{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-08T20:40:44+00:00", "domain": "breitbandmessung.de", "scan": { "id": "16397e37-3bde-4a7b-beaf-5e682263d143", "checked_at": "2026-06-07 04:28:31.233761+02" }, "summary": "breitbandmessung.de Risiko-/DSFA-Center: 14 Risikozeile(n), 0 kritisch, 12 hoch/kritisch, DSFA prüfen.", "status": "hohe Risiken prüfen", "risk_score": 74, "metrics": { "risk_count": 14, "critical_count": 0, "high_count": 12, "risk_score": 74, "dpia_triggers": 0, "activities": 2, "flow_edges": 1, "retention_score": 85 }, "links": { "report": "https://saferpage.de/breitbandmessung.de", "risk_center": "https://saferpage.de/risiko/breitbandmessung.de", "json": "https://saferpage.de/risiko/breitbandmessung.de/export", "csv": "https://saferpage.de/risiko/breitbandmessung.de/export-csv", "operator_board": "https://saferpage.de/betreiber/breitbandmessung.de", "tickets_markdown": "https://saferpage.de/betreiber/breitbandmessung.de/tickets", "trust_center": "https://saferpage.de/trust/breitbandmessung.de", "vendor_register": "https://saferpage.de/anbieter/breitbandmessung.de", "cookie_declaration": "https://saferpage.de/cookies/breitbandmessung.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "operator_1", "title": "CVE-2017-3167: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, use of the ap_get_basic_auth_pw() by third-party modules outside of the authentication phase may lead to authentication", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_2", "title": "CVE-2017-3169: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP reques", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_3", "title": "CVE-2017-7659: A maliciously constructed HTTP/2 request could cause mod_http2 in Apache HTTP Server 2.4.24, 2.4.25 to dereference a NULL pointer and crash the server process.", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_4", "title": "CVE-2017-7668: The HTTP strict parsing changes added in Apache httpd 2.2.32 and 2.4.24 introduced a bug in token list parsing, which allows ap_find_token() to search past the end of its input str", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_5", "title": "CVE-2017-7679: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_mime can read one byte past the end of a buffer when sending a malicious Content-Type response header.", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_6", "title": "CVE-2017-9788: In Apache httpd before 2.2.34 and 2.4.x before 2.4.27, the value placeholder in [Proxy-]Authorization headers of type 'Digest' was not initialized or reset before or between succes", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_7", "title": "CVE-2017-9798: Apache httpd allows remote attackers to read secret data from process memory if the Limit directive can be set in a user's .htaccess file, or if httpd.conf has certain misconfigura", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_8", "title": "CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "module_google_third_parties", "title": "Google-Dienste & Drittanbieter", "area": "Prüfmodul", "risk_level": "mittel", "risk_score": 42, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "recommended_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Betreiber/IT/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/google-dienste-datenschutzfreundlich-einbinden" }, { "id": "module_privacy_consent", "title": "Datenschutz, Cookies & Consent", "area": "Prüfmodul", "risk_level": "niedrig", "risk_score": 26, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, Ablehnen-Option: ja, Consent-Audit: 74.", "recommended_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Betreiber/IT/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "finding_known_vulnerability_advisory", "title": "CVE-2017-3167: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, use of the ap_get_basic_auth_pw() by third-party modules outside of the authentication phase may lead to authentication", "area": "vulnerability", "risk_level": "hoch", "risk_score": 78, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "CVE-2017-3167: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, use of the ap_get_basic_auth_pw() by third-party modules outside of the authentication phase may lead to authentication", "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "finding_known_vulnerability_advisory", "title": "CVE-2017-3169: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP reques", "area": "vulnerability", "risk_level": "hoch", "risk_score": 78, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "CVE-2017-3169: In Apache httpd 2.2.x before 2.2.33 and 2.4.x before 2.4.26, mod_ssl may dereference a NULL pointer when third-party modules call ap_hook_process_connection() during an HTTP reques", "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "finding_known_vulnerability_advisory", "title": "CVE-2017-7659: A maliciously constructed HTTP/2 request could cause mod_http2 in Apache HTTP Server 2.4.24, 2.4.25 to dereference a NULL pointer and crash the server process.", "area": "vulnerability", "risk_level": "hoch", "risk_score": 78, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "CVE-2017-7659: A maliciously constructed HTTP/2 request could cause mod_http2 in Apache HTTP Server 2.4.24, 2.4.25 to dereference a NULL pointer and crash the server process.", "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "finding_known_vulnerability_advisory", "title": "CVE-2017-7668: The HTTP strict parsing changes added in Apache httpd 2.2.32 and 2.4.24 introduced a bug in token list parsing, which allows ap_find_token() to search past the end of its input str", "area": "vulnerability", "risk_level": "hoch", "risk_score": 78, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "CVE-2017-7668: The HTTP strict parsing changes added in Apache httpd 2.2.32 and 2.4.24 introduced a bug in token list parsing, which allows ap_find_token() to search past the end of its input str", "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" } ], "dpia_screening": { "status": "DSFA prüfen", "summary": "DSFA-/DPIA-Fallback: 0 Risikofaktor(en) aus öffentlicher Website-Evidenz ausgelöst.", "risk_score": 35, "risk_factors": [ { "id": "tracking", "label": "Tracking, Consent oder Drittanbieter", "triggered": false, "risk_level": "hoch", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "action": "Consent, Reject, GPC und Anbieterzwecke fachlich bewerten." }, { "id": "vendors", "label": "Drittanbieter und Transferfragen", "triggered": false, "risk_level": "mittel", "evidence": "Anbieterregister prüfen.", "action": "AVV/DPA, Region, Transfergrundlage und TOMs prüfen." }, { "id": "forms", "label": "Formulare oder Dateneingaben", "triggered": false, "risk_level": "mittel", "evidence": "Keine Formular- oder Zahlungsabfrage im passiven Startseiten-Sample erkannt.", "action": "Zweck, Pflichtfelder, Rechtsgrundlage und Löschfrist dokumentieren." } ], "triggered_count": 0, "high_risk_count": 0, "decision": "Threshold Assessment dokumentieren und bei Änderungen erneut prüfen.", "recommended_actions": [ "Risikofaktoren gegen reale Verarbeitung, Datenarten, Empfänger und Zwecke validieren.", "Schutzmaßnahmen, Restrestrisiko und Managemententscheidung dokumentieren.", "Nach Änderungen an Cookies, Formularen, Tracking oder Anbietern erneut scannen." ], "assessment_questions": [ { "question": "Werden Tracking, Profiling, Werbung oder umfangreiche Drittanbieter vor Einwilligung ausgelöst?", "owner": "Datenschutz/Marketing", "status": "prüfen" }, { "question": "Welche Datenarten, Empfänger, Rechtsgrundlagen und Löschfristen sind je Verarbeitung dokumentiert?", "owner": "Datenschutz/IT", "status": "prüfen" }, { "question": "Welche technischen und organisatorischen Schutzmaßnahmen senken das Restrisiko?", "owner": "IT/Security", "status": "prüfen" } ], "recommended_safeguards": [ "Consent-Blocking und Reject/GPC-Test", "Anbieterregister mit AVV/DPA/TIA", "Datenminimierung und klare Löschfristen", "Security-Header und Referrer-Policy", "Audit Receipt und Re-Scan-Nachweise" ] }, "processing_activity_record": { "status": "Betreiber ergänzen", "summary": "RoPA-Entwurf mit 2 Verarbeitungstätigkeit(en) aus öffentlicher Website-Evidenz.", "activities": [ { "id": "website_operations", "name": "Website-Betrieb und Sicherheitslogs", "purpose": "Auslieferung, Sicherheit, Missbrauchsschutz und Fehleranalyse.", "data_categories": "IP-Adresse, Request-Metadaten, Geräteinformationen", "recipient_categories": "Hosting, CDN, interne IT", "risk_level": "mittel", "owner": "IT/Webbetrieb", "legal_basis_hint": "Berechtigtes Interesse oder Vertrag prüfen." }, { "id": "cookies_tracking", "name": "Cookies, Consent und Nutzungsanalyse", "purpose": "Consent-Verwaltung, Statistik, Marketing oder Komfortfunktionen.", "data_categories": "0 Cookie-/Storage-Signal(e)", "recipient_categories": "CMP, Analytics, Marketing, eigene Website", "risk_level": "mittel", "owner": "Marketing/Datenschutz", "legal_basis_hint": "Einwilligung oder technische Erforderlichkeit je Zweck dokumentieren." } ], "open_questions": [ { "question": "Welche internen Systeme, Tabellen, Mailboxen oder CRM-Ziele gehören zu jeder Verarbeitung?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "Systemliste je Verarbeitung mit Owner und Löschfrist." }, { "question": "Welche finale Rechtsgrundlage und Speicherfrist gilt je Zweck?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "RoPA-Freigabe, Rechtsgrundlagenmatrix und Retention-Matrix." } ] }, "data_flow_map": { "status": "Mapping ergänzen", "summary": "Data Map mit 1 sichtbaren Datenfluss-Kanten aus Browser- und RoPA-Evidenz.", "edges": [ { "from": "Website-Besucher", "to": "breitbandmessung.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "niedrig", "evidence": "11 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" } ], "open_questions": [ { "question": "Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "System- und Datenflussliste mit Owner, Zweck und Löschfrist." }, { "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis." } ] }, "retention_deletion": { "status": "Retention prüfen", "summary": "Retention-/Deletion-Fallback aus Cookie-Inventar, RoPA-Entwurf und Data Map. Interne Löschläufe muss der Betreiber ergänzen.", "score": 85, "checks": [ { "label": "Cookie-/Storage-Laufzeiten bewertet", "status": "prüfen", "passed": false, "evidence": "0 Cookie-/Storage-Signal(e).", "action": "Laufzeiten, Zweck und Consent-Erfordernis je Eintrag prüfen.", "owner": "Marketing/IT", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen" }, { "label": "Dateninventar mit Löschfristen", "status": "aufbauen", "passed": false, "evidence": "2 Verarbeitungstätigkeit(en), 1 Datenfluss-Kante(n).", "action": "Je Verarbeitung Datenkategorie, System, Speicherfrist und Löschtrigger ergänzen.", "owner": "Datenschutz/IT", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "label": "Backups, Legal Hold und Ausnahmen", "status": "Betreiber-Nachweis", "passed": false, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "action": "Backup-Retention, gesetzliche Aufbewahrung, Sperrvermerk und Löschaufschub dokumentieren.", "owner": "Legal/IT", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" } ], "retention_schedule": [ { "data_category": "Cookies, LocalStorage und SessionStorage", "owner": "Marketing/IT", "default_retention": "Session bis 13 Monate je Zweck prüfen", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "evidence": "0 Signal(e)." }, { "data_category": "Kontakt-, Formular- und Nutzungsdaten", "owner": "Fachbereich/Datenschutz", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "evidence": "Aus RoPA/Data-Map-Fallback." } ], "deletion_workflow": [ { "phase": "Identifizieren", "owner": "Datenschutz/Support", "timebox": "Tag 0-3", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "evidence": "DSAR-Ticket, RoPA/Data Map, Vendor Register." }, { "phase": "Löschung / Sperrung", "owner": "IT/Vendor Owner", "timebox": "Tag 7-21", "action": "System- und Vendor-Aufgaben ausführen und Backups nach Regel behandeln.", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." } ] }, "open_operator_questions": [ { "question": "Welche internen Systeme, Tabellen, Mailboxen oder CRM-Ziele gehören zu jeder Verarbeitung?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "Systemliste je Verarbeitung mit Owner und Löschfrist." }, { "question": "Welche finale Rechtsgrundlage und Speicherfrist gilt je Zweck?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "RoPA-Freigabe, Rechtsgrundlagenmatrix und Retention-Matrix." }, { "question": "Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "System- und Datenflussliste mit Owner, Zweck und Löschfrist." }, { "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis." }, { "question": "Werden Tracking, Profiling, Werbung oder umfangreiche Drittanbieter vor Einwilligung ausgelöst?", "owner": "Datenschutz/Marketing", "status": "prüfen" }, { "question": "Welche Datenarten, Empfänger, Rechtsgrundlagen und Löschfristen sind je Verarbeitung dokumentiert?", "owner": "Datenschutz/IT", "status": "prüfen" }, { "question": "Welche technischen und organisatorischen Schutzmaßnahmen senken das Restrisiko?", "owner": "IT/Security", "status": "prüfen" } ], "recommended_safeguards": [ "Consent-Blocking und Reject/GPC-Test", "Anbieterregister mit AVV/DPA/TIA", "Datenminimierung und klare Löschfristen", "Security-Header und Referrer-Policy", "Audit Receipt und Re-Scan-Nachweise" ], "priority_actions": [ "Risikofaktoren gegen reale Verarbeitung, Datenarten, Empfänger und Zwecke validieren.", "Schutzmaßnahmen, Restrestrisiko und Managemententscheidung dokumentieren.", "Nach Änderungen an Cookies, Formularen, Tracking oder Anbietern erneut scannen.", "RoPA-Entwurf fachlich ergänzen, interne Systeme zuordnen und gegen Datenschutzhinweis abgleichen.", "Sichtbare Datenflüsse gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Retention Matrix und Löschprotokoll im Betreiber-System ergänzen." ], "disclaimer": "Automatisch aus SaferPage-Befunden und öffentlicher Website-Evidenz abgeleitet. Risikoakzeptanz, Rechtsbewertung und finale DSFA-/DPIA-Entscheidung müssen Betreiber fachlich dokumentieren." }