{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-08T19:06:13+00:00", "domain": "manager-magazin.de", "scan": { "id": "d06c842c-3da2-4ff0-a67a-5e1126111d81", "checked_at": "2026-06-07 10:21:21.369638+02" }, "summary": "manager-magazin.de Risiko-/DSFA-Center: 14 Risikozeile(n), 0 kritisch, 8 hoch/kritisch, DSFA prüfen.", "status": "hohe Risiken prüfen", "risk_score": 70, "metrics": { "risk_count": 14, "critical_count": 0, "high_count": 8, "risk_score": 70, "dpia_triggers": 2, "activities": 3, "flow_edges": 8, "retention_score": 85 }, "links": { "report": "https://saferpage.de/manager-magazin.de", "risk_center": "https://saferpage.de/risiko/manager-magazin.de", "json": "https://saferpage.de/risiko/manager-magazin.de/export", "csv": "https://saferpage.de/risiko/manager-magazin.de/export-csv", "operator_board": "https://saferpage.de/betreiber/manager-magazin.de", "tickets_markdown": "https://saferpage.de/betreiber/manager-magazin.de/tickets", "trust_center": "https://saferpage.de/trust/manager-magazin.de", "vendor_register": "https://saferpage.de/anbieter/manager-magazin.de", "cookie_declaration": "https://saferpage.de/cookies/manager-magazin.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "operator_1", "title": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "area": "Consent-Nachweis", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Die Zustandsmatrix zeigt Datenschutz-Signale nach Ablehnen.", "recommended_action": "Die Zustandsmatrix zeigt Datenschutz-Signale nach Ablehnen.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "operator_2", "title": "TCF-Decoder: Vendor-Freigaben im Erstaufruf", "area": "Consent/CMP", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "TCF-Vendor-Freigaben wirken im Erstaufruf bereits aktiv.", "recommended_action": "TCF-Vendor-Freigaben wirken im Erstaufruf bereits aktiv.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "operator_3", "title": "Google Consent Mode Default nicht erkannt", "area": "DSGVO/Google-Dienste", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.", "recommended_action": "Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/google-dienste-datenschutzfreundlich-einbinden" }, { "id": "operator_4", "title": "Dateneingabe ohne klaren Datenschutzkontext", "area": "DSGVO/Transparenz", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Datenschutzhinweise in Formularnähe ergänzen.", "recommended_action": "Datenschutzhinweise in Formularnähe ergänzen.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/formulare-datenschutzkonform-absichern" }, { "id": "operator_5", "title": "Formular-Unterseite ohne klaren Datenschutzkontext", "area": "DSGVO/Transparenz", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Formularseiten brauchen direkt erreichbare Datenschutzinformationen.", "recommended_action": "Formularseiten brauchen direkt erreichbare Datenschutzinformationen.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/formulare-datenschutzkonform-absichern" }, { "id": "operator_6", "title": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "area": "TDDDG/ePrivacy", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Nicht notwendige Cookies vor Einwilligung prüfen und blockieren.", "recommended_action": "Nicht notwendige Cookies vor Einwilligung prüfen und blockieren.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "operator_7", "title": "Tracking-Hinweise im Browser-Storage", "area": "TDDDG/ePrivacy", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Local-/Session-Storage mit Tracking-Hinweisen muss consentkonform gesteuert werden.", "recommended_action": "Local-/Session-Storage mit Tracking-Hinweisen muss consentkonform gesteuert werden.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "operator_8", "title": "CSP ohne object-src", "area": "BSI/Security-Header", "risk_level": "mittel", "risk_score": 62, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "object-src 'none' setzen.", "recommended_action": "object-src 'none' setzen.", "owner": "Programm-Owner/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/security-header-setzen" }, { "id": "module_browser_evidence", "title": "Browser-Nachweis", "area": "Prüfmodul", "risk_level": "hoch", "risk_score": 73, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "164 Request(s), 7 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 3 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 0, Fingerprinting-/Replay-Hinweise: 1.", "recommended_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.", "owner": "Betreiber/IT/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "module_google_third_parties", "title": "Google-Dienste & Drittanbieter", "area": "Prüfmodul", "risk_level": "hoch", "risk_score": 60, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "recommended_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Betreiber/IT/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/google-dienste-datenschutzfreundlich-einbinden" }, { "id": "module_accessibility_usability", "title": "Barrierefreiheit & Usability", "area": "Prüfmodul", "risk_level": "mittel", "risk_score": 48, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "64 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 2 Button(s) ohne Namen.", "recommended_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "owner": "Betreiber/IT/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/barrierefreiheit-cookie-banner-formulare" }, { "id": "module_operator_transparency", "title": "Impressum, Kontakt & Datenschutzerklärung", "area": "Prüfmodul", "risk_level": "mittel", "risk_score": 45, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Impressum: nein, Datenschutz: nein, Kontakt: ja.", "recommended_action": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.", "owner": "Betreiber/IT/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen" }, { "id": "finding_pre_consent_nonessential_cookies", "title": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "area": "privacy", "risk_level": "mittel", "risk_score": 58, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "recommended_action": "Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.", "owner": "Website-Betrieb/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "finding_imprint_missing", "title": "Kein Impressum-Link erkannt", "area": "privacy", "risk_level": "mittel", "risk_score": 58, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Kein Impressum-Link erkannt", "recommended_action": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.", "owner": "Website-Betrieb/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen" } ], "dpia_screening": { "status": "DSFA prüfen", "summary": "DSFA-/DPIA-Fallback: 2 Risikofaktor(en) aus öffentlicher Website-Evidenz ausgelöst.", "risk_score": 70, "risk_factors": [ { "id": "tracking", "label": "Tracking, Consent oder Drittanbieter", "triggered": true, "risk_level": "hoch", "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "action": "Consent, Reject, GPC und Anbieterzwecke fachlich bewerten." }, { "id": "vendors", "label": "Drittanbieter und Transferfragen", "triggered": false, "risk_level": "mittel", "evidence": "Anbieterregister prüfen.", "action": "AVV/DPA, Region, Transfergrundlage und TOMs prüfen." }, { "id": "forms", "label": "Formulare oder Dateneingaben", "triggered": true, "risk_level": "mittel", "evidence": "Die Seite kann Newsletter abfragen.", "action": "Zweck, Pflichtfelder, Rechtsgrundlage und Löschfrist dokumentieren." } ], "triggered_count": 2, "high_risk_count": 1, "decision": "DSFA/DSFA-Schwellenentscheidung fachlich starten oder begründet dokumentieren.", "recommended_actions": [ "Risikofaktoren gegen reale Verarbeitung, Datenarten, Empfänger und Zwecke validieren.", "Schutzmaßnahmen, Restrestrisiko und Managemententscheidung dokumentieren.", "Nach Änderungen an Cookies, Formularen, Tracking oder Anbietern erneut scannen." ], "assessment_questions": [ { "question": "Werden Tracking, Profiling, Werbung oder umfangreiche Drittanbieter vor Einwilligung ausgelöst?", "owner": "Datenschutz/Marketing", "status": "prüfen" }, { "question": "Welche Datenarten, Empfänger, Rechtsgrundlagen und Löschfristen sind je Verarbeitung dokumentiert?", "owner": "Datenschutz/IT", "status": "prüfen" }, { "question": "Welche technischen und organisatorischen Schutzmaßnahmen senken das Restrisiko?", "owner": "IT/Security", "status": "prüfen" } ], "recommended_safeguards": [ "Consent-Blocking und Reject/GPC-Test", "Anbieterregister mit AVV/DPA/TIA", "Datenminimierung und klare Löschfristen", "Security-Header und Referrer-Policy", "Audit Receipt und Re-Scan-Nachweise" ] }, "processing_activity_record": { "status": "Betreiber ergänzen", "summary": "RoPA-Entwurf mit 3 Verarbeitungstätigkeit(en) aus öffentlicher Website-Evidenz.", "activities": [ { "id": "website_operations", "name": "Website-Betrieb und Sicherheitslogs", "purpose": "Auslieferung, Sicherheit, Missbrauchsschutz und Fehleranalyse.", "data_categories": "IP-Adresse, Request-Metadaten, Geräteinformationen", "recipient_categories": "Hosting, CDN, interne IT", "risk_level": "mittel", "owner": "IT/Webbetrieb", "legal_basis_hint": "Berechtigtes Interesse oder Vertrag prüfen." }, { "id": "cookies_tracking", "name": "Cookies, Consent und Nutzungsanalyse", "purpose": "Consent-Verwaltung, Statistik, Marketing oder Komfortfunktionen.", "data_categories": "3 Cookie-/Storage-Signal(e)", "recipient_categories": "CMP, Analytics, Marketing, eigene Website", "risk_level": "mittel", "owner": "Marketing/Datenschutz", "legal_basis_hint": "Einwilligung oder technische Erforderlichkeit je Zweck dokumentieren." }, { "id": "forms_contact", "name": "Formulare, Kontakt und Nutzeranfragen", "purpose": "Bearbeitung von Anfragen, Newsletter, Support oder Konto-/Kontaktprozessen.", "data_categories": "Kontaktinformationen, Kommunikationsinhalte, Identitätsbezug", "recipient_categories": "Fachbereich, Support, CRM, E-Mail", "risk_level": "mittel", "owner": "Fachbereich/Datenschutz", "legal_basis_hint": "Vertrag, Einwilligung oder berechtigtes Interesse je Formular prüfen." } ], "open_questions": [ { "question": "Welche internen Systeme, Tabellen, Mailboxen oder CRM-Ziele gehören zu jeder Verarbeitung?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "Systemliste je Verarbeitung mit Owner und Löschfrist." }, { "question": "Welche finale Rechtsgrundlage und Speicherfrist gilt je Zweck?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "RoPA-Freigabe, Rechtsgrundlagenmatrix und Retention-Matrix." } ] }, "data_flow_map": { "status": "Mapping ergänzen", "summary": "Data Map mit 8 sichtbaren Datenfluss-Kanten aus Browser- und RoPA-Evidenz.", "edges": [ { "from": "Website-Besucher", "to": "cdn.prod.www.manager-magazin.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "138 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "sp-manager-magazin-de.manager-magazin.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "12 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "cdn.heft.manager-magazin.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "5 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "sams.manager-magazin.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "4 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "assets.adobedtm.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "2 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "benelph.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "1 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "manager-magazin.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "niedrig", "evidence": "1 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "s3.eu-central-1.amazonaws.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "1 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" } ], "open_questions": [ { "question": "Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "System- und Datenflussliste mit Owner, Zweck und Löschfrist." }, { "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis." } ] }, "retention_deletion": { "status": "Retention prüfen", "summary": "Retention-/Deletion-Fallback aus Cookie-Inventar, RoPA-Entwurf und Data Map. Interne Löschläufe muss der Betreiber ergänzen.", "score": 85, "checks": [ { "label": "Cookie-/Storage-Laufzeiten bewertet", "status": "teilweise", "passed": true, "evidence": "3 Cookie-/Storage-Signal(e).", "action": "Laufzeiten, Zweck und Consent-Erfordernis je Eintrag prüfen.", "owner": "Marketing/IT", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen" }, { "label": "Dateninventar mit Löschfristen", "status": "aufbauen", "passed": false, "evidence": "3 Verarbeitungstätigkeit(en), 8 Datenfluss-Kante(n).", "action": "Je Verarbeitung Datenkategorie, System, Speicherfrist und Löschtrigger ergänzen.", "owner": "Datenschutz/IT", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "label": "Backups, Legal Hold und Ausnahmen", "status": "Betreiber-Nachweis", "passed": false, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "action": "Backup-Retention, gesetzliche Aufbewahrung, Sperrvermerk und Löschaufschub dokumentieren.", "owner": "Legal/IT", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" } ], "retention_schedule": [ { "data_category": "Cookies, LocalStorage und SessionStorage", "owner": "Marketing/IT", "default_retention": "Session bis 13 Monate je Zweck prüfen", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "evidence": "3 Signal(e)." }, { "data_category": "Kontakt-, Formular- und Nutzungsdaten", "owner": "Fachbereich/Datenschutz", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "evidence": "Aus RoPA/Data-Map-Fallback." } ], "deletion_workflow": [ { "phase": "Identifizieren", "owner": "Datenschutz/Support", "timebox": "Tag 0-3", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "evidence": "DSAR-Ticket, RoPA/Data Map, Vendor Register." }, { "phase": "Löschung / Sperrung", "owner": "IT/Vendor Owner", "timebox": "Tag 7-21", "action": "System- und Vendor-Aufgaben ausführen und Backups nach Regel behandeln.", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." } ] }, "open_operator_questions": [ { "question": "Welche internen Systeme, Tabellen, Mailboxen oder CRM-Ziele gehören zu jeder Verarbeitung?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "Systemliste je Verarbeitung mit Owner und Löschfrist." }, { "question": "Welche finale Rechtsgrundlage und Speicherfrist gilt je Zweck?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "RoPA-Freigabe, Rechtsgrundlagenmatrix und Retention-Matrix." }, { "question": "Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "System- und Datenflussliste mit Owner, Zweck und Löschfrist." }, { "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis." }, { "question": "Werden Tracking, Profiling, Werbung oder umfangreiche Drittanbieter vor Einwilligung ausgelöst?", "owner": "Datenschutz/Marketing", "status": "prüfen" }, { "question": "Welche Datenarten, Empfänger, Rechtsgrundlagen und Löschfristen sind je Verarbeitung dokumentiert?", "owner": "Datenschutz/IT", "status": "prüfen" }, { "question": "Welche technischen und organisatorischen Schutzmaßnahmen senken das Restrisiko?", "owner": "IT/Security", "status": "prüfen" } ], "recommended_safeguards": [ "Consent-Blocking und Reject/GPC-Test", "Anbieterregister mit AVV/DPA/TIA", "Datenminimierung und klare Löschfristen", "Security-Header und Referrer-Policy", "Audit Receipt und Re-Scan-Nachweise" ], "priority_actions": [ "Risikofaktoren gegen reale Verarbeitung, Datenarten, Empfänger und Zwecke validieren.", "Schutzmaßnahmen, Restrestrisiko und Managemententscheidung dokumentieren.", "Nach Änderungen an Cookies, Formularen, Tracking oder Anbietern erneut scannen.", "RoPA-Entwurf fachlich ergänzen, interne Systeme zuordnen und gegen Datenschutzhinweis abgleichen.", "Sichtbare Datenflüsse gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Retention Matrix und Löschprotokoll im Betreiber-System ergänzen." ], "disclaimer": "Automatisch aus SaferPage-Befunden und öffentlicher Website-Evidenz abgeleitet. Risikoakzeptanz, Rechtsbewertung und finale DSFA-/DPIA-Entscheidung müssen Betreiber fachlich dokumentieren." }