# Transfer Impact Assessment fuer dm.de Transfer Impact Assessment fuer dm.de: 34 Anbieter, 3 hohes Transfer-Risiko, 31 unklare Region(en), 3 offene Betreiber-Nachweise. > Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete TIA-Arbeitsakte. Rechtliche Bewertung, Vertragsunterlagen, SCC/TIA, TOMs und Restrisikoentscheidung muss der Betreiber fachlich ergaenzen. ## Transfermatrix - **signin.dm.de** (signin.dm.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Google Static** (gstatic.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **google.com** (google.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Google Fonts** (fonts.gstatic.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **tags.tiqcdn.com** (tags.tiqcdn.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **assets.dm.de** (assets.dm.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **editorial-content.dm-static.com** (editorial-content.dm-static.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **products.dm-static.com** (products.dm-static.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **api.usercentrics.eu** (api.usercentrics.eu): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **app.usercentrics.eu** (app.usercentrics.eu): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **content.services.dmtech.com** (content.services.dmtech.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **products.dm.de** (products.dm.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **content-search-service.services.dmtech.com** (content-search-service.services.dmtech.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **sandbox.om.dm.de** (sandbox.om.dm.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **aggregator.service.usercentrics.eu** (aggregator.service.usercentrics.eu): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **consent-api.service.consent.usercentrics.eu** (consent-api.service.consent.usercentrics.eu): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **direct.dy-api.eu** (direct.dy-api.eu): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **omt.dm.de** (omt.dm.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **product-search.services.dmtech.com** (product-search.services.dmtech.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **recos-as-a-service.services.dmtech.com** (recos-as-a-service.services.dmtech.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **retail-media.services.dmtech.com** (retail-media.services.dmtech.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **stars.services.dmtech.com** (stars.services.dmtech.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **uct.service.usercentrics.eu** (uct.service.usercentrics.eu): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 47** (Anbieter 47): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 48** (Anbieter 48): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 49** (Anbieter 49): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 50** (Anbieter 50): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 51** (Anbieter 51): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 52** (Anbieter 52): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 53** (Anbieter 53): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 54** (Anbieter 54): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 55** (Anbieter 55): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 56** (Anbieter 56): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 57** (Anbieter 57): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten ## Zusatzmassnahmen - [ ] Datenminimierung (IT/Marketing): Nur notwendige Tags laden, Parameter kuerzen und sensible Pfade nicht an Drittanbieter uebergeben. - [ ] Consent-Blocking (Marketing/IT): Marketing, Analytics, Maps, Videos und aehnliche Dienste bis zur Einwilligung blockieren. - [ ] IP-/Identifier-Schutz (IT): IP-Kuerzung, serverseitige Pseudonymisierung, kurze Cookie-Laufzeiten und datensparsame Konfiguration pruefen. - [ ] Verschluesselung und Zugriff (Security): Transport-/Speicherverschluesselung, Zugriffsbeschraenkung, Logging und Kundenschluessel bewerten. - [ ] EU-/EWR-Alternative (Procurement): Bei hohem Restrisiko EU-gehostete oder selbst gehostete Alternativen bewerten. - [ ] Subprozessor-Monitoring (Legal/Vendor Owner): Subprozessor-Aenderungen, Regionen und TOM-Updates als Review-Trigger aufnehmen. ## Assessment-Fragen - [ ] Welche Website-Funktion, Seite, Datenklasse und betroffene Personengruppe loest den Transfer aus? Owner: Datenschutz/IT - [ ] Wer ist Datenimporteur, welche Rolle hat er und in welchem Land werden Daten verarbeitet oder zugreifbar? Owner: Legal/Vendor Owner - [ ] Welche Transfergrundlage gilt: Angemessenheit, DPF, SCC-Modul, Binding Rules oder Ausnahme? Owner: Legal - [ ] Welche Zugriffsbefugnisse und Rechtsbehelfe im Zielland sind fuer die Daten realistisch relevant? Owner: Datenschutzbeauftragte/Legal - [ ] Welche technischen, vertraglichen und organisatorischen Zusatzmassnahmen senken das Risiko konkret? Owner: IT/Security/Legal - [ ] Gibt es eine gleichwertige EU-/EWR-Alternative oder eine Konfiguration mit weniger Daten? Owner: Procurement/IT - [ ] Ist der Transfer in Datenschutzhinweis, Cookie-Auswahl und Consent-Log nachvollziehbar erklaert? Owner: Content/Marketing - [ ] Wer akzeptiert welches Restrisiko, bis wann wird erneut geprueft und welcher Re-Scan belegt die Umsetzung? Owner: Management/Datenschutz ## Nachweise - Transfer Map: Anbieter, Dienst, Zweck, Datenklasse, Land, Subprozessor, Datenfluss, betroffene Seiten. - AVV/DPA und SCC/DPF-Nachweis: Vertrag, TOM-Anlage, SCC-Modul, DPF-/Angemessenheitsbezug oder Ausnahme. - TIA-Arbeitsakte: Landesrisiko, Zugriffsbefugnisse, TOMs, Zusatzmassnahmen, Restrisikoentscheidung. - Technische Konfiguration: Consent-Blocking, IP-Kuerzung, Cookie-Laufzeiten, Tag-Regeln, serverseitige Filter. - Notice-/Consent-Sync: Datenschutzhinweis, Cookie-Erklaerung, CMP-Servicebeschreibung, Widerrufsweg. - Review- und Re-Scan-Beleg: Freigabedatum, Owner, naechster Review, SaferPage-Re-Scan und Aenderungsmonitoring.