responsibility": "Marketing/IT", "action": "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Cookies 15, fehlende Laufzeit 0, Retention-Risiken 3, langlebige Hinweise 6.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "manual_review": false }, { "id": "data_inventory_retention", "label": "Dateninventar mit Datenarten und Systemen", "responsibility": "Datenschutz/IT", "action": "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA/Data Map ergänzen.", "passed": true, "status": "vorhanden", "weight": 14, "evidence": "4 Verarbeitungstätigkeit(en), 70 Data-Map-Knoten, 4 Datenart(en).", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "legal_basis_retention", "label": "Rechtsgrundlage, Zweck und Aufbewahrung verknüpft", "responsibility": "Datenschutz/Legal", "action": "Retention je Zweck/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "48 Rechtsgrundlagenzeile(n) im Report.", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "erasure_workflow", "label": "Löschanfragen mit DSAR-Workflow verbunden", "responsibility": "Datenschutz/Support/IT", "action": "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "vendor_deletion", "label": "Vendor-/Processor-Löschung und Rückgabe steuerbar", "responsibility": "Legal/Vendor-Verantwortung", "action": "AVV/DPA, Rückgabe/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Vendor-Due-Diligence mit 30 Anbieter(n), 5 hohem Risiko, 30 AVV-/DPA-Prüfung(en) und 27 Transfer-/Jurisdiktionsfrage(n).", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "manual_review": false }, { "id": "backup_legal_hold", "label": "Backups, Legal Hold und Ausnahmen geregelt", "responsibility": "Legal/IT", "action": "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.", "passed": false, "status": "prüfen", "weight": 8, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": true }, { "id": "minimization_trigger", "label": "Datenminimierung und Löschtrigger bei Formularen", "responsibility": "Fachbereich/Datenschutz", "action": "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-/Support-Weitergabe prüfen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Formulare 32, Datenschutzkontext ja.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "manual_review": false }, { "id": "deletion_evidence", "label": "Löschprotokoll und Integritätsnachweis", "responsibility": "Compliance/IT", "action": "Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-/Audit-Nachweis protokollieren.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Prüfbeleg vorhanden, Root-Hash 69dc783058e7ea70.", "background_url": "/methodik", "manual_review": false }, { "id": "change_monitoring", "label": "Change Trigger für Retention-Risiken", "responsibility": "Datenschutz/IT", "action": "Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Alerts 0, Regulatory-Pflichten 10.", "background_url": "/monitoring", "manual_review": false } ], "retention_schedule": [ { "id": "cookies_storage", "responsibility": "Marketing/IT", "source": "Browser-/Cookie-Inventar", "evidence": "15 Cookie-/Storage-Eintrag/Einträge; Retention-Risiken 3.", "data_category": "Cookies, LocalStorage und SessionStorage", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "default_retention": "Session bis 13 Monate je Zweck prüfen" }, { "id": "contact_forms", "responsibility": "Fachbereich/Datenschutz", "source": "Formular- und Datenartenanalyse", "evidence": "Formulare 32, Datenarten 4.", "data_category": "Kontakt-, Newsletter- und Formularangaben", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist" }, { "id": "vendor_logs", "responsibility": "Vendor-Verantwortung/Legal", "source": "Vendor Register / Data Map", "evidence": "30 Anbieter, 30 DPA-Prüfungen.", "data_category": "Drittanbieter-, Tracking- und Supportdaten", "deletion_trigger": "Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende", "default_retention": "Nach Anbieterzweck, AVV/DPA und Transferprüfung" }, { "id": "security_audit_logs", "responsibility": "Compliance/IT", "source": "Audit Receipt / Evidence Pack", "evidence": "Prüfbeleg und Hash-Manifest als Nachweisquelle.", "data_category": "Security-, Consent- und Audit-Nachweise", "deletion_trigger": "Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt", "default_retention": "Nachweispflicht und Sicherheitsbedarf fachlich festlegen" } ], "deletion_workflow": [ { "id": "identify", "responsibility": "Datenschutz/Support", "phase": "Identifizieren", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "timebox": "Tag 0-3", "evidence": "DSAR-Nachweisposition, RoPA/Data Map, Vendor Register." }, { "id": "hold_check", "responsibility": "Legal/Fachbereich", "phase": "Legal Hold & Aufbewahrung", "action": "Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.", "timebox": "Tag 3-7", "evidence": "Hold-Entscheidung, Rechtsgrund, Sperrvermerk." }, { "id": "execute", "responsibility": "IT/Vendor-Verantwortung", "phase": "Löschung / Sperrung", "action": "System- und Vendor-Aufgaben ausführen, Backups/Archive nach Retention-Regel behandeln.", "timebox": "Tag 7-21", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." }, { "id": "verify", "responsibility": "Datenschutz/Compliance", "phase": "Nachweis & Antwort", "action": "Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.", "timebox": "bis Tag 30", "evidence": "Deletion-Log, Abschlussnotiz, Antwortkopie." } ] }, "open_operator_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Nachweispositionenysteme oder Mailboxen.", "responsibility": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "responsibility": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "responsibility": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." }, { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "responsibility": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "responsibility": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "responsibility": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "responsibility": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "responsibility": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "responsibility": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Nachweisbearbeitung-Nachweispositionen mit Verantwortlichkeit, Zielzeit und Wiederholungsscan schließen." ], "priority_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Nachweisbearbeitung-Nachweispositionen vor DPIA-Freigabe priorisieren.", "RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.", "Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.", "RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren.", "Top-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Interne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.", "Data Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular/Cookie erneut prüfen.", "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren." ], "disclaimer": "Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden." }