# Transfer Impact Assessment für bluewin.ch Transfer Impact Assessment für bluewin.ch: 48 Anbieter, 3 hohes Transfer-Risiko, 45 unklare Region(en), 3 offene Betreiber-Nachweise. > Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete TIA-Arbeitsakte. Rechtliche Bewertung, Vertragsunterlagen, SCC/TIA, TOMs und Restrisikoentscheidung muss der Betreiber fachlich ergänzen. ## Transfermatrix - **Google DoubleClick** (securepubads.g.doubleclick.net): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **Google DoubleClick** (ad.doubleclick.net): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **lcdn.blue-skyjs.org** (lcdn.blue-skyjs.org): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **c.amazon-adsystem.com** (c.amazon-adsystem.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **config.aps.amazon-adsystem.com** (config.aps.amazon-adsystem.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **bluewin-dev-images.imgix.net** (bluewin-dev-images.imgix.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **bluewin-prod-sc-images.imgix.net** (bluewin-prod-sc-images.imgix.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **medstore.bluecinema.ch** (medstore.bluecinema.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **play.google.com** (play.google.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **services.sg101.prd.sctv.ch** (services.sg101.prd.sctv.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **assets.adobedtm.com** (assets.adobedtm.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **bluewin-prod-images.imgix.net** (bluewin-prod-images.imgix.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **images.sports.gracenote.com** (images.sports.gracenote.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.blue-skyjs.org** (cdn.blue-skyjs.org): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.skyjs.org** (cdn.skyjs.org): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **sb.scorecardresearch.com** (sb.scorecardresearch.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn-a.yieldlove.com** (cdn-a.yieldlove.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.confiant-integrations.net** (cdn.confiant-integrations.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.ringier-advertising.ch** (cdn.ringier-advertising.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **static.chartbeat.com** (static.chartbeat.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn-swisscom.push.delivery** (cdn-swisscom.push.delivery): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.adnz.co** (cdn.adnz.co): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.alloy.ch** (cdn.alloy.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.brandmetrics.com** (cdn.brandmetrics.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.cookielaw.org** (cdn.cookielaw.org): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **cdn.daydeal.ch** (cdn.daydeal.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **developer.apple.com** (developer.apple.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **end.mpod.ch** (end.mpod.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **functions.adnami.io** (functions.adnami.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **get.geojs.io** (get.geojs.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **i1.weather.skyjs.org** (i1.weather.skyjs.org): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **images.daydeal.ch** (images.daydeal.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **mab.chartbeat.com** (mab.chartbeat.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **macro.adnami.io** (macro.adnami.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **ping.chartbeat.net** (ping.chartbeat.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **qcdn.blue-skyjs.org** (qcdn.blue-skyjs.org): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **rcp.scsstatic.ch** (rcp.scsstatic.ch): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 75** (Anbieter 75): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 76** (Anbieter 76): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 77** (Anbieter 77): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 78** (Anbieter 78): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 79** (Anbieter 79): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 80** (Anbieter 80): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 81** (Anbieter 81): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 82** (Anbieter 82): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 83** (Anbieter 83): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 84** (Anbieter 84): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 85** (Anbieter 85): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten ## Zusatzmaßnahmen - [ ] Datenminimierung (IT/Marketing): Nur notwendige Tags laden, Parameter kürzen und sensible Pfade nicht an Drittanbieter übergeben. - [ ] Consent-Blocking (Marketing/IT): Marketing, Analytics, Maps, Videos und aehnliche Dienste bis zur Einwilligung blockieren. - [ ] IP-/Identifier-Schutz (IT): IP-Kuerzung, serverseitige Pseudonymisierung, kurze Cookie-Laufzeiten und datensparsame Konfiguration prüfen. - [ ] Verschluesselung und Zugriff (Security): Transport-/Speicherverschluesselung, Zugriffsbeschraenkung, Logging und Kundenschluessel bewerten. - [ ] EU-/EWR-Alternative (Procurement): Bei hohem Restrisiko EU-gehostete oder selbst gehostete Alternativen bewerten. - [ ] Subprozessor-Monitoring (Legal/Vendor Owner): Subprozessor-Änderungen, Regionen und TOM-Updates als Review-Trigger aufnehmen. ## Assessment-Fragen - [ ] Welche Website-Funktion, Seite, Datenklasse und betroffene Personengruppe löst den Transfer aus? Owner: Datenschutz/IT - [ ] Wer ist Datenimporteur, welche Rolle hat er und in welchem Land werden Daten verarbeitet oder zugreifbar? Owner: Legal/Vendor Owner - [ ] Welche Transfergrundlage gilt: Angemessenheit, DPF, SCC-Modul, Binding Rules oder Ausnahme? Owner: Legal - [ ] Welche Zugriffsbefugnisse und Rechtsbehelfe im Zielland sind für die Daten realistisch relevant? Owner: Datenschutzbeauftragte/Legal - [ ] Welche technischen, vertraglichen und organisatorischen Zusatzmaßnahmen senken das Risiko konkret? Owner: IT/Security/Legal - [ ] Gibt es eine gleichwertige EU-/EWR-Alternative oder eine Konfiguration mit weniger Daten? Owner: Procurement/IT - [ ] Ist der Transfer in Datenschutzhinweis, Cookie-Auswahl und Consent-Log nachvollziehbar erklärt? Owner: Content/Marketing - [ ] Wer akzeptiert welches Restrisiko, bis wann wird erneut geprüft und welcher Re-Scan belegt die Umsetzung? Owner: Management/Datenschutz ## Nachweise - Transfer Map: Anbieter, Dienst, Zweck, Datenklasse, Land, Subprozessor, Datenfluss, betroffene Seiten. - AVV/DPA und SCC/DPF-Nachweis: Vertrag, TOM-Anlage, SCC-Modul, DPF-/Angemessenheitsbezug oder Ausnahme. - TIA-Arbeitsakte: Landesrisiko, Zugriffsbefugnisse, TOMs, Zusatzmaßnahmen, Restrisikoentscheidung. - Technische Konfiguration: Consent-Blocking, IP-Kuerzung, Cookie-Laufzeiten, Tag-Regeln, serverseitige Filter. - Notice-/Consent-Sync: Datenschutzhinweis, Cookie-Erklärung, CMP-Servicebeschreibung, Widerrufsweg. - Review- und Re-Scan-Beleg: Freigabedatum, Owner, nächster Review, SaferPage-Re-Scan und Änderungsmonitoring.