{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-08T15:46:54+00:00", "domain": "pro.jameda.de", "scan": { "id": "9608fc77-c788-4332-83e2-c28e1c3e6752", "checked_at": "2026-06-07 12:08:21.397971+02" }, "summary": "pro.jameda.de Risiko-/DSFA-Center: 14 Risikozeile(n), 1 kritisch, 12 hoch/kritisch, dpia_empfohlen.", "status": "hohe Risiken prüfen", "risk_score": 79, "metrics": { "risk_count": 14, "critical_count": 1, "high_count": 12, "risk_score": 79, "dpia_triggers": 5, "activities": 4, "flow_edges": 10, "retention_score": 35 }, "links": { "report": "https://saferpage.de/pro.jameda.de", "risk_center": "https://saferpage.de/risiko/pro.jameda.de", "json": "https://saferpage.de/risiko/pro.jameda.de/export", "csv": "https://saferpage.de/risiko/pro.jameda.de/export-csv", "operator_board": "https://saferpage.de/betreiber/pro.jameda.de", "tickets_markdown": "https://saferpage.de/betreiber/pro.jameda.de/tickets", "trust_center": "https://saferpage.de/trust/pro.jameda.de", "vendor_register": "https://saferpage.de/anbieter/pro.jameda.de", "cookie_declaration": "https://saferpage.de/cookies/pro.jameda.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "operator_1", "title": "CVE-2020-11023: Potential XSS vulnerability in jQuery", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_2", "title": "CVE-2012-6708: Cross-Site Scripting in jquery", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_3", "title": "CVE-2015-9251: Cross-Site Scripting (XSS) in jquery", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_4", "title": "CVE-2019-11358: XSS in jQuery as used in Drupal, Backdrop CMS, and other products", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_5", "title": "CVE-2020-11022: Potential XSS vulnerability in jQuery", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_6", "title": "CVE-2020-7656: Cross-Site Scripting in jquery", "area": "BSI/Patchmanagement", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "operator_7", "title": "Beacon-/Keepalive-Telemetrie erkannt", "area": "Beacon-/Telemetry-Tracking", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "sendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen.", "recommended_action": "sendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-pixel-und-beacons-begrenzen" }, { "id": "operator_8", "title": "Langlebige Tracking-/Marketing-Cookies", "area": "Cookie-Laufzeit", "risk_level": "hoch", "risk_score": 82, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Tracking-/Marketing-Cookies mit langer Laufzeit begrenzen und Consent prüfen.", "recommended_action": "Tracking-/Marketing-Cookies mit langer Laufzeit begrenzen und Consent prüfen.", "owner": "Programm-Owner/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen" }, { "id": "module_browser_evidence", "title": "Browser-Nachweis", "area": "Prüfmodul", "risk_level": "hoch", "risk_score": 100, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "136 Request(s), 33 Drittanbieter-Domain(s), davon 5 datenschutzrelevant, 26 Browser-Cookie(s), Transfer-Prüfbedarf: 7, Referrer-/URL-Leaks: 10, Fingerprinting-/Replay-Hinweise: 4.", "recommended_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.", "owner": "Betreiber/IT/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "module_tracking_pixels_beacons", "title": "Tracking-Pixel & Beacons", "area": "Prüfmodul", "risk_level": "hoch", "risk_score": 81, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "6 Pixel-/Bildtracking-Hinweis(e), 10 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).", "recommended_action": "Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.", "owner": "Betreiber/IT/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-pixel-und-beacons-begrenzen" }, { "id": "module_google_third_parties", "title": "Google-Dienste & Drittanbieter", "area": "Prüfmodul", "risk_level": "hoch", "risk_score": 76, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "Google-Tags: ja, 6 Google-nahe Domain(s), Consent-Default: nein, Analytics: ja, Werbung: ja, Fonts: nein.", "recommended_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Betreiber/IT/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/google-dienste-datenschutzfreundlich-einbinden" }, { "id": "module_privacy_consent", "title": "Datenschutz, Cookies & Consent", "area": "Prüfmodul", "risk_level": "hoch", "risk_score": 58, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "0 Tracking-Script(s), 12 Cookie(s) vor Einwilligung, 4 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 0.", "recommended_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Betreiber/IT/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "finding_known_vulnerability_advisory", "title": "CVE-2020-11023: Potential XSS vulnerability in jQuery", "area": "vulnerability", "risk_level": "hoch", "risk_score": 78, "likelihood": "hoch", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "CVE-2020-11023: Potential XSS vulnerability in jQuery", "recommended_action": "Aktualisiere das betroffene Open-Source-Paket auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "sla": "7 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" }, { "id": "finding_known_vulnerability_advisory", "title": "CVE-2012-6708: Cross-Site Scripting in jquery", "area": "vulnerability", "risk_level": "mittel", "risk_score": 58, "likelihood": "mittel", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "evidence": "CVE-2012-6708: Cross-Site Scripting in jquery", "recommended_action": "Aktualisiere das betroffene Open-Source-Paket auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "sla": "30 Tage", "operator_decision": "beheben", "guide_url": "/guides/sichtbare-versionen-und-cves-beheben" } ], "dpia_screening": { "status": "dpia_empfohlen", "summary": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 70/100, 5 ausgelöste Risikofaktor(en), 4 hoch.", "decision": "DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.", "available": true, "disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-/DSFA-Entscheidung muss fachlich/rechtlich dokumentiert werden.", "risk_score": 70, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "weight": 18, "evidence": "0 Formular(e), Datenarten: Kontaktformular", "severity": "hoch", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": true }, { "id": "form_context_gaps", "label": "Formulare ohne ausreichenden Datenschutzkontext", "action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.", "weight": 14, "evidence": "0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext vorhanden.", "severity": "hoch", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": false }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "weight": 18, "evidence": "5 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.", "severity": "hoch", "guide_url": "/guides/tracking-und-consent-reparieren", "triggered": true }, { "id": "third_party_processors", "label": "Viele Drittanbieter oder Processor", "action": "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "weight": 10, "evidence": "33 Anbieterregister-Eintrag/Einträge, 33 Drittanbieter-Domain(s).", "severity": "mittel", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "triggered": true }, { "id": "international_transfer", "label": "Drittland-/Transferprüfung", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "weight": 12, "evidence": "Transfer hoch 7, unklar 25.", "severity": "hoch", "guide_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "triggered": true }, { "id": "pii_leakage", "label": "PII-, Referrer- oder URL-Leakage", "action": "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "weight": 12, "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 10.", "severity": "hoch", "guide_url": "/guides/pii-und-url-datenlecks-vermeiden", "triggered": true }, { "id": "public_authority_or_sensitive_context", "label": "Öffentliche Stelle oder sensibler Nutzungskontext", "action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.", "weight": 8, "evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.", "severity": "mittel", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "triggered": false }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.", "weight": 6, "evidence": "0 externe Embed-/Widget-Element(e) vorab geladen.", "severity": "mittel", "guide_url": "/guides/externe-inhalte-datenschutzfreundlich-einbinden", "triggered": false }, { "id": "gpc_or_optout_gap", "label": "GPC/Opt-out-Lücke", "action": "GPC/Opt-out-Signale respektieren und technisch nachweisen.", "weight": 6, "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).", "severity": "mittel", "guide_url": "/guides/tracking-und-consent-reparieren", "triggered": false } ], "high_risk_count": 4, "triggered_count": 5, "recommended_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Remediation-Tickets vor DPIA-Freigabe priorisieren." ], "assessment_questions": [ { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "owner": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "owner": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "owner": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "owner": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "owner": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "owner": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen." ], "linked_workflow_ticket_count": 6 }, "processing_activity_record": { "status": "Betreiber ergänzen", "summary": "RoPA-Entwurf mit 4 Verarbeitungstätigkeit(en), 2 hohem Risikolevel und 6 offenen Betreiberfragen.", "activities": [ { "name": "Website-Formulare und Eingaben", "purpose": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.", "evidence": "0 Formular(e), Datenarten Kontaktformular.", "transfer": "33 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 25 unklar.", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 82, "recipients": [ "Google Analytics", "Google Tag Manager", "Google DoubleClick", "Meta/Facebook", "google.com", "google.de", "442271.fs1.hubspotusercontent-na1.net" ], "risk_level": "hoch", "activity_id": "website_forms", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Löschfrist je Anfrage-/Newsletter-/Konto-Prozess festlegen.", "controller_hint": "pro.jameda.de", "data_categories": [ "Kontaktformular" ], "operator_action": "Zweck, Pflichtfelder, Empfänger, Speicherfrist, Rechtsgrundlage und Betroffenenrechte je Formular dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 7 }, { "name": "Cookies, Web Storage und Consent", "purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.", "evidence": "26 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "transfer": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 88, "recipients": [ "hsadspixel.net", "Google", "cookiepro.com", "hs-analytics.net", "hs-banner.com", "hs-sites.com", "hsforms.com", "hubspot.com", "jameda.de" ], "risk_level": "mittel", "activity_id": "cookies_storage", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.", "controller_hint": "pro.jameda.de", "data_categories": [ "Cookie-ID", "Consent-Status", "Geräte-/Browserinformationen", "Storage-Key-Metadaten" ], "operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies/Storage-Einträgen abgleichen.", "legal_basis_hint": "TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 9 }, { "name": "Drittanbieter-Dienste und Einbindungen", "purpose": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.", "evidence": "33 Anbieter/Processor, 33 mit Datenschutz-/Transfer-Prüfbedarf.", "transfer": "33 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 7 mit hohem Prüfbedarf, 25 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 86, "recipients": [ "Google Analytics", "Google Tag Manager", "Google DoubleClick", "Meta/Facebook", "google.com", "google.de", "442271.fs1.hubspotusercontent-na1.net", "442271.hs-sites.com", "cookie-cdn.cookiepro.com", "dev.visualwebsiteoptimizer.com", "embed-cloudfront.wistia.com", "fast.wistia.com", "js.hubspot.com", "perf.hsforms.com", "pipedream.wistia.com", "track.hubspot.com", "7052064.fs1.hubspotusercontent-na1.net", "api.hubapi.com", "app.hubspot.com", "browser.sentry-cdn.com", "cta-service-cms2.hubspot.com", "forms-na1.hsforms.com", "geolocation.onetrust.com", "js.hs-analytics.net", "js.hs-banner.com", "js.hsadspixel.net", "js.hsforms.net", "js.hubspotfeedback.com", "js.usemessages.com", "no-cache.hubspot.com", "perf-na1.hsforms.com", "unpkg" ], "risk_level": "hoch", "activity_id": "third_party_services", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Speicherfristen der Anbieter dokumentieren und Verträge/AVV prüfen.", "controller_hint": "pro.jameda.de", "data_categories": [ "IP-Adresse", "Nutzungsdaten", "Geräteinformationen", "Referrer-/Request-Metadaten" ], "operator_action": "AVV/DPA, Rolle, Zweck, Transfergrundlage und Datenschutzerklärung je Anbieter pflegen.", "legal_basis_hint": "Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 32 }, { "name": "Betroffenenrechte- und Datenschutzanfragen", "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.", "evidence": "Betroffenenrechte-Readiness: 64/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "transfer": "Kein Drittlandtransfer ohne eingesetztes Ticket-/Mail-/Portal-System; Betreiber prüfen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 74, "recipients": [ "interne Datenschutz-/Legal-/Fachbereichsteams" ], "risk_level": "mittel", "activity_id": "privacy_rights_requests", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.", "controller_hint": "pro.jameda.de", "data_categories": [ "Identitätsbezug", "Kontaktinformationen", "Anfragetyp", "Kommunikationsinhalte" ], "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 } ], "open_questions": [] }, "data_flow_map": { "status": "Mapping ergänzen", "summary": "Data Map mit 10 sichtbaren Datenfluss-Kanten aus Browser- und RoPA-Evidenz.", "edges": [ { "from": "Website-Besucher", "to": "pro.jameda.de", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "niedrig", "evidence": "43 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "442271.hs-sites.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "11 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "fast.wistia.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "12 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "cookie-cdn.cookiepro.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "11 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "embed-cloudfront.wistia.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "5 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "442271.fs1.hubspotusercontent-na1.net", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "4 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "dev.visualwebsiteoptimizer.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "4 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "googletagmanager.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Tag-Manager", "risk_level": "mittel", "evidence": "3 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "js.hubspot.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "3 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "from": "Website-Besucher", "to": "perf.hsforms.com", "data_category": "Request-Metadaten, IP-Adresse, Geräteinformationen", "purpose": "Sonstige", "risk_level": "mittel", "evidence": "3 Request(s) im Browserlauf.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" } ], "open_questions": [ { "question": "Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "System- und Datenflussliste mit Owner, Zweck und Löschfrist." }, { "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis." } ] }, "retention_deletion": { "status": "Retention prüfen", "summary": "Retention-/Deletion-Fallback aus Cookie-Inventar, RoPA-Entwurf und Data Map. Interne Löschläufe muss der Betreiber ergänzen.", "score": 35, "checks": [ { "label": "Cookie-/Storage-Laufzeiten bewertet", "status": "teilweise", "passed": true, "evidence": "20 Cookie-/Storage-Signal(e).", "action": "Laufzeiten, Zweck und Consent-Erfordernis je Eintrag prüfen.", "owner": "Marketing/IT", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen" }, { "label": "Dateninventar mit Löschfristen", "status": "aufbauen", "passed": false, "evidence": "4 Verarbeitungstätigkeit(en), 10 Datenfluss-Kante(n).", "action": "Je Verarbeitung Datenkategorie, System, Speicherfrist und Löschtrigger ergänzen.", "owner": "Datenschutz/IT", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "label": "Backups, Legal Hold und Ausnahmen", "status": "Betreiber-Nachweis", "passed": false, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "action": "Backup-Retention, gesetzliche Aufbewahrung, Sperrvermerk und Löschaufschub dokumentieren.", "owner": "Legal/IT", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" } ], "retention_schedule": [ { "data_category": "Cookies, LocalStorage und SessionStorage", "owner": "Marketing/IT", "default_retention": "Session bis 13 Monate je Zweck prüfen", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "evidence": "20 Signal(e)." }, { "data_category": "Kontakt-, Formular- und Nutzungsdaten", "owner": "Fachbereich/Datenschutz", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "evidence": "Aus RoPA/Data-Map-Fallback." } ], "deletion_workflow": [ { "phase": "Identifizieren", "owner": "Datenschutz/Support", "timebox": "Tag 0-3", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "evidence": "DSAR-Ticket, RoPA/Data Map, Vendor Register." }, { "phase": "Löschung / Sperrung", "owner": "IT/Vendor Owner", "timebox": "Tag 7-21", "action": "System- und Vendor-Aufgaben ausführen und Backups nach Regel behandeln.", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." } ] }, "open_operator_questions": [ { "question": "Welche internen Systeme und Speicherorte fehlen in der öffentlichen Data Map?", "owner": "IT/Fachbereich", "priority": "hoch", "expected_evidence": "System- und Datenflussliste mit Owner, Zweck und Löschfrist." }, { "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "owner": "Datenschutz/Legal", "priority": "hoch", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA und Datenschutzhinweis." }, { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "owner": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "owner": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "owner": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "owner": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "owner": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "owner": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen." ], "priority_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Remediation-Tickets vor DPIA-Freigabe priorisieren.", "RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.", "Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.", "RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren.", "Sichtbare Datenflüsse gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Retention Matrix und Löschprotokoll im Betreiber-System ergänzen." ], "disclaimer": "Automatisch aus SaferPage-Befunden und öffentlicher Website-Evidenz abgeleitet. Risikoakzeptanz, Rechtsbewertung und finale DSFA-/DPIA-Entscheidung müssen Betreiber fachlich dokumentieren." }