Risk Register / DPIA
independent24.wordpress.com Risiko-/DSFA-Center: 18 Risikozeile(n), 4 kritisch, 13 hoch/kritisch, dpia_empfohlen.
Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden.
Privacy Risk Register
Nicht notwendige Cookies, Tracker oder Vendoren können ohne belastbare Einwilligung aktiv sein.
Consent-Blocking, Reject-Test, GPC und Cookie-Kategorien prüfen.Unklare Anbieterrollen, Drittlandtransfers oder fehlende AVV/DPA-Nachweise erhöhen Compliance-Risiko.
Top-Anbieter priorisieren, AVV/DPA/TIA prüfen und Vendor-Akte vervollständigen.Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-/DPIA-Entscheidung.
DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren.Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.
Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
Datenschutzerklärung sollte zentrale Pflichtinformationen vollständig abdecken.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
Erkannte Anbieter müssen in der Datenschutzerklärung konkret und verständlich erscheinen.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
Bei Zahlung Betreiber, Datenschutz und Zahlungsdienstleister klar benennen.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
Externe Formularziele für personenbezogene Daten prüfen und transparent erklären.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
Formulare mit personenbezogenen Daten per POST senden und Tracking auf Formularseiten begrenzen.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
TCF-Vendor-Freigaben wirken im Erstaufruf bereits aktiv.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.
US-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen.Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.
Incident Verantwortlichkeit, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten.Nutzer erhalten möglicherweise keine vollständige Information zu Anbietern, Cookies oder Zwecken.
Datenschutzerklärung, Cookie-Tabelle und Anbieterregister gegen Scan-Evidenz aktualisieren.DSFA / DPIA
DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.
DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 70/100, 5 ausgelöste Risikofaktor(en), 4 hoch.
Tracking, Profiling, sensible Daten, Drittanbieter und Datenflüsse fachlich bewerten.
11 Formular(e), Datenarten: E-Mail, Newsletter, Adresse, Kontaktformular, Login/Passwort
0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext vorhanden.
4 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.
26 Anbieterregister-Eintrag/Einträge, 26 Drittanbieter-Domain(s).
Transfer hoch 4, unklar 22.
PII-Risiko unklar, Referrer-betroffene Domains 4.
Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.
0 externe Embed-/Widget-Element(e) vorab geladen.
GPC-Test mit 0 datenschutzrelevanten Domain(s).
RoPA / Verzeichnis
Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.
Verantwortlich · Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.
Verantwortlich · TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.
Verantwortlich · Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.
Verantwortlich · Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.Data Map
11 Formular(e), Datenarten E-Mail, Newsletter, Adresse, Kontaktformular, Login/Passwort.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
26 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 4 mit hohem Prüfbedarf, 22 unklar.
26 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 4 mit hohem Prüfbedarf, 22 unklar.
26 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 4 mit hohem Prüfbedarf, 22 unklar.
26 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 4 mit hohem Prüfbedarf, 22 unklar.
Retention / Löschung
Session bis 13 Monate je Zweck prüfen
Ablauf, Widerruf, Zweckende, technische BereinigungZweckende plus notwendige Nachweis-/Verjährungsfrist
Anfrage erledigt, Abmeldung, Zweckende, LöschanfrageNach Anbieterzweck, AVV/DPA und Transferprüfung
Vendor-Offboarding, Zweckende, DSAR-Löschung, VertragsendeNachweispflicht und Sicherheitsbedarf fachlich festlegen
Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfälltEntwurf aus Scan-Evidenz: 14 Cookie(s), 26 Drittanbieter-Domain(s), 9 Storage-Key(s).
Cookies 23, fehlende Laufzeit 0, Retention-Risiken 3, langlebige Hinweise 7.
4 Verarbeitungstätigkeit(en), 67 Data-Map-Knoten, 7 Datenart(en).
56 Rechtsgrundlagenzeile(n) im Report.
DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.
Vendor-Due-Diligence mit 26 Anbieter(n), 4 hohem Risiko, 26 AVV-/DPA-Prüfung(en) und 26 Transfer-/Jurisdiktionsfrage(n).
Aus öffentlichem Scan nicht beweisbar.
Formulare 11, Datenschutzkontext ja.
Prüfbeleg vorhanden, Root-Hash 645b2fc89b7209a0.
Alerts 0, Regulatory-Pflichten 10.
Offene Entscheidungen
Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept.
Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag.
Retention-Matrix je Datenkategorie, System und Empfänger.