{ "schema": "https://saferpage.de/schemas/privacy-risk-governance.v1", "generated_at": "2026-06-25T12:39:24+00:00", "domain": "wbs-schulen.de", "scan": { "id": "513dae18-35c6-49d8-a07f-b06453435b7f", "checked_at": "2026-06-25 07:33:35.520915+02" }, "summary": "wbs-schulen.de Risiko-/DSFA-Center: 18 Risikozeile(n), 4 kritisch, 11 hoch/kritisch, dpia_empfohlen.", "status": "kritisch", "risk_score": 87, "metrics": { "risk_count": 18, "critical_count": 4, "high_count": 11, "risk_score": 87, "dpia_triggers": 4, "activities": 4, "flow_edges": 53, "retention_score": 92 }, "links": { "report": "https://saferpage.de/wbs-schulen.de", "risk_center": "https://saferpage.de/risiko/wbs-schulen.de", "json": "https://saferpage.de/risiko/wbs-schulen.de/export", "csv": "https://saferpage.de/risiko/wbs-schulen.de/export-csv", "operator_board": "https://saferpage.de/betreiber/wbs-schulen.de", "evidence_markdown": "https://saferpage.de/betreiber/wbs-schulen.de", "trust_center": "https://saferpage.de/trust/wbs-schulen.de", "vendor_register": "https://saferpage.de/anbieter/wbs-schulen.de", "cookie_declaration": "https://saferpage.de/cookies/wbs-schulen.de", "guides": "https://saferpage.de/guides" }, "risk_register": [ { "id": "vendor_risk_register", "target_time": "30 Tage", "area": "Vendor Risk", "responsibility": "Legal/Vendor-Verantwortung", "title": "Vendor-, AVV-/DPA- und Transfer-Risiko", "impact": "Unklare Anbieterrollen, Drittlandtransfers oder fehlende AVV/DPA-Nachweise erhöhen Compliance-Risiko.", "source": "vendor_due_diligence", "due_days": 30, "evidence": "Vendor-Due-Diligence mit 9 Anbieter(n), 0 hohem Risiko, 9 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 98, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#vendor_risk_register", "recommended_action": "Top-Anbieter priorisieren, AVV/DPA/TIA prüfen und Vendor-Akte vervollständigen." }, { "id": "data_flow_risk", "target_time": "30 Tage", "area": "Data Map", "responsibility": "Datenschutz/IT", "title": "Hohe Risiken in Datenflüssen", "impact": "Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.", "source": "data_flow_map", "due_days": 30, "evidence": "Data Map mit 43 Knoten und 53 Datenfluss-Kanten; 26 Kante(n) hohes Risiko, 3 Transfer-Kante(n), 3 offene Mapping-Fragen.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 95, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#data_flow_risk", "recommended_action": "Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären." }, { "id": "known_vulnerability_advisory", "target_time": "sofort", "area": "vulnerability", "responsibility": "Website-Betrieb/Datenschutz", "title": "CVE-2014-9509: The frontend rendering component in TYPO3 4.5.x before 4.5.39, 4.6.x through 6.2.x before 6.2.9, and 7.x before 7.0.2, when config.prefixLocalAnchors is set to all or cached, allow", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 0, "evidence": "CVE-2014-9509: The frontend rendering component in TYPO3 4.5.x before 4.5.39, 4.6.x through 6.2.x before 6.2.9, and 7.x before 7.0.2, when config.prefixLocalAnchors is set to all or cached, allow", "background_url": "/guides/sichtbare-versionen-und-cves-beheben", "likelihood": "hoch", "risk_level": "kritisch", "risk_score": 92, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#known_vulnerability_advisory", "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version." }, { "id": "dpia_decision_risk", "target_time": "30 Tage", "area": "Privacy by Design", "responsibility": "Datenschutz/Product/Legal", "title": "DPIA-/DSFA-Entscheidung offen", "impact": "Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-/DPIA-Entscheidung.", "source": "dpia_screening", "due_days": 30, "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 52/100, 4 ausgelöste Risikofaktor(en), 2 hoch.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "likelihood": "mittel", "risk_level": "kritisch", "risk_score": 86, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#dpia_decision_risk", "recommended_action": "DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren." }, { "id": "SP-001", "target_time": "7 Tage", "area": "BSI/Patchmanagement", "responsibility": "Technik", "title": "CVE-2013-4250: The (1) file upload component and (2) File Abstraction Layer (FAL) in TYPO3 6.0.x before 6.0.8 and 6.1.x before 6.1.3 do not properly check file extensions, which allow remote auth", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.", "background_url": "/guides/sichtbare-versionen-und-cves-beheben", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#SP-001", "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern." }, { "id": "SP-002", "target_time": "7 Tage", "area": "Browser-Nachweis", "responsibility": "Website-Betrieb", "title": "Browser-Nachweis", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "109 Request(s), 9 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 4 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 4, Fingerprinting-/Replay-Hinweise: 1.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#SP-002", "recommended_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden." }, { "id": "SP-003", "target_time": "7 Tage", "area": "Referrer & URL-Leaks", "responsibility": "Website-Betrieb", "title": "Referrer & URL-Leaks", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "4 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.", "background_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#SP-003", "recommended_action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren." }, { "id": "SP-004", "target_time": "7 Tage", "area": "SEO-Integrität & Cloaking", "responsibility": "Website-Betrieb", "title": "SEO-Integrität & Cloaking", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "3 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).", "background_url": "/guides/seo-spam-und-cloaking-bereinigen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#SP-004", "recommended_action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen." }, { "id": "SP-005", "target_time": "7 Tage", "area": "Sicherheit, TLS & Header", "responsibility": "Technik", "title": "Sicherheit, TLS & Header", "impact": "Offenes Betreiber-Nachweisposition mit Zielzeit- und Nachweispflicht.", "source": "nachweis_workflow", "due_days": 7, "evidence": "0 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 2.", "background_url": "/guides/security-header-setzen", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 82, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#SP-005", "recommended_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren." }, { "id": "consent_governance_risk", "target_time": "7 Tage", "area": "Consent/Cookies", "responsibility": "Marketing/IT/Datenschutz", "title": "Consent- und Tracking-Risiko", "impact": "Nicht notwendige Cookies, Tracker oder Vendoren können ohne belastbare Einwilligung aktiv sein.", "source": "consent_audit", "due_days": 7, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "hoch", "risk_level": "hoch", "risk_score": 81, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#consent_governance_risk", "recommended_action": "Consent-Blocking, Reject-Test, GPC und Cookie-Kategorien prüfen." }, { "id": "incident_readiness_risk", "target_time": "7 Tage", "area": "Incident Response", "responsibility": "DSB/Legal/IT", "title": "Incident-/Breach-Readiness unzureichend", "impact": "Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.", "source": "incident_breach_readiness", "due_days": 7, "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 2 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).", "background_url": "/guides/security-header-setzen", "likelihood": "mittel", "risk_level": "hoch", "risk_score": 78, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#incident_readiness_risk", "recommended_action": "Incident Verantwortlichkeit, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten." }, { "id": "pre_consent_nonessential_cookies", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Möglicherweise nicht notwendige Cookies vor Einwilligung", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#pre_consent_nonessential_cookies", "recommended_action": "Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen." }, { "id": "doorway_city_pattern", "target_time": "30 Tage", "area": "seo", "responsibility": "Website-Betrieb/Datenschutz", "title": "Doorway-/Städte-Seiten-Muster möglich", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Doorway-/Städte-Seiten-Muster möglich", "background_url": "/guides/seo-spam-und-cloaking-bereinigen", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#doorway_city_pattern", "recommended_action": "Prüfen, ob automatisch erzeugte Stadt-/Keyword-Seiten ohne eigenständigen Nutzen vorliegen." }, { "id": "third_party_full_referrer_leak", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Drittanbieter können vollen Referrer-Kontext erhalten", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Drittanbieter können vollen Referrer-Kontext erhalten", "background_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#third_party_full_referrer_leak", "recommended_action": "Referrer-Policy prüfen und für Anbieter wie apps.mypurecloud.de, bam.eu01.nr-data.net, consent.cookiebot.eu mindestens strict-origin-when-cross-origin oder strenger setzen." }, { "id": "consent_state_reject_evidence_failed", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#consent_state_reject_evidence_failed", "recommended_action": "Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren." }, { "id": "google_consent_mode_missing", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Google Consent Mode Default nicht erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Google Consent Mode Default nicht erkannt", "background_url": "/guides/google-dienste-datenschutzfreundlich-einbinden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#google_consent_mode_missing", "recommended_action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied." }, { "id": "post_reject_new_cookies", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Neue Cookies nach Ablehnen erkannt", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Neue Cookies nach Ablehnen erkannt", "background_url": "/guides/tracking-und-consent-reparieren", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#post_reject_new_cookies", "recommended_action": "Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären." }, { "id": "third_party_page_url_parameter", "target_time": "30 Tage", "area": "privacy", "responsibility": "Website-Betrieb/Datenschutz", "title": "Seiten-URL wird in Drittanbieter-Requests übertragen", "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.", "source": "findings", "due_days": 30, "evidence": "Seiten-URL wird in Drittanbieter-Requests übertragen", "background_url": "/guides/referrer-und-url-leaks-vermeiden", "likelihood": "mittel", "risk_level": "mittel", "risk_score": 62, "operator_decision": "beheben", "public_report_path": "/wbs-schulen.de#third_party_page_url_parameter", "recommended_action": "Tracking-/Tag-Parameter für Anbieter wie apps.mypurecloud.de, bam.eu01.nr-data.net, consent.cookiebot.eu so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden." } ], "dpia_screening": { "status": "dpia_empfohlen", "summary": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 52/100, 4 ausgelöste Risikofaktor(en), 2 hoch.", "decision": "DPIA/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.", "available": true, "disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-/DSFA-Entscheidung muss fachlich/rechtlich dokumentiert werden.", "risk_score": 52, "risk_factors": [ { "id": "personal_data_collection", "label": "Personenbezogene Dateneingabe", "action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "weight": 18, "evidence": "4 Formular(e), Datenarten: Adresse, Newsletter, Kontaktformular", "severity": "hoch", "background_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": true }, { "id": "form_context_gaps", "label": "Formulare ohne ausreichenden Datenschutzkontext", "action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.", "weight": 14, "evidence": "0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext vorhanden.", "severity": "hoch", "background_url": "/guides/formulare-datenschutzkonform-absichern", "triggered": false }, { "id": "tracking_or_profiling", "label": "Tracking, Profiling oder Consent-Zustandsrisiken", "action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.", "weight": 18, "evidence": "0 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.", "severity": "hoch", "background_url": "/guides/tracking-und-consent-reparieren", "triggered": false }, { "id": "third_party_processors", "label": "Viele Drittanbieter oder Processor", "action": "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "weight": 10, "evidence": "9 Anbieterregister-Eintrag/Einträge, 9 Drittanbieter-Domain(s).", "severity": "mittel", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "triggered": true }, { "id": "international_transfer", "label": "Drittland-/Transferprüfung", "action": "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "weight": 12, "evidence": "Transfer hoch 0, unklar 3.", "severity": "mittel", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "triggered": true }, { "id": "pii_leakage", "label": "PII-, Referrer- oder URL-Leakage", "action": "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "weight": 12, "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 4.", "severity": "hoch", "background_url": "/guides/pii-und-url-datenlecks-vermeiden", "triggered": true }, { "id": "public_authority_or_sensitive_context", "label": "Öffentliche Stelle oder sensibler Nutzungskontext", "action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.", "weight": 8, "evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.", "severity": "mittel", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "triggered": false }, { "id": "external_embeds", "label": "Externe Inhalte vor Einwilligung", "action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.", "weight": 6, "evidence": "0 externe Embed-/Widget-Element(e) vorab geladen.", "severity": "mittel", "background_url": "/guides/externe-inhalte-datenschutzfreundlich-einbinden", "triggered": false }, { "id": "gpc_or_optout_gap", "label": "GPC/Opt-out-Lücke", "action": "GPC/Opt-out-Signale respektieren und technisch nachweisen.", "weight": 6, "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).", "severity": "mittel", "background_url": "/guides/tracking-und-consent-reparieren", "triggered": false } ], "high_risk_count": 2, "triggered_count": 4, "recommended_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Nachweisbearbeitung-Nachweispositionen vor DPIA-Freigabe priorisieren." ], "assessment_questions": [ { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "responsibility": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "responsibility": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "responsibility": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "responsibility": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "responsibility": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "responsibility": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Nachweisbearbeitung-Nachweispositionen mit Verantwortlichkeit, Zielzeit und Wiederholungsscan schließen." ], "linked_workflow_evidence_count": 6 }, "processing_activity_record": { "status": "Entwurf", "summary": "RoPA-Entwurf mit 4 Verarbeitungstätigkeit(en), 2 hohem Risikolevel und 6 offenen Betreiberfragen.", "activities": [ { "name": "Website-Formulare und Eingaben", "purpose": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.", "evidence": "4 Formular(e), Datenarten Adresse, Newsletter, Kontaktformular.", "transfer": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 82, "recipients": [ "sibforms.com", "bam.eu01.nr-data.net", "apps.mypurecloud.de", "chatbot.wbs-web.de", "consent.cookiebot.eu", "consentcdn.cookiebot.eu", "js-agent.newrelic.com", "api-cdn.mypurecloud.de" ], "risk_level": "hoch", "activity_id": "website_forms", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Löschfrist je Anfrage-/Newsletter-/Konto-Prozess festlegen.", "controller_hint": "wbs-schulen.de", "data_categories": [ "Adresse", "Newsletter", "Kontaktformular" ], "operator_action": "Zweck, Pflichtfelder, Empfänger, Speicherfrist, Rechtsgrundlage und Betroffenenrechte je Formular dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 8 }, { "name": "Cookies, Web Storage und Consent", "purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.", "evidence": "4 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "transfer": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 88, "recipients": [ "nr-data.net", "wbs-schulen.de", "sibforms.com" ], "risk_level": "mittel", "activity_id": "cookies_storage", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.", "controller_hint": "wbs-schulen.de", "data_categories": [ "Cookie-ID", "Consent-Status", "Geräte-/Browserinformationen", "Storage-Key-Metadaten" ], "operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies/Storage-Einträgen abgleichen.", "legal_basis_hint": "TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 3 }, { "name": "Drittanbieter-Dienste und Einbindungen", "purpose": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.", "evidence": "9 Anbieter/Processor, 3 mit Datenschutz-/Transfer-Prüfbedarf.", "transfer": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 86, "recipients": [ "sibforms.com", "bam.eu01.nr-data.net", "apps.mypurecloud.de", "chatbot.wbs-web.de", "consent.cookiebot.eu", "consentcdn.cookiebot.eu", "js-agent.newrelic.com", "api-cdn.mypurecloud.de", "r2mftq.wbs-schulen.de" ], "risk_level": "hoch", "activity_id": "third_party_services", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Speicherfristen der Anbieter dokumentieren und Verträge/AVV prüfen.", "controller_hint": "wbs-schulen.de", "data_categories": [ "IP-Adresse", "Nutzungsdaten", "Geräteinformationen", "Referrer-/Request-Metadaten" ], "operator_action": "AVV/DPA, Rolle, Zweck, Transfergrundlage und Datenschutzerklärung je Anbieter pflegen.", "legal_basis_hint": "Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 9 }, { "name": "Betroffenenrechte- und Datenschutzanfragen", "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.", "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "transfer": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 74, "recipients": [ "interne Datenschutz-/Legal-/Fachbereichsteams" ], "risk_level": "mittel", "activity_id": "privacy_rights_requests", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.", "controller_hint": "wbs-schulen.de", "data_categories": [ "Identitätsbezug", "Kontaktinformationen", "Anfragetyp", "Kommunikationsinhalte" ], "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 } ], "open_questions": [] }, "data_flow_map": { "status": "kritische Flüsse prüfen", "summary": "Data Map mit 43 Knoten und 53 Datenfluss-Kanten; 26 Kante(n) hohes Risiko, 3 Transfer-Kante(n), 3 offene Mapping-Fragen.", "edges": [ { "type": "controller_activity", "label": "verantwortet", "source": "controller:wbs-schulen-de", "target": "activity:website-forms", "edge_id": "controller:wbs-schulen-de->activity:website-forms:verantwortet", "evidence": "4 Formular(e), Datenarten Adresse, Newsletter, Kontaktformular.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 80, "risk_level": "hoch", "source_label": "wbs-schulen.de", "target_label": "Website-Formulare und Eingaben", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:adresse", "edge_id": "activity:website-forms->data:adresse:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Adresse", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:newsletter", "edge_id": "activity:website-forms->data:newsletter:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Newsletter", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:website-forms", "target": "data:kontaktformular", "edge_id": "activity:website-forms->data:kontaktformular:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 76, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "Kontaktformular", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:sibforms-com", "edge_id": "activity:website-forms->recipient:sibforms-com:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "sibforms.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:bam-eu01-nr-data-net", "edge_id": "activity:website-forms->recipient:bam-eu01-nr-data-net:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "bam.eu01.nr-data.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:apps-mypurecloud-de", "edge_id": "activity:website-forms->recipient:apps-mypurecloud-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "apps.mypurecloud.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:chatbot-wbs-web-de", "edge_id": "activity:website-forms->recipient:chatbot-wbs-web-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "chatbot.wbs-web.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:consent-cookiebot-eu", "edge_id": "activity:website-forms->recipient:consent-cookiebot-eu:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "consent.cookiebot.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:consentcdn-cookiebot-eu", "edge_id": "activity:website-forms->recipient:consentcdn-cookiebot-eu:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "consentcdn.cookiebot.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:js-agent-newrelic-com", "edge_id": "activity:website-forms->recipient:js-agent-newrelic-com:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "js-agent.newrelic.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:website-forms", "target": "recipient:api-cdn-mypurecloud-de", "edge_id": "activity:website-forms->recipient:api-cdn-mypurecloud-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Website-Formulare und Eingaben", "target_label": "api-cdn.mypurecloud.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:wbs-schulen-de", "target": "activity:cookies-storage", "edge_id": "controller:wbs-schulen-de->activity:cookies-storage:verantwortet", "evidence": "4 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 80, "risk_level": "mittel", "source_label": "wbs-schulen.de", "target_label": "Cookies, Web Storage und Consent", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:cookie-id", "edge_id": "activity:cookies-storage->data:cookie-id:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Cookie-ID", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:consent-status", "edge_id": "activity:cookies-storage->data:consent-status:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Consent-Status", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:ger-te-browserinformationen", "edge_id": "activity:cookies-storage->data:ger-te-browserinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Geräte-/Browserinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:cookies-storage", "target": "data:storage-key-metadaten", "edge_id": "activity:cookies-storage->data:storage-key-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 76, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "Storage-Key-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:nr-data-net", "edge_id": "activity:cookies-storage->recipient:nr-data-net:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "nr-data.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:wbs-schulen-de", "edge_id": "activity:cookies-storage->recipient:wbs-schulen-de:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "wbs-schulen.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:cookies-storage", "target": "recipient:sibforms-com", "edge_id": "activity:cookies-storage->recipient:sibforms-com:bermittelt-an-empf-nger", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Cookies, Web Storage und Consent", "target_label": "sibforms.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:wbs-schulen-de", "target": "activity:third-party-services", "edge_id": "controller:wbs-schulen-de->activity:third-party-services:verantwortet", "evidence": "9 Anbieter/Processor, 3 mit Datenschutz-/Transfer-Prüfbedarf.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 80, "risk_level": "hoch", "source_label": "wbs-schulen.de", "target_label": "Drittanbieter-Dienste und Einbindungen", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ip-adresse", "edge_id": "activity:third-party-services->data:ip-adresse:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "IP-Adresse", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:nutzungsdaten", "edge_id": "activity:third-party-services->data:nutzungsdaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Nutzungsdaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:ger-teinformationen", "edge_id": "activity:third-party-services->data:ger-teinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Geräteinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:third-party-services", "target": "data:referrer-request-metadaten", "edge_id": "activity:third-party-services->data:referrer-request-metadaten:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 76, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Referrer-/Request-Metadaten", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:sibforms-com", "edge_id": "activity:third-party-services->recipient:sibforms-com:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "sibforms.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:bam-eu01-nr-data-net", "edge_id": "activity:third-party-services->recipient:bam-eu01-nr-data-net:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "bam.eu01.nr-data.net", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:apps-mypurecloud-de", "edge_id": "activity:third-party-services->recipient:apps-mypurecloud-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "apps.mypurecloud.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:chatbot-wbs-web-de", "edge_id": "activity:third-party-services->recipient:chatbot-wbs-web-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "chatbot.wbs-web.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:consent-cookiebot-eu", "edge_id": "activity:third-party-services->recipient:consent-cookiebot-eu:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "consent.cookiebot.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:consentcdn-cookiebot-eu", "edge_id": "activity:third-party-services->recipient:consentcdn-cookiebot-eu:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "consentcdn.cookiebot.eu", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:js-agent-newrelic-com", "edge_id": "activity:third-party-services->recipient:js-agent-newrelic-com:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "js-agent.newrelic.com", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:api-cdn-mypurecloud-de", "edge_id": "activity:third-party-services->recipient:api-cdn-mypurecloud-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "api-cdn.mypurecloud.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:third-party-services", "target": "recipient:r2mftq-wbs-schulen-de", "edge_id": "activity:third-party-services->recipient:r2mftq-wbs-schulen-de:bermittelt-an-empf-nger", "evidence": "9 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 3 unklar.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "hoch", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "r2mftq.wbs-schulen.de", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_activity", "label": "verantwortet", "source": "controller:wbs-schulen-de", "target": "activity:privacy-rights-requests", "edge_id": "controller:wbs-schulen-de->activity:privacy-rights-requests:verantwortet", "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 80, "risk_level": "mittel", "source_label": "wbs-schulen.de", "target_label": "Betroffenenrechte- und Datenschutzanfragen", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage für diese Aktivität bestätigen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:identit-tsbezug", "edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Identitätsbezug", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kontaktinformationen", "edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kontaktinformationen", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:anfragetyp", "edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Anfragetyp", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_data", "label": "verarbeitet Datenart", "source": "activity:privacy-rights-requests", "target": "data:kommunikationsinhalte", "edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart", "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.", "background_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 76, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kommunikationsinhalte", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen." }, { "type": "activity_recipient", "label": "übermittelt an Empfänger", "source": "activity:privacy-rights-requests", "target": "recipient:interne-datenschutz-legal-fachbereichsteams", "edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger", "evidence": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 72, "risk_level": "mittel", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "interne Datenschutz-/Legal-/Fachbereichsteams", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:sibforms-com", "edge_id": "controller:wbs-schulen-de->vendor:sibforms-com:setzt-anbieter-ein", "evidence": "1 Request(s), 1 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "wbs-schulen.de", "target_label": "sibforms.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:sibforms-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:sibforms-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "sibforms.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "data_vendor", "label": "fließt an Anbieter", "source": "data:ip-nutzungs-und-geraetedaten", "target": "vendor:sibforms-com", "edge_id": "data:ip-nutzungs-und-geraetedaten->vendor:sibforms-com:flie-t-an-anbieter", "evidence": "1 Request(s), 1 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 68, "risk_level": "mittel", "source_label": "IP-, Nutzungs- und Gerätedaten", "target_label": "sibforms.com", "operator_action": "Datenumfang und Consent-Erfordernis je Anbieter begrenzen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:bam-eu01-nr-data-net", "edge_id": "controller:wbs-schulen-de->vendor:bam-eu01-nr-data-net:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "wbs-schulen.de", "target_label": "bam.eu01.nr-data.net", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:bam-eu01-nr-data-net", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:bam-eu01-nr-data-net->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "bam.eu01.nr-data.net", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:apps-mypurecloud-de", "edge_id": "controller:wbs-schulen-de->vendor:apps-mypurecloud-de:setzt-anbieter-ein", "evidence": "26 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "mittel", "source_label": "wbs-schulen.de", "target_label": "apps.mypurecloud.de", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:chatbot-wbs-web-de", "edge_id": "controller:wbs-schulen-de->vendor:chatbot-wbs-web-de:setzt-anbieter-ein", "evidence": "8 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "wbs-schulen.de", "target_label": "chatbot.wbs-web.de", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:js-agent-newrelic-com", "edge_id": "controller:wbs-schulen-de->vendor:js-agent-newrelic-com:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer Jurisdiktion unklar, Risiko mittel.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "wbs-schulen.de", "target_label": "js-agent.newrelic.com", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "vendor_transfer", "label": "Transfer-/Jurisdiktionsprüfung", "source": "vendor:js-agent-newrelic-com", "target": "transfer:jurisdiktion-unklar", "edge_id": "vendor:js-agent-newrelic-com->transfer:jurisdiktion-unklar:transfer-jurisdiktionspr-fung", "evidence": "Jurisdiktion unklar", "background_url": "/guides/drittlandtransfer-und-anbieter-pruefen", "confidence": 74, "risk_level": "mittel", "source_label": "js-agent.newrelic.com", "target_label": "Jurisdiktion unklar", "operator_action": "Region, SCC/TIA, EU-Alternative und Datenschutzerklärungseintrag prüfen." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:consent-cookiebot-eu", "edge_id": "controller:wbs-schulen-de->vendor:consent-cookiebot-eu:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "wbs-schulen.de", "target_label": "consent.cookiebot.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:consentcdn-cookiebot-eu", "edge_id": "controller:wbs-schulen-de->vendor:consentcdn-cookiebot-eu:setzt-anbieter-ein", "evidence": "3 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "wbs-schulen.de", "target_label": "consentcdn.cookiebot.eu", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:api-cdn-mypurecloud-de", "edge_id": "controller:wbs-schulen-de->vendor:api-cdn-mypurecloud-de:setzt-anbieter-ein", "evidence": "2 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "wbs-schulen.de", "target_label": "api-cdn.mypurecloud.de", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." }, { "type": "controller_vendor", "label": "setzt Anbieter ein", "source": "controller:wbs-schulen-de", "target": "vendor:r2mftq-wbs-schulen-de", "edge_id": "controller:wbs-schulen-de->vendor:r2mftq-wbs-schulen-de:setzt-anbieter-ein", "evidence": "1 Request(s), 0 Cookie(s), Transfer EU/EWR, Risiko niedrig.", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 82, "risk_level": "niedrig", "source_label": "wbs-schulen.de", "target_label": "r2mftq.wbs-schulen.de", "operator_action": "Zweck für Sonstige prüfen und bei Personenbezug dokumentieren." } ], "open_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Nachweispositionenysteme oder Mailboxen.", "responsibility": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "responsibility": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "responsibility": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." } ] }, "retention_deletion": { "status": "retention-ready", "summary": "Retention-/Deletion-Readiness 92/100; 9/10 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.", "score": 92, "checks": [ { "id": "retention_notice", "label": "Speicherfristen und Löschung im Datenschutzhinweis", "responsibility": "Datenschutz/Content", "action": "Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Entwurf aus Scan-Evidenz: 4 Cookie(s), 9 Drittanbieter-Domain(s), 0 Storage-Key(s).", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "cookie_retention", "label": "Cookie-/Storage-Laufzeiten bewertet", "responsibility": "Marketing/IT", "action": "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Cookies 4, fehlende Laufzeit 0, Retention-Risiken 1, langlebige Hinweise 0.", "background_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "manual_review": false }, { "id": "data_inventory_retention", "label": "Dateninventar mit Datenarten und Systemen", "responsibility": "Datenschutz/IT", "action": "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA/Data Map ergänzen.", "passed": true, "status": "vorhanden", "weight": 14, "evidence": "4 Verarbeitungstätigkeit(en), 43 Data-Map-Knoten, 3 Datenart(en).", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "legal_basis_retention", "label": "Rechtsgrundlage, Zweck und Aufbewahrung verknüpft", "responsibility": "Datenschutz/Legal", "action": "Retention je Zweck/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "17 Rechtsgrundlagenzeile(n) im Report.", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "erasure_workflow", "label": "Löschanfragen mit DSAR-Workflow verbunden", "responsibility": "Datenschutz/Support/IT", "action": "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "background_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "vendor_deletion", "label": "Vendor-/Processor-Löschung und Rückgabe steuerbar", "responsibility": "Legal/Vendor-Verantwortung", "action": "AVV/DPA, Rückgabe/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Vendor-Due-Diligence mit 9 Anbieter(n), 0 hohem Risiko, 9 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).", "background_url": "/guides/drittanbieter-datenschutz-erklaeren", "manual_review": false }, { "id": "backup_legal_hold", "label": "Backups, Legal Hold und Ausnahmen geregelt", "responsibility": "Legal/IT", "action": "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.", "passed": false, "status": "prüfen", "weight": 8, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "background_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": true }, { "id": "minimization_trigger", "label": "Datenminimierung und Löschtrigger bei Formularen", "responsibility": "Fachbereich/Datenschutz", "action": "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-/Support-Weitergabe prüfen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Formulare 4, Datenschutzkontext ja.", "background_url": "/guides/formulare-datenschutzkonform-absichern", "manual_review": false }, { "id": "deletion_evidence", "label": "Löschprotokoll und Integritätsnachweis", "responsibility": "Compliance/IT", "action": "Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-/Audit-Nachweis protokollieren.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Prüfbeleg vorhanden, Root-Hash fdf28b73aa77bbc2.", "background_url": "/methodik", "manual_review": false }, { "id": "change_monitoring", "label": "Change Trigger für Retention-Risiken", "responsibility": "Datenschutz/IT", "action": "Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Alerts 0, Regulatory-Pflichten 10.", "background_url": "/monitoring", "manual_review": false } ], "retention_schedule": [ { "id": "cookies_storage", "responsibility": "Marketing/IT", "source": "Browser-/Cookie-Inventar", "evidence": "4 Cookie-/Storage-Eintrag/Einträge; Retention-Risiken 1.", "data_category": "Cookies, LocalStorage und SessionStorage", "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung", "default_retention": "Session bis 13 Monate je Zweck prüfen" }, { "id": "contact_forms", "responsibility": "Fachbereich/Datenschutz", "source": "Formular- und Datenartenanalyse", "evidence": "Formulare 4, Datenarten 3.", "data_category": "Kontakt-, Newsletter- und Formularangaben", "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage", "default_retention": "Zweckende plus notwendige Nachweis-/Verjährungsfrist" }, { "id": "vendor_logs", "responsibility": "Vendor-Verantwortung/Legal", "source": "Vendor Register / Data Map", "evidence": "9 Anbieter, 9 DPA-Prüfungen.", "data_category": "Drittanbieter-, Tracking- und Supportdaten", "deletion_trigger": "Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende", "default_retention": "Nach Anbieterzweck, AVV/DPA und Transferprüfung" }, { "id": "security_audit_logs", "responsibility": "Compliance/IT", "source": "Audit Receipt / Evidence Pack", "evidence": "Prüfbeleg und Hash-Manifest als Nachweisquelle.", "data_category": "Security-, Consent- und Audit-Nachweise", "deletion_trigger": "Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt", "default_retention": "Nachweispflicht und Sicherheitsbedarf fachlich festlegen" } ], "deletion_workflow": [ { "id": "identify", "responsibility": "Datenschutz/Support", "phase": "Identifizieren", "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.", "timebox": "Tag 0-3", "evidence": "DSAR-Nachweisposition, RoPA/Data Map, Vendor Register." }, { "id": "hold_check", "responsibility": "Legal/Fachbereich", "phase": "Legal Hold & Aufbewahrung", "action": "Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.", "timebox": "Tag 3-7", "evidence": "Hold-Entscheidung, Rechtsgrund, Sperrvermerk." }, { "id": "execute", "responsibility": "IT/Vendor-Verantwortung", "phase": "Löschung / Sperrung", "action": "System- und Vendor-Aufgaben ausführen, Backups/Archive nach Retention-Regel behandeln.", "timebox": "Tag 7-21", "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs." }, { "id": "verify", "responsibility": "Datenschutz/Compliance", "phase": "Nachweis & Antwort", "action": "Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.", "timebox": "bis Tag 30", "evidence": "Deletion-Log, Abschlussnotiz, Antwortkopie." } ] }, "open_operator_questions": [ { "id": "activity_system_mapping", "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Nachweispositionenysteme oder Mailboxen.", "responsibility": "IT/Fachbereich", "priority": "hoch", "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?", "expected_evidence": "Systemliste je Verarbeitung mit Verantwortlichkeit, Datenkategorien, Löschfrist und Zugriffskonzept." }, { "id": "vendor_flow_validation", "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.", "responsibility": "Datenschutz/Legal", "priority": "hoch", "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage?", "expected_evidence": "Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag." }, { "id": "retention_link", "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.", "responsibility": "Datenschutz/IT", "priority": "mittel", "question": "Welche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System?", "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger." }, { "id": "purpose", "why": "DPIA braucht einen klaren Scope.", "responsibility": "Website-Betrieb", "priority": "hoch", "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?" }, { "id": "data_categories", "why": "Datenart und Betroffenengruppe bestimmen das Risiko.", "responsibility": "Datenschutz", "priority": "hoch", "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?" }, { "id": "scale", "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.", "responsibility": "Fachbereich", "priority": "mittel", "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?" }, { "id": "vendors", "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.", "responsibility": "Legal/Datenschutz", "priority": "hoch", "question": "Welche Anbieter/Processor und Transfers sind notwendig?" }, { "id": "controls", "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.", "responsibility": "Developer/Ops", "priority": "hoch", "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?" }, { "id": "approval", "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.", "responsibility": "Datenschutz", "priority": "mittel", "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?" } ], "recommended_safeguards": [ "Privacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.", "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.", "Transferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.", "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.", "Governance: Nachweisbearbeitung-Nachweispositionen mit Verantwortlichkeit, Zielzeit und Wiederholungsscan schließen." ], "priority_actions": [ "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.", "Rollen, AVV/DPA, Zwecke und Empfänger je Anbieter dokumentieren.", "Transfergrundlage, SCC/TIA, Anbieterregion und Alternativen prüfen.", "Formulardaten nicht in URLs/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.", "Offene Nachweisbearbeitung-Nachweispositionen vor DPIA-Freigabe priorisieren.", "RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.", "Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.", "RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren.", "Top-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.", "Interne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.", "Data Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular/Cookie erneut prüfen.", "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren." ], "disclaimer": "Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden." }