{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-08T20:47:06+00:00", "domain": "du-bist-grieche.de", "scan": { "id": "c4f3d98c-f475-4017-800b-cc17e7f4d325", "checked_at": "2026-06-07 21:10:08.857238+02" }, "summary": "du-bist-grieche.de Risiko-/DSFA-Center: 18 Risikozeile(n), 4 kritisch, 13 hoch/kritisch, dpia_empfohlen.", "status": "kritisch", "risk_score": 88, "metrics": { "risk_count": 18, "critical_count": 4, "high_count": 13, "risk_score": 88, "dpia_triggers": 4, "activities": 3, "flow_edges": 74, "retention_score": 56 }, "links": { "report": "https://saferpage.de/du-bist-grieche.de", "risk_center": "https://saferpage.de/risiko/du-bist-grieche.de", "json": "https://saferpage.de/risiko/du-bist-grieche.de/export", "csv": "https://saferpage.de/risiko/du-bist-grieche.de/export-csv", "operator_board": "https://saferpage.de/betreiber/du-bist-grieche.de", "tickets_markdown": "https://saferpage.de/betreiber/du-bist-grieche.de/tickets", "trust_center": "https://saferpage.de/trust/du-bist-grieche.de", "vendor_register": "https://saferpage.de/anbieter/du-bist-grieche.de", "cookie_declaration": "https://saferpage.de/cookies/du-bist-grieche.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "vendor_risk_register", "sla": "30 Tage", "area": "Vendor Risk", "owner": "Legal/Vendor Owner", "title": "Vendor-, AVV-/DPA- und Transfer-Risiko", "impact": "Unklare Anbieterrollen, Drittlandtransfers oder fehlende AVV/DPA-Nachweise erhöhen Compliance-Risiko.", "source": "vendor_due_diligence", "due_days": 30, "evidence": "Vendor-Due-Diligence mit 17 Anbieter(n), 6 hohem Risiko, 17 AVV-/DPA-Prüfung(en) und 17 Transfer-/Jurisdiktionsfrage(n).", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 98, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#vendor_risk_register", "recommended_action": "Top-Anbieter priorisieren, AVV/DPA/TIA prüfen und Vendor-Akte vervollständigen." }, { "id": "privacy_notice_gap_risk", "sla": "14 Tage", "area": "Transparenz", "owner": "Datenschutz/Content", "title": "Datenschutzhinweis deckt beobachtete Technik nicht vollständig ab", "impact": "Nutzer erhalten möglicherweise keine vollständige Information zu Anbietern, Cookies oder Zwecken.", "source": "privacy_disclosure_gap_analysis", "due_days": 14, "evidence": "Disclosure-Abgleich: 5 beobachtete Anbieter, 5 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#privacy_notice_gap_risk", "recommended_action": "Datenschutzerklärung, Cookie-Tabelle und Anbieterregister gegen Scan-Evidenz aktualisieren." }, { "id": "data_flow_risk", "sla": "30 Tage", "area": "Data Map", "owner": "Datenschutz/IT", "title": "Hohe Risiken in Datenflüssen", "impact": "Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.", "source": "data_flow_map", "due_days": 30, "evidence": "Data Map mit 51 Knoten und 74 Datenfluss-Kanten; 34 Kante(n) hohes Risiko, 17 Transfer-Kante(n), 3 offene Mapping-Fragen.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#data_flow_risk", "recommended_action": "Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären." }, { "id": "dpia_decision_risk", "sla": "30 Tage", "area": "Privacy by Design", "owner": "Datenschutz/Product/Legal", "title": "DPIA-/DSFA-Entscheidung offen", "impact": "Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-/DPIA-Entscheidung.", "source": "dpia_screening", "due_days": 30, "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 52/100, 4 ausgelöste Risikofaktor(en), 3 hoch.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 92, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#dpia_decision_risk", "recommended_action": "DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren." }, { "id": "SP-001", "sla": "7 Tage", "area": "DSGVO/Transparenz", "owner": "Datenschutz", "title": "Erkannte Anbieter fehlen in der Datenschutzerklärung", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "Erkannte Anbieter müssen in der Datenschutzerklärung konkret und verständlich erscheinen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-001", "recommended_action": "Erkannte Anbieter müssen in der Datenschutzerklärung konkret und verständlich erscheinen." }, { "id": "SP-002", "sla": "7 Tage", "area": "PII-Datenleck", "owner": "Datenschutz", "title": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "Sensible URL-Parameter aus Drittanbieter-Requests und Referrern entfernen.", "guide_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-002", "recommended_action": "Sensible URL-Parameter aus Drittanbieter-Requests und Referrern entfernen." }, { "id": "SP-003", "sla": "7 Tage", "area": "Referrer-Datenabfluss", "owner": "Website-Betrieb", "title": "Drittanbieter können vollen Referrer-Kontext erhalten", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "Referrer-Policy so setzen, dass Drittanbieter keine vollen Pfade oder Suchparameter erhalten.", "guide_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-003", "recommended_action": "Referrer-Policy so setzen, dass Drittanbieter keine vollen Pfade oder Suchparameter erhalten." }, { "id": "SP-004", "sla": "7 Tage", "area": "Session-Replay", "owner": "Website-Betrieb", "title": "Session-Replay-Anbieter im Browseraufruf erkannt", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "Session-Replay erst nach Einwilligung laden und Eingabefelder maskieren.", "guide_url": "/guides/session-replay-und-fingerprinting-pruefen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-004", "recommended_action": "Session-Replay erst nach Einwilligung laden und Eingabefelder maskieren." }, { "id": "SP-005", "sla": "7 Tage", "area": "Beacon-/Telemetry-Tracking", "owner": "Datenschutz/Marketing", "title": "Beacon-/Keepalive-Telemetrie erkannt", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "sendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen.", "guide_url": "/guides/tracking-pixel-und-beacons-begrenzen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-005", "recommended_action": "sendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen." }, { "id": "SP-006", "sla": "7 Tage", "area": "Cookie-Laufzeit", "owner": "Datenschutz/Marketing", "title": "Langlebige Tracking-/Marketing-Cookies", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "Tracking-/Marketing-Cookies mit langer Laufzeit begrenzen und Consent prüfen.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-006", "recommended_action": "Tracking-/Marketing-Cookies mit langer Laufzeit begrenzen und Consent prüfen." }, { "id": "SP-007", "sla": "7 Tage", "area": "DSGVO/Google-Dienste", "owner": "Datenschutz/Marketing", "title": "Google Consent Mode Default nicht erkannt", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.", "guide_url": "/guides/google-dienste-datenschutzfreundlich-einbinden", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-007", "recommended_action": "Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults." }, { "id": "SP-008", "sla": "7 Tage", "area": "Drittlandtransfer", "owner": "Datenschutz", "title": "Drittland-/US-Anbieter im Browseraufruf prüfen", "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.", "source": "remediation_workflow", "due_days": 7, "evidence": "US-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen.", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#SP-008", "recommended_action": "US-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen." }, { "id": "incident_readiness_risk", "sla": "7 Tage", "area": "Incident Response", "owner": "DSB/Legal/IT", "title": "Incident-/Breach-Readiness unzureichend", "impact": "Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.", "source": "incident_breach_readiness", "due_days": 7, "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 4 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).", "guide_url": "/guides/security-header-setzen", "likelihood": "mittel", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#incident_readiness_risk", "recommended_action": "Incident Owner, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten." }, { "id": "pre_consent_tracking_cookies", "sla": "30 Tage", "area": "privacy", "owner": "Website-Betrieb/Datenschutz", "title": "Tracking-Cookies vor Einwilligung gesetzt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Tracking-Cookies vor Einwilligung gesetzt", "guide_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#pre_consent_tracking_cookies", "recommended_action": "Tracking-Cookies erst nach aktiver Einwilligung setzen." }, { "id": "third_party_sensitive_query_leak", "sla": "30 Tage", "area": "privacy", "owner": "Website-Betrieb/Datenschutz", "title": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "guide_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#third_party_sensitive_query_leak", "recommended_action": "Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren." }, { "id": "imprint_missing", "sla": "30 Tage", "area": "privacy", "owner": "Website-Betrieb/Datenschutz", "title": "Kein Impressum-Link erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Kein Impressum-Link erkannt", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#imprint_missing", "recommended_action": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein." }, { "id": "browser_session_replay_provider", "sla": "30 Tage", "area": "privacy", "owner": "Website-Betrieb/Datenschutz", "title": "Session-Replay-Anbieter im Browseraufruf erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Session-Replay-Anbieter im Browseraufruf erkannt", "guide_url": "/guides/session-replay-und-fingerprinting-pruefen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#browser_session_replay_provider", "recommended_action": "Anbieter wie Hotjar erst nach Einwilligung laden, Eingabefelder maskieren und in der Datenschutzerklärung konkret erklären." }, { "id": "long_lived_tracking_cookie", "sla": "30 Tage", "area": "privacy", "owner": "Website-Betrieb/Datenschutz", "title": "Langlebige Tracking-/Marketing-Cookies", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Langlebige Tracking-/Marketing-Cookies", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/du-bist-grieche.de#long_lived_tracking_cookie", "recommended_action": "Cookies wie _ga, _ga_KEQMLP6WM0 auf kurze Laufzeiten begrenzen, erst nach Einwilligung setzen und Speicherdauer konkret erklären." } ], "dpia_screening": { "status": "dpia_empfohlen", "summary": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 52/100, 4 ausgelöste Risikofaktor(en), 3 hoch.", "decision": "DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.", "available": true, "disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-/DSFA-Entscheidung muss fachlich/rechtlich dokumentiert werden.", "risk_score": 52, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "weight": 18, "evidence": "0 Formular(e), Datenarten: keine klaren Datenarten", "severity": "info", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": false }, { "id": "form_context_gaps", "label": "Formulare ohne ausreichenden Datenschutzkontext", "action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.", "weight": 14, "evidence": "0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext fehlt.", "severity": "hoch", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": false }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "weight": 18, "evidence": "6 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.", "severity": "hoch", "guide_url": "/guides/tracking-und-consent-reparieren", "triggered": true }, { "id": "third_party_processors", "label": "Viele Drittanbieter oder Processor", "action": "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "weight": 10, "evidence": "17 Anbieterregister-Eintrag/Einträge, 17 Drittanbieter-Domain(s).", "severity": "mittel", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "triggered": true }, { "id": "international_transfer", "label": "Drittland-/Transferprüfung", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "weight": 12, "evidence": "Transfer hoch 5, unklar 11.", "severity": "hoch", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "triggered": true }, { "id": "pii_leakage", "label": "PII-, Referrer- oder URL-Leakage", "action": "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "weight": 12, "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 6.", "severity": "hoch", "guide_url": "/guides/pii-und-url-datenlecks-vermeiden", "triggered": true }, { "id": "public_authority_or_sensitive_context", "label": "Öffentliche Stelle oder sensibler Nutzungskontext", "action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.", "weight": 8, "evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.", "severity": "mittel", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "triggered": false }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.", "weight": 6, "evidence": "0 externe Embed-/Widget-Element(e) vorab geladen.", "severity": "mittel", "guide_url": "/guides/externe-inhalte-datenschutzfreundlich-einbinden", "triggered": false }, { "id": "gpc_or_optout_gap", "label": "GPC/Opt-out-Lücke", "action": "GPC/Opt-out-Signale respektieren und technisch nachweisen.", "weight": 6, "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).", "severity": "mittel", "guide_url": "/guides/tracking-und-consent-reparieren", "triggered": false } ], "high_risk_count": 3, "triggered_count": 4, "recommended_actions": [ "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Remediation-Tickets vor DPIA-Freigabe priorisieren." ], "assessment_questions": [ { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "owner": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "owner": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "owner": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "owner": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "owner": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "owner": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen." ], "linked_workflow_ticket_count": 8 }, "processing_activity_record": { "status": "Betreiber ergänzen", "summary": "RoPA-Entwurf mit 3 Verarbeitungstätigkeit(en), 1 hohem Risikolevel und 6 offenen Betreiberfragen.", "activities": [ { "name": "Cookies, Web Storage und Consent", "purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.", "evidence": "12 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "transfer": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 88, "recipients": [ "Meta/Facebook", "Google", "du-bist-grieche.de", "files.check24.net", "Eigene Website oder eingebundener Dienst" ], "risk_level": "mittel", "activity_id": "cookies_storage", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.", "controller_hint": "du-bist-grieche.de", "data_categories": [ "Cookie-ID", "Consent-Status", "Geräte-/Browserinformationen", "Storage-Key-Metadaten" ], "operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies/Storage-Einträgen abgleichen.", "legal_basis_hint": "TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 5 }, { "name": "Drittanbieter-Dienste und Einbindungen", "purpose": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.", "evidence": "17 Anbieter/Processor, 17 mit Datenschutz-/Transfer-Prüfbedarf.", "transfer": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 86, "recipients": [ "Meta/Facebook", "Google Tag Manager", "Google Analytics", "files.check24.net", "Hotjar", "cdn.by.wonderpush.com", "a.check24.net", "aff.bstatic.com", "cdn.brevo.com", "in-automate.brevo.com", "scontent-fra3-1.cdninstagram.com", "scontent-fra3-2.cdninstagram.com", "scontent-fra5-1.cdninstagram.com", "scontent-fra5-2.cdninstagram.com", "sibautomation.com" ], "risk_level": "hoch", "activity_id": "third_party_services", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Speicherfristen der Anbieter dokumentieren und Verträge/AVV prüfen.", "controller_hint": "du-bist-grieche.de", "data_categories": [ "IP-Adresse", "Nutzungsdaten", "Geräteinformationen", "Referrer-/Request-Metadaten" ], "operator_action": "AVV/DPA, Rolle, Zweck, Transfergrundlage und Datenschutzerklärung je Anbieter pflegen.", "legal_basis_hint": "Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 15 }, { "name": "Betroffenenrechte- und Datenschutzanfragen", "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.", "evidence": "Betroffenenrechte-Readiness: 24/100 Punkte, 6 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "transfer": "Kein Drittlandtransfer ohne eingesetztes Ticket-/Mail-/Portal-System; Betreiber prüfen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 74, "recipients": [ "interne Datenschutz-/Legal-/Fachbereichsteams" ], "risk_level": "mittel", "activity_id": "privacy_rights_requests", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.", "controller_hint": "du-bist-grieche.de", "data_categories": [ "Identitätsbezug", "Kontaktinformationen", "Anfragetyp", "Kommunikationsinhalte" ], "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 } ], "open_questions": [] }, "data_flow_map": { "status": "kritische Flüsse prüfen", "summary": "Data Map mit 51 Knoten und 74 Datenfluss-Kanten; 34 Kante(n) hohes Risiko, 17 Transfer-Kante(n), 3 offene Mapping-Fragen.", "edges": [ { "type": "controller_activity", "label": "verantwortet", "source": "controller:du-bist-grieche-de", "target": "activity:cookies-storage", "edge_id": "controller:du-bist-grieche-de->activity:cookies-storage:verantwortet", "evidence": "12 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 80, "risk_level": "mittel", "source_label": "du-bist-grieche.de", "target_label": "Cookies, Web Storage und Consent", "operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:cookie-id", "edge_id": "activity:cookies-storage->data:cookie-id:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Cookie-ID", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:consent-status", "edge_id": "activity:cookies-storage->data:consent-status:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Consent-Status", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:ger-te-browserinformationen", "edge_id": "activity:cookies-storage->data:ger-te-browserinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Geräte-/Browserinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:storage-key-metadaten", "edge_id": "activity:cookies-storage->data:storage-key-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Storage-Key-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:meta-facebook", "edge_id": "activity:cookies-storage->recipient:meta-facebook:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Meta/Facebook", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:google", "edge_id": "activity:cookies-storage->recipient:google:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Google", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:du-bist-grieche-de", "edge_id": "activity:cookies-storage->recipient:du-bist-grieche-de:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "du-bist-grieche.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:files-check24-net", "edge_id": "activity:cookies-storage->recipient:files-check24-net:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "files.check24.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:eigene-website-oder-eingebundener-dienst", "edge_id": "activity:cookies-storage->recipient:eigene-website-oder-eingebundener-dienst:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Eigene Website oder eingebundener Dienst", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:du-bist-grieche-de", "target": "activity:third-party-services", "edge_id": "controller:du-bist-grieche-de->activity:third-party-services:verantwortet", "evidence": "17 Anbieter/Processor, 17 mit Datenschutz-/Transfer-Prüfbedarf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 80, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "Drittanbieter-Dienste und Einbindungen", "operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ip-adresse", "edge_id": "activity:third-party-services->data:ip-adresse:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "IP-Adresse", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:nutzungsdaten", "edge_id": "activity:third-party-services->data:nutzungsdaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Nutzungsdaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ger-teinformationen", "edge_id": "activity:third-party-services->data:ger-teinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Geräteinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:referrer-request-metadaten", "edge_id": "activity:third-party-services->data:referrer-request-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Referrer-/Request-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:meta-facebook", "edge_id": "activity:third-party-services->recipient:meta-facebook:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Meta/Facebook", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-tag-manager", "edge_id": "activity:third-party-services->recipient:google-tag-manager:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Tag Manager", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-analytics", "edge_id": "activity:third-party-services->recipient:google-analytics:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Analytics", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:files-check24-net", "edge_id": "activity:third-party-services->recipient:files-check24-net:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "files.check24.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:hotjar", "edge_id": "activity:third-party-services->recipient:hotjar:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Hotjar", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:cdn-by-wonderpush-com", "edge_id": "activity:third-party-services->recipient:cdn-by-wonderpush-com:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "cdn.by.wonderpush.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:a-check24-net", "edge_id": "activity:third-party-services->recipient:a-check24-net:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "a.check24.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:aff-bstatic-com", "edge_id": "activity:third-party-services->recipient:aff-bstatic-com:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "aff.bstatic.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:cdn-brevo-com", "edge_id": "activity:third-party-services->recipient:cdn-brevo-com:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "cdn.brevo.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:in-automate-brevo-com", "edge_id": "activity:third-party-services->recipient:in-automate-brevo-com:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "in-automate.brevo.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:scontent-fra3-1-cdninstagram-com", "edge_id": "activity:third-party-services->recipient:scontent-fra3-1-cdninstagram-com:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "scontent-fra3-1.cdninstagram.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:scontent-fra3-2-cdninstagram-com", "edge_id": "activity:third-party-services->recipient:scontent-fra3-2-cdninstagram-com:bermittelt-an-empf-nger", "evidence": "17 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 5 mit hohem Prüfbedarf, 11 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "scontent-fra3-2.cdninstagram.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:du-bist-grieche-de", "target": "activity:privacy-rights-requests", "edge_id": "controller:du-bist-grieche-de->activity:privacy-rights-requests:verantwortet", "evidence": "Betroffenenrechte-Readiness: 24/100 Punkte, 6 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 80, "risk_level": "mittel", "source_label": "du-bist-grieche.de", "target_label": "Betroffenenrechte- und Datenschutzanfragen", "operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:identit-tsbezug", "edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Identitätsbezug", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kontaktinformationen", "edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kontaktinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:anfragetyp", "edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Anfragetyp", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kommunikationsinhalte", "edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kommunikationsinhalte", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:privacy-rights-requests", "target": "recipient:interne-datenschutz-legal-fachbereichsteams", "edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger", "evidence": "Kein Drittlandtransfer ohne eingesetztes Ticket-/Mail-/Portal-System; Betreiber prüfen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "interne Datenschutz-/Legal-/Fachbereichsteams", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:meta-facebook", "edge_id": "controller:du-bist-grieche-de->vendor:meta-facebook:setzt-anbieter-ein", "evidence": "2 Request(s), 1 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "Meta/Facebook", "operator_action": "Vor Einwilligung blockieren oder klar begründen; Anbieter in Consent-Banner und Datenschutzerklärung nennen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:meta-facebook", "target": "transfer:drittland-usa", "edge_id": "vendor:meta-facebook->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Meta/Facebook", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:meta-facebook", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:meta-facebook:flie-t-an-anbieter", "evidence": "2 Request(s), 1 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Meta/Facebook", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:meta-facebook", "edge_id": "controller:du-bist-grieche-de->vendor:meta-facebook:setzt-anbieter-ein", "evidence": "1 Request(s), 1 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "Meta/Facebook", "operator_action": "Vor Einwilligung blockieren oder klar begründen; Anbieter in Consent-Banner und Datenschutzerklärung nennen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:meta-facebook", "target": "transfer:drittland-usa", "edge_id": "vendor:meta-facebook->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Meta/Facebook", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:meta-facebook", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:meta-facebook:flie-t-an-anbieter", "evidence": "1 Request(s), 1 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Meta/Facebook", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:google-tag-manager", "edge_id": "controller:du-bist-grieche-de->vendor:google-tag-manager:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "Google Tag Manager", "operator_action": "Vor Einwilligung blockieren oder klar begründen; Anbieter in Consent-Banner und Datenschutzerklärung nennen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-tag-manager", "target": "transfer:drittland-usa", "edge_id": "vendor:google-tag-manager->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Tag Manager", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-tag-manager", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-tag-manager:flie-t-an-anbieter", "evidence": "3 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google Tag Manager", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:google-analytics", "edge_id": "controller:du-bist-grieche-de->vendor:google-analytics:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "Google Analytics", "operator_action": "Analytics erst nach Einwilligung oder datenschutzfreundlich ohne personenbezogene Profile betreiben." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-analytics", "target": "transfer:drittland-usa", "edge_id": "vendor:google-analytics->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Analytics", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-analytics", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-analytics:flie-t-an-anbieter", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google Analytics", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:google-analytics", "edge_id": "controller:du-bist-grieche-de->vendor:google-analytics:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "Google Analytics", "operator_action": "Analytics erst nach Einwilligung oder datenschutzfreundlich ohne personenbezogene Profile betreiben." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-analytics", "target": "transfer:drittland-usa", "edge_id": "vendor:google-analytics->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Analytics", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-analytics", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-analytics:flie-t-an-anbieter", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google Analytics", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:files-check24-net", "edge_id": "controller:du-bist-grieche-de->vendor:files-check24-net:setzt-anbieter-ein", "evidence": "7 Request(s), 1 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "du-bist-grieche.de", "target_label": "files.check24.net", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:files-check24-net", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:files-check24-net->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "files.check24.net", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:files-check24-net", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:files-check24-net:flie-t-an-anbieter", "evidence": "7 Request(s), 1 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "files.check24.net", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:hotjar", "edge_id": "controller:du-bist-grieche-de->vendor:hotjar:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "du-bist-grieche.de", "target_label": "Hotjar", "operator_action": "Zweck für Session-Replay prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:hotjar", "target": "transfer:eu-ewr", "edge_id": "vendor:hotjar->transfer:eu-ewr:transfer-jurisdiktionspr-fung", "evidence": "EU/EWR", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "Hotjar", "target_label": "EU/EWR", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:hotjar", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:hotjar:flie-t-an-anbieter", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "mittel", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Hotjar", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:cdn-by-wonderpush-com", "edge_id": "controller:du-bist-grieche-de->vendor:cdn-by-wonderpush-com:setzt-anbieter-ein", "evidence": "4 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "du-bist-grieche.de", "target_label": "cdn.by.wonderpush.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:cdn-by-wonderpush-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:cdn-by-wonderpush-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "cdn.by.wonderpush.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:a-check24-net", "edge_id": "controller:du-bist-grieche-de->vendor:a-check24-net:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "a.check24.net", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:a-check24-net", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:a-check24-net->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "a.check24.net", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:aff-bstatic-com", "edge_id": "controller:du-bist-grieche-de->vendor:aff-bstatic-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "aff.bstatic.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:aff-bstatic-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:aff-bstatic-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "aff.bstatic.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:cdn-brevo-com", "edge_id": "controller:du-bist-grieche-de->vendor:cdn-brevo-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "cdn.brevo.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:cdn-brevo-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:cdn-brevo-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "cdn.brevo.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:in-automate-brevo-com", "edge_id": "controller:du-bist-grieche-de->vendor:in-automate-brevo-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "in-automate.brevo.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:in-automate-brevo-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:in-automate-brevo-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "in-automate.brevo.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:scontent-fra3-1-cdninstagram-com", "edge_id": "controller:du-bist-grieche-de->vendor:scontent-fra3-1-cdninstagram-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "scontent-fra3-1.cdninstagram.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:scontent-fra3-1-cdninstagram-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:scontent-fra3-1-cdninstagram-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "scontent-fra3-1.cdninstagram.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:scontent-fra3-2-cdninstagram-com", "edge_id": "controller:du-bist-grieche-de->vendor:scontent-fra3-2-cdninstagram-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "scontent-fra3-2.cdninstagram.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:scontent-fra3-2-cdninstagram-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:scontent-fra3-2-cdninstagram-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "scontent-fra3-2.cdninstagram.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:scontent-fra5-1-cdninstagram-com", "edge_id": "controller:du-bist-grieche-de->vendor:scontent-fra5-1-cdninstagram-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "scontent-fra5-1.cdninstagram.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:scontent-fra5-1-cdninstagram-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:scontent-fra5-1-cdninstagram-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "scontent-fra5-1.cdninstagram.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:scontent-fra5-2-cdninstagram-com", "edge_id": "controller:du-bist-grieche-de->vendor:scontent-fra5-2-cdninstagram-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "scontent-fra5-2.cdninstagram.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:scontent-fra5-2-cdninstagram-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:scontent-fra5-2-cdninstagram-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "scontent-fra5-2.cdninstagram.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:du-bist-grieche-de", "target": "vendor:sibautomation-com", "edge_id": "controller:du-bist-grieche-de->vendor:sibautomation-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "du-bist-grieche.de", "target_label": "sibautomation.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:sibautomation-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:sibautomation-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "sibautomation.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." } ], "open_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Ticketsysteme oder Mailboxen.", "owner": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Owner, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "owner": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "owner": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." } ] }, "retention_deletion": { "status": "ausbaufähig", "summary": "Retention-/Deletion-Readiness 56/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "score": 56, "checks": [ { "id": "retention_notice", "label": "Speicherfristen und Löschung im Datenschutzhinweis", "owner": "Datenschutz/Content", "action": "Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Entwurf aus Scan-Evidenz: 9 Cookie(s), 17 Drittanbieter-Domain(s), 3 Storage-Key(s).", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "cookie_retention", "label": "Cookie-/Storage-Laufzeiten bewertet", "owner": "Marketing/IT", "action": "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.", "passed": false, "status": "fehlt", "weight": 12, "evidence": "Cookies 12, fehlende Laufzeit 0, Retention-Risiken 6, langlebige Hinweise 3.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "manual_review": false }, { "id": "data_inventory_retention", "label": "Dateninventar mit Datenarten und Systemen", "owner": "Datenschutz/IT", "action": "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA/Data Map ergänzen.", "passed": false, "status": "fehlt", "weight": 14, "evidence": "3 Verarbeitungstätigkeit(en), 51 Data-Map-Knoten, 0 Datenart(en).", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "legal_basis_retention", "label": "Rechtsgrundlage, Zweck und Aufbewahrung verknüpft", "owner": "Datenschutz/Legal", "action": "Retention je Zweck/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "28 Rechtsgrundlagenzeile(n) im Report.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "erasure_workflow", "label": "Löschanfragen mit DSAR-Workflow verbunden", "owner": "Datenschutz/Support/IT", "action": "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.", "passed": false, "status": "fehlt", "weight": 12, "evidence": "DSAR-Workflow-Readiness 48/100; 5/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "vendor_deletion", "label": "Vendor-/Processor-Löschung und Rückgabe steuerbar", "owner": "Legal/Vendor Owner", "action": "AVV/DPA, Rückgabe/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Vendor-Due-Diligence mit 17 Anbieter(n), 6 hohem Risiko, 17 AVV-/DPA-Prüfung(en) und 17 Transfer-/Jurisdiktionsfrage(n).", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "manual_review": false }, { "id": "backup_legal_hold", "label": "Backups, Legal Hold und Ausnahmen geregelt", "owner": "Legal/IT", "action": "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.", "passed": false, "status": "prüfen", "weight": 8, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": true }, { "id": "minimization_trigger", "label": "Datenminimierung und Löschtrigger bei Formularen", "owner": "Fachbereich/Datenschutz", "action": "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-/Support-Weitergabe prüfen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Formulare 0, Datenschutzkontext nein.", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "manual_review": false }, { "id": "deletion_evidence", "label": "Löschprotokoll und Integritätsnachweis", "owner": "Compliance/IT", "action": "Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-/Audit-Nachweis protokollieren.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Prüfbeleg vorhanden, Root-Hash 1cf6b6b937ea6aae.", "guide_url": "/methodik", "manual_review": false }, { "id": "change_monitoring", "label": "Change Trigger für Retention-Risiken", "owner": "Datenschutz/IT", "action": "Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Alerts 0, Regulatory-Pflichten 10.", "guide_url": "/monitoring", "manual_review": false } ], "retention_schedule": [ { "id": "cookies_storage", "owner": "Marketing/IT", "source": "Browser-/Cookie-Inventar", "evidence": "12 Cookie-/Storage-Eintrag/Einträge; Retention-Risiken 6.", "data_category": "Cookies, LocalStorage und SessionStorage", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "default_retention": "Session bis 13 Monate je Zweck prüfen" }, { "id": "contact_forms", "owner": "Fachbereich/Datenschutz", "source": "Formular- und Datenartenanalyse", "evidence": "Formulare 0, Datenarten 0.", "data_category": "Kontakt-, Newsletter- und Formularangaben", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist" }, { "id": "vendor_logs", "owner": "Vendor Owner/Legal", "source": "Vendor Register / Data Map", "evidence": "17 Anbieter, 17 DPA-Prüfungen.", "data_category": "Drittanbieter-, Tracking- und Supportdaten", "deletion_trigger": "Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende", "default_retention": "Nach Anbieterzweck, AVV/DPA und Transferprüfung" }, { "id": "security_audit_logs", "owner": "Compliance/IT", "source": "Audit Receipt / Evidence Pack", "evidence": "Prüfbeleg und Hash-Manifest als Nachweisquelle.", "data_category": "Security-, Consent- und Audit-Nachweise", "deletion_trigger": "Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt", "default_retention": "Nachweispflicht und Sicherheitsbedarf fachlich festlegen" } ], "deletion_workflow": [ { "id": "identify", "owner": "Datenschutz/Support", "phase": "Identifizieren", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "timebox": "Tag 0-3", "evidence": "DSAR-Ticket, RoPA/Data Map, Vendor Register." }, { "id": "hold_check", "owner": "Legal/Fachbereich", "phase": "Legal Hold & Aufbewahrung", "action": "Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.", "timebox": "Tag 3-7", "evidence": "Hold-Entscheidung, Rechtsgrund, Sperrvermerk." }, { "id": "execute", "owner": "IT/Vendor Owner", "phase": "Löschung / Sperrung", "action": "System- und Vendor-Aufgaben ausführen, Backups/Archive nach Retention-Regel behandeln.", "timebox": "Tag 7-21", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." }, { "id": "verify", "owner": "Datenschutz/Compliance", "phase": "Nachweis & Antwort", "action": "Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.", "timebox": "bis Tag 30", "evidence": "Deletion-Log, Abschlussnotiz, Antwortkopie." } ] }, "open_operator_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Ticketsysteme oder Mailboxen.", "owner": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Owner, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "owner": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "owner": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." }, { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "owner": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "owner": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "owner": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "owner": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "owner": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "owner": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen." ], "priority_actions": [ "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Remediation-Tickets vor DPIA-Freigabe priorisieren.", "RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.", "Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.", "RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren.", "Top-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Interne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.", "Data Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular/Cookie erneut prüfen.", "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.", "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA/Data Map ergänzen.", "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.", "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren." ], "disclaimer": "Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden." }