{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-28T20:00:42+00:00", "domain": "mycomics.de", "scan": { "id": "cbf58645-5186-4bc0-950e-5d48615342c9", "checked_at": "2026-06-28 14:27:09.696124+02" }, "summary": "mycomics.de Risiko-/DSFA-Center: 18 Risikozeile(n), 4 kritisch, 10 hoch/kritisch, dpia_empfohlen.", "status": "kritisch", "risk_score": 88, "metrics": { "risk_count": 18, "critical_count": 4, "high_count": 10, "risk_score": 88, "dpia_triggers": 5, "activities": 4, "flow_edges": 44, "retention_score": 92 }, "links": { "report": "https://saferpage.de/mycomics.de", "risk_center": "https://saferpage.de/risiko/mycomics.de", "json": "https://saferpage.de/risiko/mycomics.de/export", "csv": "https://saferpage.de/risiko/mycomics.de/export-csv", "operator_board": "https://saferpage.de/betreiber/mycomics.de", "evidence_markdown": "https://saferpage.de/betreiber/mycomics.de", "trust_center": "https://saferpage.de/trust/mycomics.de", "vendor_register": "https://saferpage.de/anbieter/mycomics.de", "cookie_declaration": "https://saferpage.de/cookies/mycomics.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "dpia_decision_risk", "target_time": "30 Tage", "area": "Privacy by Design", "responsibility": "Datenschutz/Product/Legal", "title": "DPIA-/DSFA-Entscheidung offen", "impact": "Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-/DPIA-Entscheidung.", "source": "dpia_screening", "due_days": 30, "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 70/100, 5 ausgelöste Risikofaktor(en), 4 hoch.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/mycomics.de#dpia_decision_risk", "recommended_action": "DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren." }, { "id": "data_flow_risk", "target_time": "30 Tage", "area": "Data Map", "responsibility": "Datenschutz/IT", "title": "Hohe Risiken in Datenflüssen", "impact": "Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.", "source": "data_flow_map", "due_days": 30, "evidence": "Data Map mit 37 Knoten und 44 Datenfluss-Kanten; 24 Kante(n) hohes Risiko, 2 Transfer-Kante(n), 3 offene Mapping-Fragen.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/mycomics.de#data_flow_risk", "recommended_action": "Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären." }, { "id": "vendor_risk_register", "target_time": "30 Tage", "area": "Vendor Risk", "responsibility": "Legal/Vendor-Verantwortung", "title": "Vendor-, AVV-/DPA- und Transfer-Risiko", "impact": "Unklare Anbieterrollen, Drittlandtransfers oder fehlende AVV/DPA-Nachweise erhöhen Compliance-Risiko.", "source": "vendor_due_diligence", "due_days": 30, "evidence": "Vendor-Due-Diligence mit 7 Anbieter(n), 1 hohem Risiko, 7 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 92, "operator_decision": "beheben", "public_report_path": "/mycomics.de#vendor_risk_register", "recommended_action": "Top-Anbieter priorisieren, AVV/DPA/TIA prüfen und Vendor-Akte vervollständigen." }, { "id": "known_vulnerability_advisory", "target_time": "sofort", "area": "vulnerability", "responsibility": "Website-Betrieb/Datenschutz", "title": "CVE-2014-9509: The frontend rendering component in TYPO3 4.5.x before 4.5.39, 4.6.x through 6.2.x before 6.2.9, and 7.x before 7.0.2, when config.prefixLocalAnchors is set to all or cached, allow", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 0, "evidence": "CVE-2014-9509: The frontend rendering component in TYPO3 4.5.x before 4.5.39, 4.6.x through 6.2.x before 6.2.9, and 7.x before 7.0.2, when config.prefixLocalAnchors is set to all or cached, allow", "background_url": "/guides/sichtbare-versionen-und-cves-beheben", "likelihood": "hoch", "risk_level": "kritisch", "risk_score": 92, "operator_decision": "beheben", "public_report_path": "/mycomics.de#known_vulnerability_advisory", "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version." }, { "id": "SP-001", "target_time": "7 Tage", "area": "BSI/Patchmanagement", "responsibility": "Technik", "title": "CVE-2013-4250: The (1) file upload component and (2) File Abstraction Layer (FAL) in TYPO3 6.0.x before 6.0.8 and 6.1.x before 6.1.3 do not properly check file extensions, which allow remote auth", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "background_url": "/guides/sichtbare-versionen-und-cves-beheben", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/mycomics.de#SP-001", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern." }, { "id": "SP-002", "target_time": "7 Tage", "area": "Barrierefreiheit & Usability", "responsibility": "UX/Content", "title": "Barrierefreiheit & Usability", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "25 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 3 Button(s) ohne Namen.", "background_url": "/guides/barrierefreiheit-cookie-banner-formulare", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/mycomics.de#SP-002", "recommended_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen." }, { "id": "SP-003", "target_time": "7 Tage", "area": "Browser-Nachweis", "responsibility": "Website-Betrieb", "title": "Browser-Nachweis", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "80 Request(s), 7 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 6 Browser-Cookie(s), Transfer-Prüfbedarf: 1, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 0.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/mycomics.de#SP-003", "recommended_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden." }, { "id": "SP-004", "target_time": "7 Tage", "area": "Sicherheit, TLS & Header", "responsibility": "Technik", "title": "Sicherheit, TLS & Header", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 2.", "background_url": "/guides/security-header-setzen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/mycomics.de#SP-004", "recommended_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren." }, { "id": "SP-005", "target_time": "7 Tage", "area": "Datenschutz, Cookies & Consent", "responsibility": "Datenschutz/Marketing", "title": "Datenschutz, Cookies & Consent", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "0 Tracking-Script(s), 6 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 0.", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/mycomics.de#SP-005", "recommended_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären." }, { "id": "incident_readiness_risk", "target_time": "7 Tage", "area": "Incident Response", "responsibility": "DSB/Legal/IT", "title": "Incident-/Breach-Readiness unzureichend", "impact": "Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.", "source": "incident_breach_readiness", "due_days": 7, "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 4 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).", "background_url": "/guides/security-header-setzen", "likelihood": "mittel", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/mycomics.de#incident_readiness_risk", "recommended_action": "Incident Verantwortlichkeit, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten." }, { "id": "pre_consent_nonessential_cookies", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#pre_consent_nonessential_cookies", "recommended_action": "Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen." }, { "id": "browser_consent_accept_only", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Consent-Banner wirkt im Browser wie Akzeptieren-only", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Consent-Banner wirkt im Browser wie Akzeptieren-only", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#browser_consent_accept_only", "recommended_action": "Ablehnen und Einstellungen im ersten Banner-Layer sichtbar und gleichwertig anbieten." }, { "id": "consent_no_reject_option", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Cookie-Hinweis ohne klare Ablehnen-Option", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#consent_no_reject_option", "recommended_action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren." }, { "id": "consent_state_reject_evidence_failed", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#consent_state_reject_evidence_failed", "recommended_action": "Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren." }, { "id": "google_consent_mode_missing", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Google Consent Mode Default nicht erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Google Consent Mode Default nicht erkannt", "background_url": "/guides/google-dienste-datenschutzfreundlich-einbinden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#google_consent_mode_missing", "recommended_action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied." }, { "id": "tracking_pixel_detected", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Tracking-Pixel oder pixelnahe Requests erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Tracking-Pixel oder pixelnahe Requests erkannt", "background_url": "/guides/tracking-pixel-und-beacons-begrenzen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#tracking_pixel_detected", "recommended_action": "Pixel von Google Analytics erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen." }, { "id": "third_party_page_url_parameter", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Seiten-URL wird in Drittanbieter-Requests übertragen", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Seiten-URL wird in Drittanbieter-Requests übertragen", "background_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/mycomics.de#third_party_page_url_parameter", "recommended_action": "Tracking-/Tag-Parameter für Anbieter wie Google Analytics so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden." }, { "id": "security_control_risk", "target_time": "14 Tage", "area": "Security", "responsibility": "IT/Security", "title": "Security-Header-/Webschutz-Risiko", "impact": "Fehlende Webschutzmaßnahmen können Datenschutzvorfälle oder Tracking-Leaks begünstigen.", "source": "security_header_analysis", "due_days": 14, "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.", "background_url": "/guides/security-header-setzen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 61, "operator_decision": "beheben", "public_report_path": "/mycomics.de#security_control_risk", "recommended_action": "Security-Header, Referrer-Policy, Cookie-Attribute und TLS-Konfiguration verbessern." } ], "dpia_screening": { "status": "dpia_empfohlen", "summary": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 70/100, 5 ausgelöste Risikofaktor(en), 4 hoch.", "decision": "DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.", "available": true, "disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-/DSFA-Entscheidung muss fachlich/rechtlich dokumentiert werden.", "risk_score": 70, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "weight": 18, "evidence": "7 Formular(e), Datenarten: Kontaktformular", "severity": "hoch", "background_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": true }, { "id": "form_context_gaps", "label": "Formulare ohne ausreichenden Datenschutzkontext", "action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.", "weight": 14, "evidence": "0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext vorhanden.", "severity": "hoch", "background_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": false }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "weight": 18, "evidence": "1 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.", "severity": "hoch", "background_url": "/guides/tracking-und-consent-reparieren", "triggered": true }, { "id": "third_party_processors", "label": "Viele Drittanbieter oder Processor", "action": "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "weight": 10, "evidence": "7 Anbieterregister-Eintrag/Einträge, 7 Drittanbieter-Domain(s).", "severity": "mittel", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "triggered": true }, { "id": "international_transfer", "label": "Drittland-/Transferprüfung", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "weight": 12, "evidence": "Transfer hoch 1, unklar 0.", "severity": "hoch", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "triggered": true }, { "id": "pii_leakage", "label": "PII-, Referrer- oder URL-Leakage", "action": "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "weight": 12, "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 1.", "severity": "hoch", "background_url": "/guides/pii-und-url-datenlecks-vermeiden", "triggered": true }, { "id": "public_authority_or_sensitive_context", "label": "Öffentliche Stelle oder sensibler Nutzungskontext", "action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.", "weight": 8, "evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.", "severity": "mittel", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "triggered": false }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.", "weight": 6, "evidence": "0 externe Embed-/Widget-Element(e) vorab geladen.", "severity": "mittel", "background_url": "/guides/externe-inhalte-datenschutzfreundlich-einbinden", "triggered": false }, { "id": "gpc_or_optout_gap", "label": "GPC/Opt-out-Lücke", "action": "GPC/Opt-out-Signale respektieren und technisch nachweisen.", "weight": 6, "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).", "severity": "mittel", "background_url": "/guides/tracking-und-consent-reparieren", "triggered": false } ], "high_risk_count": 4, "triggered_count": 5, "recommended_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Nachweisbearbeitung-Nachweispositionen vor DPIA-Freigabe priorisieren." ], "assessment_questions": [ { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "responsibility": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "responsibility": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "responsibility": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "responsibility": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "responsibility": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "responsibility": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Nachweisbearbeitung-Nachweispositionen mit Verantwortlichkeit, Zielzeit und Wiederholungsscan schließen." ], "linked_workflow_evidence_count": 6 }, "processing_activity_record": { "status": "Entwurf", "summary": "RoPA-Entwurf mit 4 Verarbeitungstätigkeit(en), 2 hohem Risikolevel und 6 offenen Betreiberfragen.", "activities": [ { "name": "Website-Formulare und Eingaben", "purpose": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.", "evidence": "7 Formular(e), Datenarten Kontaktformular.", "transfer": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 82, "recipients": [ "Google Analytics", "Cloudflare", "app.usercentrics.eu", "aggregator.service.usercentrics.eu", "api.usercentrics.eu", "graphql.usercentrics.eu", "prive.eu" ], "risk_level": "hoch", "activity_id": "website_forms", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Löschfrist je Anfrage-/Newsletter-/Konto-Prozess festlegen.", "controller_hint": "mycomics.de", "data_categories": [ "Kontaktformular" ], "operator_action": "Zweck, Pflichtfelder, Empfänger, Speicherfrist, Rechtsgrundlage und Betroffenenrechte je Formular dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 7 }, { "name": "Cookies, Web Storage und Consent", "purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.", "evidence": "9 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "transfer": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 88, "recipients": [ "mycomics.de", "Eigene Website oder eingebundener Dienst" ], "risk_level": "mittel", "activity_id": "cookies_storage", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.", "controller_hint": "mycomics.de", "data_categories": [ "Cookie-ID", "Consent-Status", "Geräte-/Browserinformationen", "Storage-Key-Metadaten" ], "operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies/Storage-Einträgen abgleichen.", "legal_basis_hint": "TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 2 }, { "name": "Drittanbieter-Dienste und Einbindungen", "purpose": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.", "evidence": "7 Anbieter/Processor, 2 mit Datenschutz-/Transfer-Prüfbedarf.", "transfer": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 86, "recipients": [ "Google Analytics", "Cloudflare", "app.usercentrics.eu", "aggregator.service.usercentrics.eu", "api.usercentrics.eu", "graphql.usercentrics.eu", "prive.eu" ], "risk_level": "hoch", "activity_id": "third_party_services", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Speicherfristen der Anbieter dokumentieren und Verträge/AVV prüfen.", "controller_hint": "mycomics.de", "data_categories": [ "IP-Adresse", "Nutzungsdaten", "Geräteinformationen", "Referrer-/Request-Metadaten" ], "operator_action": "AVV/DPA, Rolle, Zweck, Transfergrundlage und Datenschutzerklärung je Anbieter pflegen.", "legal_basis_hint": "Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 7 }, { "name": "Betroffenenrechte- und Datenschutzanfragen", "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.", "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "transfer": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 74, "recipients": [ "interne Datenschutz-/Legal-/Fachbereichsteams" ], "risk_level": "mittel", "activity_id": "privacy_rights_requests", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.", "controller_hint": "mycomics.de", "data_categories": [ "Identitätsbezug", "Kontaktinformationen", "Anfragetyp", "Kommunikationsinhalte" ], "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 } ], "open_questions": [] }, "data_flow_map": { "status": "kritische Flüsse prüfen", "summary": "Data Map mit 37 Knoten und 44 Datenfluss-Kanten; 24 Kante(n) hohes Risiko, 2 Transfer-Kante(n), 3 offene Mapping-Fragen.", "edges": [ { "type": "controller_activity", "label": "verantwortet", "source": "controller:mycomics-de", "target": "activity:website-forms", "edge_id": "controller:mycomics-de->activity:website-forms:verantwortet", "evidence": "7 Formular(e), Datenarten Kontaktformular.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 80, "risk_level": "hoch", "source_label": "mycomics.de", "target_label": "Website-Formulare und Eingaben", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:kontaktformular", "edge_id": "activity:website-forms->data:kontaktformular:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Kontaktformular", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:google-analytics", "edge_id": "activity:website-forms->recipient:google-analytics:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Google Analytics", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:cloudflare", "edge_id": "activity:website-forms->recipient:cloudflare:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Cloudflare", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:app-usercentrics-eu", "edge_id": "activity:website-forms->recipient:app-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "app.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:aggregator-service-usercentrics-eu", "edge_id": "activity:website-forms->recipient:aggregator-service-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "aggregator.service.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:api-usercentrics-eu", "edge_id": "activity:website-forms->recipient:api-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "api.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:graphql-usercentrics-eu", "edge_id": "activity:website-forms->recipient:graphql-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "graphql.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:prive-eu", "edge_id": "activity:website-forms->recipient:prive-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "prive.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:mycomics-de", "target": "activity:cookies-storage", "edge_id": "controller:mycomics-de->activity:cookies-storage:verantwortet", "evidence": "9 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 80, "risk_level": "mittel", "source_label": "mycomics.de", "target_label": "Cookies, Web Storage und Consent", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:cookie-id", "edge_id": "activity:cookies-storage->data:cookie-id:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Cookie-ID", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:consent-status", "edge_id": "activity:cookies-storage->data:consent-status:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Consent-Status", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:ger-te-browserinformationen", "edge_id": "activity:cookies-storage->data:ger-te-browserinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Geräte-/Browserinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:storage-key-metadaten", "edge_id": "activity:cookies-storage->data:storage-key-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Storage-Key-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:mycomics-de", "edge_id": "activity:cookies-storage->recipient:mycomics-de:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "mycomics.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:eigene-website-oder-eingebundener-dienst", "edge_id": "activity:cookies-storage->recipient:eigene-website-oder-eingebundener-dienst:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Eigene Website oder eingebundener Dienst", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:mycomics-de", "target": "activity:third-party-services", "edge_id": "controller:mycomics-de->activity:third-party-services:verantwortet", "evidence": "7 Anbieter/Processor, 2 mit Datenschutz-/Transfer-Prüfbedarf.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 80, "risk_level": "hoch", "source_label": "mycomics.de", "target_label": "Drittanbieter-Dienste und Einbindungen", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ip-adresse", "edge_id": "activity:third-party-services->data:ip-adresse:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "IP-Adresse", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:nutzungsdaten", "edge_id": "activity:third-party-services->data:nutzungsdaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Nutzungsdaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ger-teinformationen", "edge_id": "activity:third-party-services->data:ger-teinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Geräteinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:referrer-request-metadaten", "edge_id": "activity:third-party-services->data:referrer-request-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Referrer-/Request-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:google-analytics", "edge_id": "activity:third-party-services->recipient:google-analytics:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Google Analytics", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:cloudflare", "edge_id": "activity:third-party-services->recipient:cloudflare:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Cloudflare", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:app-usercentrics-eu", "edge_id": "activity:third-party-services->recipient:app-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "app.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:aggregator-service-usercentrics-eu", "edge_id": "activity:third-party-services->recipient:aggregator-service-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "aggregator.service.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:api-usercentrics-eu", "edge_id": "activity:third-party-services->recipient:api-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "api.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:graphql-usercentrics-eu", "edge_id": "activity:third-party-services->recipient:graphql-usercentrics-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "graphql.usercentrics.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:prive-eu", "edge_id": "activity:third-party-services->recipient:prive-eu:bermittelt-an-empf-nger", "evidence": "7 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 1 mit hohem Prüfbedarf, 0 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "prive.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:mycomics-de", "target": "activity:privacy-rights-requests", "edge_id": "controller:mycomics-de->activity:privacy-rights-requests:verantwortet", "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 80, "risk_level": "mittel", "source_label": "mycomics.de", "target_label": "Betroffenenrechte- und Datenschutzanfragen", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:identit-tsbezug", "edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Identitätsbezug", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kontaktinformationen", "edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kontaktinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:anfragetyp", "edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Anfragetyp", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kommunikationsinhalte", "edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kommunikationsinhalte", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:privacy-rights-requests", "target": "recipient:interne-datenschutz-legal-fachbereichsteams", "edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger", "evidence": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "interne Datenschutz-/Legal-/Fachbereichsteams", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:google-analytics", "edge_id": "controller:mycomics-de->vendor:google-analytics:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "hoch", "source_label": "mycomics.de", "target_label": "Google Analytics", "operator_action": "Analytics erst nach Einwilligung oder datenschutzfreundlich ohne personenbezogene Profile betreiben." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:google-analytics", "target": "transfer:drittland-usa", "edge_id": "vendor:google-analytics->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "hoch", "source_label": "Google Analytics", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:google-analytics", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:google-analytics:flie-t-an-anbieter", "evidence": "2 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko hoch.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "hoch", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "Google Analytics", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:cloudflare", "edge_id": "controller:mycomics-de->vendor:cloudflare:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Drittland/USA, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "mycomics.de", "target_label": "Cloudflare", "operator_action": "CDN-/Asset-Abrufe auf Notwendigkeit, Region und Auftragsverarbeitung prüfen." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:cloudflare", "target": "transfer:drittland-usa", "edge_id": "vendor:cloudflare->transfer:drittland-usa:transfer-jurisdiktionspr-fung", "evidence": "Drittland/USA", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "Cloudflare", "target_label": "Drittland/USA", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:app-usercentrics-eu", "edge_id": "controller:mycomics-de->vendor:app-usercentrics-eu:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "mycomics.de", "target_label": "app.usercentrics.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:prive-eu", "edge_id": "controller:mycomics-de->vendor:prive-eu:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "mycomics.de", "target_label": "prive.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:aggregator-service-usercentrics-eu", "edge_id": "controller:mycomics-de->vendor:aggregator-service-usercentrics-eu:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "mycomics.de", "target_label": "aggregator.service.usercentrics.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:api-usercentrics-eu", "edge_id": "controller:mycomics-de->vendor:api-usercentrics-eu:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "mycomics.de", "target_label": "api.usercentrics.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:mycomics-de", "target": "vendor:graphql-usercentrics-eu", "edge_id": "controller:mycomics-de->vendor:graphql-usercentrics-eu:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "mycomics.de", "target_label": "graphql.usercentrics.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." } ], "open_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Nachweispositionenysteme oder Mailboxen.", "responsibility": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "responsibility": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "responsibility": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." } ] }, "retention_deletion": { "status": "retention-ready", "summary": "Retention-/Deletion-Readiness 92/100; 9/10 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.", "score": 92, "checks": [ { "id": "retention_notice", "label": "Speicherfristen und Löschung im Datenschutzhinweis", "responsibility": "Datenschutz/Content", "action": "Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Entwurf aus Scan-Evidenz: 6 Cookie(s), 7 Drittanbieter-Domain(s), 3 Storage-Key(s).", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "cookie_retention", "label": "Cookie-/Storage-Laufzeiten bewertet", "responsibility": "Marketing/IT", "action": "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Cookies 9, fehlende Laufzeit 0, Retention-Risiken 2, langlebige Hinweise 3.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "manual_review": false }, { "id": "data_inventory_retention", "label": "Dateninventar mit Datenarten und Systemen", "responsibility": "Datenschutz/IT", "action": "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA/Data Map ergänzen.", "passed": true, "status": "vorhanden", "weight": 14, "evidence": "4 Verarbeitungstätigkeit(en), 37 Data-Map-Knoten, 1 Datenart(en).", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "legal_basis_retention", "label": "Rechtsgrundlage, Zweck und Aufbewahrung verknüpft", "responsibility": "Datenschutz/Legal", "action": "Retention je Zweck/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "18 Rechtsgrundlagenzeile(n) im Report.", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "erasure_workflow", "label": "Löschanfragen mit DSAR-Workflow verbunden", "responsibility": "Datenschutz/Support/IT", "action": "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "vendor_deletion", "label": "Vendor-/Processor-Löschung und Rückgabe steuerbar", "responsibility": "Legal/Vendor-Verantwortung", "action": "AVV/DPA, Rückgabe/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Vendor-Due-Diligence mit 7 Anbieter(n), 1 hohem Risiko, 7 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "manual_review": false }, { "id": "backup_legal_hold", "label": "Backups, Legal Hold und Ausnahmen geregelt", "responsibility": "Legal/IT", "action": "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.", "passed": false, "status": "prüfen", "weight": 8, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": true }, { "id": "minimization_trigger", "label": "Datenminimierung und Löschtrigger bei Formularen", "responsibility": "Fachbereich/Datenschutz", "action": "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-/Support-Weitergabe prüfen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Formulare 7, Datenschutzkontext ja.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "manual_review": false }, { "id": "deletion_evidence", "label": "Löschprotokoll und Integritätsnachweis", "responsibility": "Compliance/IT", "action": "Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-/Audit-Nachweis protokollieren.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Prüfbeleg vorhanden, Root-Hash 8b96f2a6626b4164.", "background_url": "/methodik", "manual_review": false }, { "id": "change_monitoring", "label": "Change Trigger für Retention-Risiken", "responsibility": "Datenschutz/IT", "action": "Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Alerts 0, Regulatory-Pflichten 10.", "background_url": "/monitoring", "manual_review": false } ], "retention_schedule": [ { "id": "cookies_storage", "responsibility": "Marketing/IT", "source": "Browser-/Cookie-Inventar", "evidence": "9 Cookie-/Storage-Eintrag/Einträge; Retention-Risiken 2.", "data_category": "Cookies, LocalStorage und SessionStorage", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "default_retention": "Session bis 13 Monate je Zweck prüfen" }, { "id": "contact_forms", "responsibility": "Fachbereich/Datenschutz", "source": "Formular- und Datenartenanalyse", "evidence": "Formulare 7, Datenarten 1.", "data_category": "Kontakt-, Newsletter- und Formularangaben", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist" }, { "id": "vendor_logs", "responsibility": "Vendor-Verantwortung/Legal", "source": "Vendor Register / Data Map", "evidence": "7 Anbieter, 7 DPA-Prüfungen.", "data_category": "Drittanbieter-, Tracking- und Supportdaten", "deletion_trigger": "Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende", "default_retention": "Nach Anbieterzweck, AVV/DPA und Transferprüfung" }, { "id": "security_audit_logs", "responsibility": "Compliance/IT", "source": "Audit Receipt / Evidence Pack", "evidence": "Prüfbeleg und Hash-Manifest als Nachweisquelle.", "data_category": "Security-, Consent- und Audit-Nachweise", "deletion_trigger": "Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt", "default_retention": "Nachweispflicht und Sicherheitsbedarf fachlich festlegen" } ], "deletion_workflow": [ { "id": "identify", "responsibility": "Datenschutz/Support", "phase": "Identifizieren", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "timebox": "Tag 0-3", "evidence": "DSAR-Nachweisposition, RoPA/Data Map, Vendor Register." }, { "id": "hold_check", "responsibility": "Legal/Fachbereich", "phase": "Legal Hold & Aufbewahrung", "action": "Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.", "timebox": "Tag 3-7", "evidence": "Hold-Entscheidung, Rechtsgrund, Sperrvermerk." }, { "id": "execute", "responsibility": "IT/Vendor-Verantwortung", "phase": "Löschung / Sperrung", "action": "System- und Vendor-Aufgaben ausführen, Backups/Archive nach Retention-Regel behandeln.", "timebox": "Tag 7-21", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." }, { "id": "verify", "responsibility": "Datenschutz/Compliance", "phase": "Nachweis & Antwort", "action": "Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.", "timebox": "bis Tag 30", "evidence": "Deletion-Log, Abschlussnotiz, Antwortkopie." } ] }, "open_operator_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Nachweispositionenysteme oder Mailboxen.", "responsibility": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "responsibility": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "responsibility": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." }, { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "responsibility": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "responsibility": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "responsibility": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "responsibility": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "responsibility": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "responsibility": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Nachweisbearbeitung-Nachweispositionen mit Verantwortlichkeit, Zielzeit und Wiederholungsscan schließen." ], "priority_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Nachweisbearbeitung-Nachweispositionen vor DPIA-Freigabe priorisieren.", "RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.", "Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.", "RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren.", "Top-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Interne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.", "Data Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular/Cookie erneut prüfen.", "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren." ], "disclaimer": "Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden." }