# Transfer Impact Assessment für schmittini.de Transfer Impact Assessment für schmittini.de: 43 Anbieter, 8 hohes Transfer-Risiko, 35 unklare Region(en), 3 offene Betreiber-Nachweise. > Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete TIA-Arbeitsakte. Rechtliche Bewertung, Vertragsunterlagen, SCC/TIA, TOMs und Restrisikoentscheidung muss der Betreiber fachlich ergänzen. ## Transfermatrix - **YouTube** (youtube.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **Google DoubleClick** (googleads.g.doubleclick.net): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **Google DoubleClick** (static.doubleclick.net): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **YouTube** (i.ytimg.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **visits.visitor-analytics.io** (visits.visitor-analytics.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **Google Fonts** (fonts.gstatic.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **loadbalancer.visitor-analytics.io** (loadbalancer.visitor-analytics.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext - **Cloudflare** (cdnjs.cloudflare.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Google Static** (gstatic.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **consentcdn.cookiebot.com** (consentcdn.cookiebot.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **d34ikvsdm2rlij.cloudfront.net** (d34ikvsdm2rlij.cloudfront.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **frog.wix.com** (frog.wix.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **google.com** (google.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **jnn-pa.googleapis.com** (jnn-pa.googleapis.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **panorama.wixapps.net** (panorama.wixapps.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **siteassets.parastorage.com** (siteassets.parastorage.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **static.parastorage.com** (static.parastorage.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **static.wixstatic.com** (static.wixstatic.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **wix.ecwid.com** (wix.ecwid.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **www-schmittini-de.filesusr.com** (www-schmittini-de.filesusr.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **consent.cookiebot.com** (consent.cookiebot.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **eu-fra4-storefront-api.ecwid.com** (eu-fra4-storefront-api.ecwid.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **app.ecwid.com** (app.ecwid.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **bundler-velo.parastorage.com** (bundler-velo.parastorage.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **d1oxsl77a1kjht.cloudfront.net** (d1oxsl77a1kjht.cloudfront.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **d201eyh6wia12q.cloudfront.net** (d201eyh6wia12q.cloudfront.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **d3u173cvt0s8do.cloudfront.net** (d3u173cvt0s8do.cloudfront.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **eventpeppers.com** (eventpeppers.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **browser.sentry-cdn.com** (browser.sentry-cdn.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **eventzone.de** (eventzone.de): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **jsDelivr** (cdn.jsdelivr.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **yt3.ggpht.com** (yt3.ggpht.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 65** (Anbieter 65): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 66** (Anbieter 66): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 67** (Anbieter 67): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 68** (Anbieter 68): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 69** (Anbieter 69): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 70** (Anbieter 70): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 71** (Anbieter 71): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 72** (Anbieter 72): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 73** (Anbieter 73): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 74** (Anbieter 74): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten - **Anbieter 75** (Anbieter 75): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten ## Zusatzmaßnahmen - [ ] Datenminimierung (IT/Marketing): Nur notwendige Tags laden, Parameter kürzen und sensible Pfade nicht an Drittanbieter übergeben. - [ ] Consent-Blocking (Marketing/IT): Marketing, Analytics, Maps, Videos und aehnliche Dienste bis zur Einwilligung blockieren. - [ ] IP-/Identifier-Schutz (IT): IP-Kuerzung, serverseitige Pseudonymisierung, kurze Cookie-Laufzeiten und datensparsame Konfiguration prüfen. - [ ] Verschluesselung und Zugriff (Security): Transport-/Speicherverschluesselung, Zugriffsbeschraenkung, Logging und Kundenschluessel bewerten. - [ ] EU-/EWR-Alternative (Procurement): Bei hohem Restrisiko EU-gehostete oder selbst gehostete Alternativen bewerten. - [ ] Subprozessor-Monitoring (Legal/Vendor Owner): Subprozessor-Änderungen, Regionen und TOM-Updates als Review-Trigger aufnehmen. ## Assessment-Fragen - [ ] Welche Website-Funktion, Seite, Datenklasse und betroffene Personengruppe löst den Transfer aus? Owner: Datenschutz/IT - [ ] Wer ist Datenimporteur, welche Rolle hat er und in welchem Land werden Daten verarbeitet oder zugreifbar? Owner: Legal/Vendor Owner - [ ] Welche Transfergrundlage gilt: Angemessenheit, DPF, SCC-Modul, Binding Rules oder Ausnahme? Owner: Legal - [ ] Welche Zugriffsbefugnisse und Rechtsbehelfe im Zielland sind für die Daten realistisch relevant? Owner: Datenschutzbeauftragte/Legal - [ ] Welche technischen, vertraglichen und organisatorischen Zusatzmaßnahmen senken das Risiko konkret? Owner: IT/Security/Legal - [ ] Gibt es eine gleichwertige EU-/EWR-Alternative oder eine Konfiguration mit weniger Daten? Owner: Procurement/IT - [ ] Ist der Transfer in Datenschutzhinweis, Cookie-Auswahl und Consent-Log nachvollziehbar erklärt? Owner: Content/Marketing - [ ] Wer akzeptiert welches Restrisiko, bis wann wird erneut geprüft und welcher Re-Scan belegt die Umsetzung? Owner: Management/Datenschutz ## Nachweise - Transfer Map: Anbieter, Dienst, Zweck, Datenklasse, Land, Subprozessor, Datenfluss, betroffene Seiten. - AVV/DPA und SCC/DPF-Nachweis: Vertrag, TOM-Anlage, SCC-Modul, DPF-/Angemessenheitsbezug oder Ausnahme. - TIA-Arbeitsakte: Landesrisiko, Zugriffsbefugnisse, TOMs, Zusatzmaßnahmen, Restrisikoentscheidung. - Technische Konfiguration: Consent-Blocking, IP-Kuerzung, Cookie-Laufzeiten, Tag-Regeln, serverseitige Filter. - Notice-/Consent-Sync: Datenschutzhinweis, Cookie-Erklärung, CMP-Servicebeschreibung, Widerrufsweg. - Review- und Re-Scan-Beleg: Freigabedatum, Owner, nächster Review, SaferPage-Re-Scan und Änderungsmonitoring.