# Transfer Impact Assessment für tuneup.de

Transfer Impact Assessment für tuneup.de: 35 Anbieter, 1 hohes Transfer-Risiko, 34 unklare Region(en), 3 offene Betreiber-Nachweise.

> Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete TIA-Arbeitsakte. Rechtliche Bewertung, Vertragsunterlagen, SCC/TIA, TOMs und Restrisikoentscheidung muss der Betreiber fachlich ergänzen.

## Transfermatrix
- **Google Tag Manager** (googletagmanager.com): Risiko hoch, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **f.hubspotusercontent40.net** (f.hubspotusercontent40.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **analytics.ff.avast.com** (analytics.ff.avast.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: IP-Adresse, Nutzungsdaten, Cookie-/Gerätekennungen, Seitenkontext
- **data.privacy.ensighten.com** (data.privacy.ensighten.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **static2.avg.com** (static2.avg.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **4650993.fs1.hubspotusercontent-na1.net** (4650993.fs1.hubspotusercontent-na1.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **rew3dhgd.avg.com** (rew3dhgd.avg.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **widget.trustpilot.com** (widget.trustpilot.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **nexus.ensighten.com** (nexus.ensighten.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **assets.adobedtm.com** (assets.adobedtm.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **c.go-mpulse.net** (c.go-mpulse.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **doh.cq0.co** (doh.cq0.co): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **dpm.demdex.net** (dpm.demdex.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **fiaqj6acmfjukkqce3ydkaaaczvennhu-p7p4hh-b642a26fa-clienttons-s.akamaihd.net** (fiaqj6acmfjukkqce3ydkaaaczvennhu-p7p4hh-b642a26fa-clienttons-s.akamaihd.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **getrockerbox.com** (getrockerbox.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **mstatic.avg.com** (mstatic.avg.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **nortonlifelock.com** (nortonlifelock.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **oms.avg.com** (oms.avg.com): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **r2cm6ovydbgte2sgwt2a-p7p4hh-9a79943dd-clientnsv4-s.akamaihd.net** (r2cm6ovydbgte2sgwt2a-p7p4hh-9a79943dd-clientnsv4-s.akamaihd.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **s.go-mpulse.net** (s.go-mpulse.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **symantec.demdex.net** (symantec.demdex.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **t.nc0.co** (t.nc0.co): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **trial-eum-clientnsv4-s.akamaihd.net** (trial-eum-clientnsv4-s.akamaihd.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **trial-eum-clienttons-s.akamaihd.net** (trial-eum-clienttons-s.akamaihd.net): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 49** (Anbieter 49): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 50** (Anbieter 50): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 51** (Anbieter 51): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 52** (Anbieter 52): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 53** (Anbieter 53): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 54** (Anbieter 54): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 55** (Anbieter 55): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 56** (Anbieter 56): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 57** (Anbieter 57): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 58** (Anbieter 58): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten
- **Anbieter 59** (Anbieter 59): Risiko unklar, Mechanismus: SCC, DPF/Angemessenheit oder Transferausnahme belegen, Daten: technische Requestdaten

## Zusatzmaßnahmen
- [ ] Datenminimierung (IT/Marketing): Nur notwendige Tags laden, Parameter kürzen und sensible Pfade nicht an Drittanbieter übergeben.
- [ ] Consent-Blocking (Marketing/IT): Marketing, Analytics, Maps, Videos und aehnliche Dienste bis zur Einwilligung blockieren.
- [ ] IP-/Identifier-Schutz (IT): IP-Kuerzung, serverseitige Pseudonymisierung, kurze Cookie-Laufzeiten und datensparsame Konfiguration prüfen.
- [ ] Verschluesselung und Zugriff (Security): Transport-/Speicherverschluesselung, Zugriffsbeschraenkung, Logging und Kundenschluessel bewerten.
- [ ] EU-/EWR-Alternative (Procurement): Bei hohem Restrisiko EU-gehostete oder selbst gehostete Alternativen bewerten.
- [ ] Subprozessor-Monitoring (Legal/Vendor Owner): Subprozessor-Änderungen, Regionen und TOM-Updates als Review-Trigger aufnehmen.

## Assessment-Fragen
- [ ] Welche Website-Funktion, Seite, Datenklasse und betroffene Personengruppe löst den Transfer aus? Owner: Datenschutz/IT
- [ ] Wer ist Datenimporteur, welche Rolle hat er und in welchem Land werden Daten verarbeitet oder zugreifbar? Owner: Legal/Vendor Owner
- [ ] Welche Transfergrundlage gilt: Angemessenheit, DPF, SCC-Modul, Binding Rules oder Ausnahme? Owner: Legal
- [ ] Welche Zugriffsbefugnisse und Rechtsbehelfe im Zielland sind für die Daten realistisch relevant? Owner: Datenschutzbeauftragte/Legal
- [ ] Welche technischen, vertraglichen und organisatorischen Zusatzmaßnahmen senken das Risiko konkret? Owner: IT/Security/Legal
- [ ] Gibt es eine gleichwertige EU-/EWR-Alternative oder eine Konfiguration mit weniger Daten? Owner: Procurement/IT
- [ ] Ist der Transfer in Datenschutzhinweis, Cookie-Auswahl und Consent-Log nachvollziehbar erklärt? Owner: Content/Marketing
- [ ] Wer akzeptiert welches Restrisiko, bis wann wird erneut geprüft und welcher Re-Scan belegt die Umsetzung? Owner: Management/Datenschutz

## Nachweise
- Transfer Map: Anbieter, Dienst, Zweck, Datenklasse, Land, Subprozessor, Datenfluss, betroffene Seiten.
- AVV/DPA und SCC/DPF-Nachweis: Vertrag, TOM-Anlage, SCC-Modul, DPF-/Angemessenheitsbezug oder Ausnahme.
- TIA-Arbeitsakte: Landesrisiko, Zugriffsbefugnisse, TOMs, Zusatzmaßnahmen, Restrisikoentscheidung.
- Technische Konfiguration: Consent-Blocking, IP-Kuerzung, Cookie-Laufzeiten, Tag-Regeln, serverseitige Filter.
- Notice-/Consent-Sync: Datenschutzhinweis, Cookie-Erklärung, CMP-Servicebeschreibung, Widerrufsweg.
- Review- und Re-Scan-Beleg: Freigabedatum, Owner, nächster Review, SaferPage-Re-Scan und Änderungsmonitoring.
