Risk Register / DPIA

Risiko- & DSFA-Center für wbs-schulen.de

wbs-schulen.de Risiko-/DSFA-Center: 18 Risikozeile(n), 4 kritisch, 11 hoch/kritisch, dpia_empfohlen.

Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden.

87 kritisch
Report Betreiber-Board Trust Center Consent Center Benchmark Änderungen Anbieterregister Governance JSON Governance CSV
18Risiken 4kritisch 11hoch/kritisch 4DSFA-Trigger 4RoPA-Aktivitäten 53Datenflüsse 92Retention 2026-06-25 07:33:35.520915+02letzter Check

Privacy Risk Register

Welche Risiken Management-Entscheidungen brauchen

Methodik
Vendor-, AVV-/DPA- und Transfer-Risiko Vendor Risk · kritisch · Score 98 · Zielzeit 30 Tage

Unklare Anbieterrollen, Drittlandtransfers oder fehlende AVV/DPA-Nachweise erhöhen Compliance-Risiko.

Top-Anbieter priorisieren, AVV/DPA/TIA prüfen und Vendor-Akte vervollständigen.
Verantwortlich
Legal/Vendor-Verantwortung
Entscheidung
beheben
Quelle
vendor_due_diligence
Hintergrundseite öffnen
Hohe Risiken in Datenflüssen Data Map · kritisch · Score 95 · Zielzeit 30 Tage

Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.

Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären.
Verantwortlich
Datenschutz/IT
Entscheidung
beheben
Quelle
data_flow_map
Hintergrundseite öffnen
CVE-2014-9509: The frontend rendering component in TYPO3 4.5.x before 4.5.39, 4.6.x through 6.2.x before 6.2.9, and 7.x before 7.0.2, when config.prefixLocalAnchors is set to all or cached, allow vulnerability · kritisch · Score 92 · Zielzeit sofort

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.

Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
findings
Hintergrundseite öffnen
DPIA-/DSFA-Entscheidung offen Privacy by Design · kritisch · Score 86 · Zielzeit 30 Tage

Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-/DPIA-Entscheidung.

DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren.
Verantwortlich
Datenschutz/Product/Legal
Entscheidung
beheben
Quelle
dpia_screening
Hintergrundseite öffnen
CVE-2013-4250: The (1) file upload component and (2) File Abstraction Layer (FAL) in TYPO3 6.0.x before 6.0.8 and 6.1.x before 6.1.3 do not properly check file extensions, which allow remote auth BSI/Patchmanagement · hoch · Score 82 · Zielzeit 7 Tage

Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.

Betroffene Software aktualisieren oder kompensierend absichern.
Verantwortlich
Technik
Entscheidung
beheben
Quelle
nachweis_workflow
Hintergrundseite öffnen
Browser-Nachweis Browser-Nachweis · hoch · Score 82 · Zielzeit 7 Tage

Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.

Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
Verantwortlich
Website-Betrieb
Entscheidung
beheben
Quelle
nachweis_workflow
Hintergrundseite öffnen
Referrer & URL-Leaks Referrer & URL-Leaks · hoch · Score 82 · Zielzeit 7 Tage

Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.

Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
Verantwortlich
Website-Betrieb
Entscheidung
beheben
Quelle
nachweis_workflow
Hintergrundseite öffnen
SEO-Integrität & Cloaking SEO-Integrität & Cloaking · hoch · Score 82 · Zielzeit 7 Tage

Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.

Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
Verantwortlich
Website-Betrieb
Entscheidung
beheben
Quelle
nachweis_workflow
Hintergrundseite öffnen
Sicherheit, TLS & Header Sicherheit, TLS & Header · hoch · Score 82 · Zielzeit 7 Tage

Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.

HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Verantwortlich
Technik
Entscheidung
beheben
Quelle
nachweis_workflow
Hintergrundseite öffnen
Consent- und Tracking-Risiko Consent/Cookies · hoch · Score 81 · Zielzeit 7 Tage

Nicht notwendige Cookies, Tracker oder Vendoren können ohne belastbare Einwilligung aktiv sein.

Consent-Blocking, Reject-Test, GPC und Cookie-Kategorien prüfen.
Verantwortlich
Marketing/IT/Datenschutz
Entscheidung
beheben
Quelle
consent_audit
Hintergrundseite öffnen
Incident-/Breach-Readiness unzureichend Incident Response · hoch · Score 78 · Zielzeit 7 Tage

Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.

Incident Verantwortlichkeit, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten.
Verantwortlich
DSB/Legal/IT
Entscheidung
beheben
Quelle
incident_breach_readiness
Hintergrundseite öffnen
Möglicherweise nicht notwendige Cookies vor Einwilligung privacy · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.

Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
findings
Hintergrundseite öffnen
Doorway-/Städte-Seiten-Muster möglich seo · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.

Prüfen, ob automatisch erzeugte Stadt-/Keyword-Seiten ohne eigenständigen Nutzen vorliegen.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
findings
Hintergrundseite öffnen
Drittanbieter können vollen Referrer-Kontext erhalten privacy · mittel · Score 62 · Zielzeit 30 Tage

Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.

Referrer-Policy prüfen und für Anbieter wie apps.mypurecloud.de, bam.eu01.nr-data.net, consent.cookiebot.eu mindestens strict-origin-when-cross-origin oder strenger setzen.
Verantwortlich
Website-Betrieb/Datenschutz
Entscheidung
beheben
Quelle
findings
Hintergrundseite öffnen

DSFA / DPIA

Ob eine Datenschutz-Folgenabschätzung fachlich geprüft werden sollte

Statusdpia_empfohlen

DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.

Risikofaktoren4

DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 52/100, 4 ausgelöste Risikofaktor(en), 2 hoch.

Hohe Faktoren2

Tracking, Profiling, sensible Daten, Drittanbieter und Datenflüsse fachlich bewerten.

Personenbezogene Dateneingabe ausgelöst · prüfen

4 Formular(e), Datenarten: Adresse, Newsletter, Kontaktformular

Formulare ohne ausreichenden Datenschutzkontext nicht ausgelöst · prüfen

0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext vorhanden.

Tracking, Profiling oder Consent-Zustandsrisiken nicht ausgelöst · prüfen

0 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.

Viele Drittanbieter oder Processor ausgelöst · prüfen

9 Anbieterregister-Eintrag/Einträge, 9 Drittanbieter-Domain(s).

Drittland-/Transferprüfung ausgelöst · prüfen

Transfer hoch 0, unklar 3.

PII-, Referrer- oder URL-Leakage ausgelöst · prüfen

PII-Risiko unklar, Referrer-betroffene Domains 4.

Öffentliche Stelle oder sensibler Nutzungskontext nicht ausgelöst · prüfen

Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.

Externe Inhalte vor Einwilligung nicht ausgelöst · prüfen

0 externe Embed-/Widget-Element(e) vorab geladen.

GPC/Opt-out-Lücke nicht ausgelöst · prüfen

GPC-Test mit 0 datenschutzrelevanten Domain(s).

RoPA / Verzeichnis

Welche Verarbeitungstätigkeiten ableitbar sind

Website-Formulare und Eingaben hoch

Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.

Verantwortlich · Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.
Cookies, Web Storage und Consent mittel

Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.

Verantwortlich · TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.
Drittanbieter-Dienste und Einbindungen hoch

Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.

Verantwortlich · Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.
Betroffenenrechte- und Datenschutzanfragen mittel

Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.

Verantwortlich · Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.

Data Map

Welche Datenflüsse und Empfänger sichtbar sind

controller:wbs-schulen-de → activity:website-forms hoch · Datenart prüfen

4 Formular(e), Datenarten Adresse, Newsletter, Kontaktformular.

activity:website-forms → data:adresse hoch · Datenart prüfen

Datenkategorie aus Verarbeitungstätigkeit abgeleitet.

activity:website-forms → data:newsletter hoch · Datenart prüfen

Datenkategorie aus Verarbeitungstätigkeit abgeleitet.

activity:website-forms → data:kontaktformular hoch · Datenart prüfen

Datenkategorie aus Verarbeitungstätigkeit abgeleitet.

activity:website-forms → recipient:sibforms-com hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:bam-eu01-nr-data-net hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:apps-mypurecloud-de hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:chatbot-wbs-web-de hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:consent-cookiebot-eu hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:consentcdn-cookiebot-eu hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:js-agent-newrelic-com hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

activity:website-forms → recipient:api-cdn-mypurecloud-de hoch · Datenart prüfen

9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.

Retention / Löschung

Welche Lösch- und Speicherfristen Betreiber belegen müssen

Retention-Hintergrund
Cookies, LocalStorage und SessionStorage Marketing/IT

Session bis 13 Monate je Zweck prüfen

Ablauf, Widerruf, Zweckende, technische Bereinigung
Kontakt-, Newsletter- und Formularangaben Fachbereich/Datenschutz

Zweckende plus notwendige Nachweis-/Verjährungsfrist

Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage
Drittanbieter-, Tracking- und Supportdaten Vendor-Verantwortung/Legal

Nach Anbieterzweck, AVV/DPA und Transferprüfung

Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende
Security-, Consent- und Audit-Nachweise Compliance/IT

Nachweispflicht und Sicherheitsbedarf fachlich festlegen

Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt
Speicherfristen und Löschung im Datenschutzhinweis vorhanden · Datenschutz/Content

Entwurf aus Scan-Evidenz: 4 Cookie(s), 9 Drittanbieter-Domain(s), 0 Storage-Key(s).

Cookie-/Storage-Laufzeiten bewertet vorhanden · Marketing/IT

Cookies 4, fehlende Laufzeit 0, Retention-Risiken 1, langlebige Hinweise 0.

Dateninventar mit Datenarten und Systemen vorhanden · Datenschutz/IT

4 Verarbeitungstätigkeit(en), 43 Data-Map-Knoten, 3 Datenart(en).

Rechtsgrundlage, Zweck und Aufbewahrung verknüpft vorhanden · Datenschutz/Legal

17 Rechtsgrundlagenzeile(n) im Report.

Löschanfragen mit DSAR-Workflow verbunden vorhanden · Datenschutz/Support/IT

DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.

Vendor-/Processor-Löschung und Rückgabe steuerbar vorhanden · Legal/Vendor-Verantwortung

Vendor-Due-Diligence mit 9 Anbieter(n), 0 hohem Risiko, 9 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).

Backups, Legal Hold und Ausnahmen geregelt prüfen · Legal/IT

Aus öffentlichem Scan nicht beweisbar.

Datenminimierung und Löschtrigger bei Formularen vorhanden · Fachbereich/Datenschutz

Formulare 4, Datenschutzkontext ja.

Löschprotokoll und Integritätsnachweis vorhanden · Compliance/IT

Prüfbeleg vorhanden, Root-Hash fdf28b73aa77bbc2.

Change Trigger für Retention-Risiken vorhanden · Datenschutz/IT

Alerts 0, Regulatory-Pflichten 10.

Offene Entscheidungen

Welche Betreiber-Nachweise intern ergänzt werden müssen

Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung? IT/Fachbereich

Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept.

Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage? Datenschutz/Legal

Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag.

Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System? Datenschutz/IT

Retention-Matrix je Datenkategorie, System und Empfänger.