# Transfer Impact Assessment für bams.de Transfer Impact Assessment für bams.de: 38 Anbieter, 1 hohes Transfer-Risiko, 37 unklare Region(en), 3 offene Betreiber-Nachweise. > Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete TIA-Arbeitsakte. Rechtliche Bewertung, Vertragsunterlagen, SCC/TIA, TOMs und Restrisikoentscheidung muss der Betreiber fachlich ergänzen. ## Transfermatrix - **Google AdSense** (pagead2.googlesyndication.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **consumer-api.prod.auth.bild.de** (consumer-api.prod.auth.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **a.bildstatic.de** (a.bildstatic.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **asadcdn.com** (asadcdn.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cmp2.bild.de** (cmp2.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **dck7nrao.media.greenvideo.io** (dck7nrao.media.greenvideo.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **images.bild.de** (images.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **s.hs-data.com** (s.hs-data.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **wall-e.prod.ps.bild.de** (wall-e.prod.ps.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **ast.bild.de** (ast.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **as.bild.de** (as.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.greenvideo.io** (cdn.greenvideo.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **sport.bild.de** (sport.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **ad-delivery.net** (ad-delivery.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **chords.prod.pss.bild.de** (chords.prod.pss.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **ib.adnxs-simple.com** (ib.adnxs-simple.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **whoami-web.prod.ps.bild.de** (whoami-web.prod.ps.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **acdn.adnxs.com** (acdn.adnxs.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.privacy-mgmt.com** (cdn.privacy-mgmt.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **embeds.greenvideo.io** (embeds.greenvideo.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **html-load.com** (html-load.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **jnt.bild.de** (jnt.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **media-api-prod.greenvideo.io** (media-api-prod.greenvideo.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **public-epg.api.bild.de** (public-epg.api.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **rosetta.prod.ps.bild.de** (rosetta.prod.ps.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **static.criteo.net** (static.criteo.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **wait-web.prod.ps.bild.de** (wait-web.prod.ps.bild.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 55** (Anbieter 55): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 56** (Anbieter 56): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 57** (Anbieter 57): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 58** (Anbieter 58): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 59** (Anbieter 59): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 60** (Anbieter 60): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 61** (Anbieter 61): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 62** (Anbieter 62): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 63** (Anbieter 63): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 64** (Anbieter 64): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 65** (Anbieter 65): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten ## Zusatzmaßnahmen - [ ] Datenminimierung (IT/Marketing): Nur notwendige Tags laden, Parameter kürzen und sensible Pfade nicht an Drittanbieter übergeben. - [ ] Consent-Blocking (Marketing/IT): Marketing, Analytics, Maps, Videos und aehnliche Dienste bis zur Einwilligung blockieren. - [ ] IP-/Identifier-Schutz (IT): IP-Kuerzung, serverseitige Pseudonymisierung, kurze Cookie-Laufzeiten und datensparsame Konfiguration prüfen. - [ ] Verschluesselung und Zugriff (Security): Transport-/Speicherverschluesselung, Zugriffsbeschraenkung, Logging und Kundenschluessel bewerten. - [ ] EU-/EWR-Alternative (Procurement): Bei hohem Restrisiko EU-gehostete oder selbst gehostete Alternativen bewerten. - [ ] Subprozessor-Monitoring (Legal/Vendor Owner): Subprozessor-Änderungen, Regionen und TOM-Updates als Review-Trigger aufnehmen. ## Assessment-Fragen - [ ] Welche Website-Funktion, Seite, Datenklasse und betroffene Personengruppe löst den Transfer aus? Owner: Datenschutz/IT - [ ] Wer ist Datenimporteur, welche Rolle hat er und in welchem Land werden Daten verarbeitet oder zugreifbar? Owner: Legal/Vendor Owner - [ ] Welche Transfergrundlage gilt: Angemessenheit, DPF, SCC-Modul, Binding Rules oder Ausnahme? Owner: Legal - [ ] Welche Zugriffsbefugnisse und Rechtsbehelfe im Zielland sind für die Daten realistisch relevant? Owner: Datenschutzbeauftragte/Legal - [ ] Welche technischen, vertraglichen und organisatorischen Zusatzmaßnahmen senken das Risiko konkret? Owner: IT/Security/Legal - [ ] Gibt es eine gleichwertige EU-/EWR-Alternative oder eine Konfiguration mit weniger Daten? Owner: Procurement/IT - [ ] Ist der Transfer in Datenschutzhinweis, Cookie-Auswahl und Consent-Log nachvollziehbar erklärt? Owner: Content/Marketing - [ ] Wer akzeptiert welches Restrisiko, bis wann wird erneut geprüft und welcher Re-Scan belegt die Umsetzung? Owner: Management/Datenschutz ## Nachweise - Transfer Map: Anbieter, Dienst, Zweck, Datenklasse, Land, Subprozessor, Datenfluss, betroffene Seiten. - AVV/DPA und SCC/DPF-Nachweis: Vertrag, TOM-Anlage, SCC-Modul, DPF-/Angemessenheitsbezug oder Ausnahme. - TIA-Arbeitsakte: Landesrisiko, Zugriffsbefugnisse, TOMs, Zusatzmaßnahmen, Restrisikoentscheidung. - Technische Konfiguration: Consent-Blocking, IP-Kuerzung, Cookie-Laufzeiten, Tag-Regeln, serverseitige Filter. - Notice-/Consent-Sync: Datenschutzhinweis, Cookie-Erklärung, CMP-Servicebeschreibung, Widerrufsweg. - Review- und Re-Scan-Beleg: Freigabedatum, Owner, nächster Review, SaferPage-Re-Scan und Änderungsmonitoring.