# Transfer Impact Assessment für soyaconcept.de

Transfer Impact Assessment für soyaconcept.de: 49 Anbieter, 8 hohes Transfer-Risiko, 41 unklare Region(en), 3 offene Betreiber-Nachweise.

> Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete TIA-Arbeitsakte. Rechtliche Bewertung, Vertragsunterlagen, SCC/TIA, TOMs und Restrisikoentscheidung muss der Betreiber fachlich ergänzen.

## Transfermatrix
- **Google Tag Manager** (googletagmanager.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **Microsoft Clarity** (i.clarity.ms): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **Meta/Facebook** (connect.facebook.net): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **Microsoft Clarity** (clarity.ms): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **Microsoft Clarity** (scripts.clarity.ms): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **X/Twitter** (static.ads-twitter.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **shop.app** (shop.app): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Google Fonts** (fonts.googleapis.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **ajax.googleapis.com** (ajax.googleapis.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **cdn.appmate.io** (cdn.appmate.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **cdn.shopify.com** (cdn.shopify.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **static.klaviyo.com** (static.klaviyo.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **jsDelivr** (cdn.jsdelivr.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **otlp-http-production.shopifysvc.com** (otlp-http-production.shopifysvc.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **static-tracking.klaviyo.com** (static-tracking.klaviyo.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **bat.bing.net** (bat.bing.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **boost-cdn-prod.bc-solutions.net** (boost-cdn-prod.bc-solutions.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **a.klaviyo.com** (a.klaviyo.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **bat.bing.com** (bat.bing.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **na-library.klarnaservices.com** (na-library.klarnaservices.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **api.ipgeolocation.io** (api.ipgeolocation.io): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **app.cookiepilot.dk** (app.cookiepilot.dk): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **cdn.nfcube.com** (cdn.nfcube.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **cfe-app.herokuapp.com** (cfe-app.herokuapp.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **d11m6xgl0jyuup.cloudfront.net** (d11m6xgl0jyuup.cloudfront.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **data.securykit.com** (data.securykit.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **deliver.raptorstatic.com** (deliver.raptorstatic.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **eu-library.klarnaservices.com** (eu-library.klarnaservices.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **grid.shopbox.ai** (grid.shopbox.ai): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **ideafyi.oss-us-west-1.aliyuncs.com** (ideafyi.oss-us-west-1.aliyuncs.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **js.klarna.com** (js.klarna.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **monorail-edge.shopifysvc.com** (monorail-edge.shopifysvc.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **popup.leadfamly.com** (popup.leadfamly.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **s3.eu-west-1.amazonaws.com** (s3.eu-west-1.amazonaws.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **skosm.klarna.com** (skosm.klarna.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **slidecart-store.useamp.com** (slidecart-store.useamp.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **slidecart.useamp.com** (slidecart.useamp.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **widget.shopbox.ai** (widget.shopbox.ai): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 77** (Anbieter 77): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 78** (Anbieter 78): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 79** (Anbieter 79): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 80** (Anbieter 80): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 81** (Anbieter 81): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 82** (Anbieter 82): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 83** (Anbieter 83): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 84** (Anbieter 84): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 85** (Anbieter 85): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 86** (Anbieter 86): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 87** (Anbieter 87): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten

## Zusatzmaßnahmen
- [ ] Datenminimierung (IT/Marketing): Nur notwendige Tags laden, Parameter kürzen und sensible Pfade nicht an Drittanbieter übergeben.
- [ ] Consent-Blocking (Marketing/IT): Marketing, Analytics, Maps, Videos und aehnliche Dienste bis zur Einwilligung blockieren.
- [ ] IP-/Identifier-Schutz (IT): IP-Kuerzung, serverseitige Pseudonymisierung, kurze Cookie-Laufzeiten und datensparsame Konfiguration prüfen.
- [ ] Verschluesselung und Zugriff (Security): Transport-/Speicherverschluesselung, Zugriffsbeschraenkung, Logging und Kundenschluessel bewerten.
- [ ] EU-/EWR-Alternative (Procurement): Bei hohem Restrisiko EU-gehostete oder selbst gehostete Alternativen bewerten.
- [ ] Subprozessor-Monitoring (Legal/Vendor Owner): Subprozessor-Änderungen, Regionen und TOM-Updates als Review-Trigger aufnehmen.

## Assessment-Fragen
- [ ] Welche Website-Funktion, Seite, Datenklasse und betroffene Personengruppe löst den Transfer aus? Owner: Datenschutz/IT
- [ ] Wer ist Datenimporteur, welche Rolle hat er und in welchem Land werden Daten verarbeitet oder zugreifbar? Owner: Legal/Vendor Owner
- [ ] Welche Transfergrundlage gilt: Angemessenheit, DPF, SCC-Modul, Binding Rules oder Ausnahme? Owner: Legal
- [ ] Welche Zugriffsbefugnisse und Rechtsbehelfe im Zielland sind für die Daten realistisch relevant? Owner: Datenschutzbeauftragte/Legal
- [ ] Welche technischen, vertraglichen und organisatorischen Zusatzmaßnahmen senken das Risiko konkret? Owner: IT/Security/Legal
- [ ] Gibt es eine gleichwertige EU-/EWR-Alternative oder eine Konfiguration mit weniger Daten? Owner: Procurement/IT
- [ ] Ist der Transfer in Datenschutzhinweis, Cookie-Auswahl und Consent-Log nachvollziehbar erklärt? Owner: Content/Marketing
- [ ] Wer akzeptiert welches Restrisiko, bis wann wird erneut geprüft und welcher Re-Scan belegt die Umsetzung? Owner: Management/Datenschutz

## Nachweise
- Transfer Map: Anbieter, Dienst, Zweck, Datenklasse, Land, Subprozessor, Datenfluss, betroffene Seiten.
- AVV/DPA und SCC/DPF-Nachweis: Vertrag, TOM-Anlage, SCC-Modul, DPF-/Angemessenheitsbezug oder Ausnahme.
- TIA-Arbeitsakte: Landesrisiko, Zugriffsbefugnisse, TOMs, Zusatzmaßnahmen, Restrisikoentscheidung.
- Technische Konfiguration: Consent-Blocking, IP-Kuerzung, Cookie-Laufzeiten, Tag-Regeln, serverseitige Filter.
- Notice-/Consent-Sync: Datenschutzhinweis, Cookie-Erklärung, CMP-Servicebeschreibung, Widerrufsweg.
- Review- und Re-Scan-Beleg: Freigabedatum, Owner, nächster Review, SaferPage-Re-Scan und Änderungsmonitoring.
