{ "schema": "https://saferpage.de/schemas/processing-activity-record.v1", "generated_at": "2026-06-24T22:23:20+00:00", "domain": "paulaner-fankorken.de", "available": true, "scan": { "id": "c9a33f6f-1088-45d0-8122-b12133beb1e6", "checked_at": "2026-06-23 06:28:53.505409+02" }, "status": "kritisch vervollständigen", "summary": "Verarbeitungsverzeichnis für paulaner-fankorken.de: 4 Verarbeitung(en), 19 Datenart(en), 31 Datenfluss-Kante(n), 2 hohes Risikolevel.", "metrics": { "activity_count": 4, "data_class_count": 19, "data_flow_edge_count": 31, "vendor_count": 2, "high_risk_count": 2, "open_question_count": 5, "system_task_count": 4 }, "controller_hint": "paulaner-fankorken.de", "activities": [ { "name": "Website-Formulare und Eingaben", "purpose": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen.", "evidence": "2 Formular(e), Datenarten Newsletter, Zahlung, Name/personenbezogene Daten, E-Mail, Login/Passwort.", "transfer": "2 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 2 unklar.", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "confidence": 82, "recipients": [ "consent.cookiebot.com", "consentcdn.cookiebot.com" ], "risk_level": "hoch", "activity_id": "website_forms", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Löschfrist je Anfrage-/Newsletter-/Konto-Prozess festlegen.", "controller_hint": "paulaner-fankorken.de", "data_categories": [ "Newsletter", "Zahlung", "Name/personenbezogene Daten", "E-Mail", "Login/Passwort", "Adresse", "Kontaktformular" ], "operator_action": "Zweck, Pflichtfelder, Empfänger, Speicherfrist, Rechtsgrundlage und Betroffenenrechte je Formular dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. b/f DSGVO oder Einwilligung je Formularzweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 2 }, { "name": "Cookies, Web Storage und Consent", "purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.", "evidence": "1 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "transfer": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "confidence": 88, "recipients": [ "paulaner-fankorken.de" ], "risk_level": "mittel", "activity_id": "cookies_storage", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.", "controller_hint": "paulaner-fankorken.de", "data_categories": [ "Cookie-ID", "Consent-Status", "Geräte-/Browserinformationen", "Storage-Key-Metadaten" ], "operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies/Storage-Einträgen abgleichen.", "legal_basis_hint": "TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 }, { "name": "Drittanbieter-Dienste und Einbindungen", "purpose": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation.", "evidence": "2 Anbieter/Processor, 2 mit Datenschutz-/Transfer-Prüfbedarf.", "transfer": "2 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 2 unklar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "confidence": 86, "recipients": [ "consent.cookiebot.com", "consentcdn.cookiebot.com" ], "risk_level": "hoch", "activity_id": "third_party_services", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Speicherfristen der Anbieter dokumentieren und Verträge/AVV prüfen.", "controller_hint": "paulaner-fankorken.de", "data_categories": [ "IP-Adresse", "Nutzungsdaten", "Geräteinformationen", "Referrer-/Request-Metadaten" ], "operator_action": "AVV/DPA, Rolle, Zweck, Transfergrundlage und Datenschutzerklärung je Anbieter pflegen.", "legal_basis_hint": "Berechtigtes Interesse, Vertragserfüllung oder Einwilligung je Dienst prüfen.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 2 }, { "name": "Betroffenenrechte- und Datenschutzanfragen", "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.", "evidence": "Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "transfer": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "confidence": 74, "recipients": [ "interne Datenschutz-/Legal-/Fachbereichsteams" ], "risk_level": "mittel", "activity_id": "privacy_rights_requests", "data_subjects": [ "Website-Besucher" ], "dpia_relevance": "prüfen", "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.", "controller_hint": "paulaner-fankorken.de", "data_categories": [ "Identitätsbezug", "Kontaktinformationen", "Anfragetyp", "Kommunikationsinhalte" ], "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.", "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.", "security_measures_hint": "HTTPS/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.", "processor_or_recipient_count": 1 } ], "data_classes": [ { "id": "newsletter", "label": "Newsletter", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "zahlung", "label": "Zahlung", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "name-personenbezogene-daten", "label": "Name/personenbezogene Daten", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "e-mail", "label": "E-Mail", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "login-passwort", "label": "Login/Passwort", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "adresse", "label": "Adresse", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "kontaktformular", "label": "Kontaktformular", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "cookie-id", "label": "Cookie-ID", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "consent-status", "label": "Consent-Status", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "ger-te-browserinformationen", "label": "Geräte-/Browserinformationen", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "storage-key-metadaten", "label": "Storage-Key-Metadaten", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "ip-adresse", "label": "IP-Adresse", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "nutzungsdaten", "label": "Nutzungsdaten", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "ger-teinformationen", "label": "Geräteinformationen", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "referrer-request-metadaten", "label": "Referrer-/Request-Metadaten", "activity_count": 1, "risk_level": "hoch", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "identit-tsbezug", "label": "Identitätsbezug", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "kontaktinformationen", "label": "Kontaktinformationen", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "anfragetyp", "label": "Anfragetyp", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." }, { "id": "kommunikationsinhalte", "label": "Kommunikationsinhalte", "activity_count": 1, "risk_level": "mittel", "retention_hint": "Löschfrist je Zweck und System festlegen.", "dsar_search_scope": "In Website-Systemen, Anbieterakten und internen Eingangskanaelen suchen." } ], "data_map": { "status": "kritische Flüsse prüfen", "summary": "Data Map mit 30 Knoten und 31 Datenfluss-Kanten; 17 Kante(n) hohes Risiko.", "node_count": 30, "edge_count": 31, "high_risk_edge_count": 17, "nodes": [ { "node_id": "controller:paulaner-fankorken-de", "type": "controller", "label": "paulaner-fankorken.de", "risk_level": "prüfen", "detail": "Verantwortlicher aus Domain abgeleitet." }, { "node_id": "activity:website-forms", "type": "processing_activity", "label": "Website-Formulare und Eingaben", "risk_level": "hoch", "detail": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-/Service-Anfragen." }, { "node_id": "data:newsletter", "type": "data_category", "label": "Newsletter", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:zahlung", "type": "data_category", "label": "Zahlung", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:name-personenbezogene-daten", "type": "data_category", "label": "Name/personenbezogene Daten", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:e-mail", "type": "data_category", "label": "E-Mail", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:login-passwort", "type": "data_category", "label": "Login/Passwort", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:adresse", "type": "data_category", "label": "Adresse", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:kontaktformular", "type": "data_category", "label": "Kontaktformular", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "recipient:consent-cookiebot-com", "type": "recipient", "label": "consent.cookiebot.com", "risk_level": "hoch", "detail": "Empfänger aus RoPA-Entwurf." }, { "node_id": "recipient:consentcdn-cookiebot-com", "type": "recipient", "label": "consentcdn.cookiebot.com", "risk_level": "hoch", "detail": "Empfänger aus RoPA-Entwurf." }, { "node_id": "activity:cookies-storage", "type": "processing_activity", "label": "Cookies, Web Storage und Consent", "risk_level": "mittel", "detail": "Bereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie." }, { "node_id": "data:cookie-id", "type": "data_category", "label": "Cookie-ID", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:consent-status", "type": "data_category", "label": "Consent-Status", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:ger-te-browserinformationen", "type": "data_category", "label": "Geräte-/Browserinformationen", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:storage-key-metadaten", "type": "data_category", "label": "Storage-Key-Metadaten", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "recipient:paulaner-fankorken-de", "type": "recipient", "label": "paulaner-fankorken.de", "risk_level": "mittel", "detail": "Empfänger aus RoPA-Entwurf." }, { "node_id": "activity:third-party-services", "type": "processing_activity", "label": "Drittanbieter-Dienste und Einbindungen", "risk_level": "hoch", "detail": "Einbindung externer Dienste für Hosting, CDN, Medien, Analyse, Sicherheit, Komfort oder Kommunikation." }, { "node_id": "data:ip-adresse", "type": "data_category", "label": "IP-Adresse", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:nutzungsdaten", "type": "data_category", "label": "Nutzungsdaten", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:ger-teinformationen", "type": "data_category", "label": "Geräteinformationen", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:referrer-request-metadaten", "type": "data_category", "label": "Referrer-/Request-Metadaten", "risk_level": "hoch", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "activity:privacy-rights-requests", "type": "processing_activity", "label": "Betroffenenrechte- und Datenschutzanfragen", "risk_level": "mittel", "detail": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen." }, { "node_id": "data:identit-tsbezug", "type": "data_category", "label": "Identitätsbezug", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:kontaktinformationen", "type": "data_category", "label": "Kontaktinformationen", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:anfragetyp", "type": "data_category", "label": "Anfragetyp", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "data:kommunikationsinhalte", "type": "data_category", "label": "Kommunikationsinhalte", "risk_level": "mittel", "detail": "Datenart aus Verarbeitungstätigkeit." }, { "node_id": "recipient:interne-datenschutz-legal-fachbereichsteams", "type": "recipient", "label": "interne Datenschutz-/Legal-/Fachbereichsteams", "risk_level": "mittel", "detail": "Empfänger aus RoPA-Entwurf." }, { "node_id": "vendor:consent-cookiebot-com", "type": "vendor", "label": "consent.cookiebot.com", "risk_level": "mittel", "detail": "Sichtbarer Anbieter aus Website-Evidenz." }, { "node_id": "vendor:consentcdn-cookiebot-com", "type": "vendor", "label": "consentcdn.cookiebot.com", "risk_level": "mittel", "detail": "Sichtbarer Anbieter aus Website-Evidenz." } ], "edges": [ { "edge_id": "controller:paulaner-fankorken-de->activity:website-forms:verantwortet", "source": "controller:paulaner-fankorken-de", "target": "activity:website-forms", "source_label": "paulaner-fankorken.de", "target_label": "Website-Formulare und Eingaben", "label": "verantwortet", "type": "controller_activity", "risk_level": "hoch", "evidence": "2 Formular(e), Datenarten Newsletter, Zahlung, Name/personenbezogene Daten, E-Mail, Login/Passwort.", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage bestätigen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:newsletter:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:newsletter", "source_label": "Website-Formulare und Eingaben", "target_label": "Newsletter", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:zahlung:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:zahlung", "source_label": "Website-Formulare und Eingaben", "target_label": "Zahlung", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:name-personenbezogene-daten:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:name-personenbezogene-daten", "source_label": "Website-Formulare und Eingaben", "target_label": "Name/personenbezogene Daten", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:e-mail:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:e-mail", "source_label": "Website-Formulare und Eingaben", "target_label": "E-Mail", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:login-passwort:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:login-passwort", "source_label": "Website-Formulare und Eingaben", "target_label": "Login/Passwort", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:adresse:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:adresse", "source_label": "Website-Formulare und Eingaben", "target_label": "Adresse", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->data:kontaktformular:verarbeitet-datenart", "source": "activity:website-forms", "target": "data:kontaktformular", "source_label": "Website-Formulare und Eingaben", "target_label": "Kontaktformular", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->recipient:consent-cookiebot-com:bermittelt-an-empf-nger", "source": "activity:website-forms", "target": "recipient:consent-cookiebot-com", "source_label": "Website-Formulare und Eingaben", "target_label": "consent.cookiebot.com", "label": "übermittelt an Empfänger", "type": "activity_recipient", "risk_level": "hoch", "evidence": "2 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 2 unklar.", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:website-forms->recipient:consentcdn-cookiebot-com:bermittelt-an-empf-nger", "source": "activity:website-forms", "target": "recipient:consentcdn-cookiebot-com", "source_label": "Website-Formulare und Eingaben", "target_label": "consentcdn.cookiebot.com", "label": "übermittelt an Empfänger", "type": "activity_recipient", "risk_level": "hoch", "evidence": "2 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 2 unklar.", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "controller:paulaner-fankorken-de->activity:cookies-storage:verantwortet", "source": "controller:paulaner-fankorken-de", "target": "activity:cookies-storage", "source_label": "paulaner-fankorken.de", "target_label": "Cookies, Web Storage und Consent", "label": "verantwortet", "type": "controller_activity", "risk_level": "mittel", "evidence": "1 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage bestätigen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:cookies-storage->data:cookie-id:verarbeitet-datenart", "source": "activity:cookies-storage", "target": "data:cookie-id", "source_label": "Cookies, Web Storage und Consent", "target_label": "Cookie-ID", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:cookies-storage->data:consent-status:verarbeitet-datenart", "source": "activity:cookies-storage", "target": "data:consent-status", "source_label": "Cookies, Web Storage und Consent", "target_label": "Consent-Status", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:cookies-storage->data:ger-te-browserinformationen:verarbeitet-datenart", "source": "activity:cookies-storage", "target": "data:ger-te-browserinformationen", "source_label": "Cookies, Web Storage und Consent", "target_label": "Geräte-/Browserinformationen", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:cookies-storage->data:storage-key-metadaten:verarbeitet-datenart", "source": "activity:cookies-storage", "target": "data:storage-key-metadaten", "source_label": "Cookies, Web Storage und Consent", "target_label": "Storage-Key-Metadaten", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:cookies-storage->recipient:paulaner-fankorken-de:bermittelt-an-empf-nger", "source": "activity:cookies-storage", "target": "recipient:paulaner-fankorken-de", "source_label": "Cookies, Web Storage und Consent", "target_label": "paulaner-fankorken.de", "label": "übermittelt an Empfänger", "type": "activity_recipient", "risk_level": "mittel", "evidence": "Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "controller:paulaner-fankorken-de->activity:third-party-services:verantwortet", "source": "controller:paulaner-fankorken-de", "target": "activity:third-party-services", "source_label": "paulaner-fankorken.de", "target_label": "Drittanbieter-Dienste und Einbindungen", "label": "verantwortet", "type": "controller_activity", "risk_level": "hoch", "evidence": "2 Anbieter/Processor, 2 mit Datenschutz-/Transfer-Prüfbedarf.", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage bestätigen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:third-party-services->data:ip-adresse:verarbeitet-datenart", "source": "activity:third-party-services", "target": "data:ip-adresse", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "IP-Adresse", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:third-party-services->data:nutzungsdaten:verarbeitet-datenart", "source": "activity:third-party-services", "target": "data:nutzungsdaten", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Nutzungsdaten", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:third-party-services->data:ger-teinformationen:verarbeitet-datenart", "source": "activity:third-party-services", "target": "data:ger-teinformationen", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Geräteinformationen", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:third-party-services->data:referrer-request-metadaten:verarbeitet-datenart", "source": "activity:third-party-services", "target": "data:referrer-request-metadaten", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "Referrer-/Request-Metadaten", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "hoch", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:third-party-services->recipient:consent-cookiebot-com:bermittelt-an-empf-nger", "source": "activity:third-party-services", "target": "recipient:consent-cookiebot-com", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "consent.cookiebot.com", "label": "übermittelt an Empfänger", "type": "activity_recipient", "risk_level": "hoch", "evidence": "2 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 2 unklar.", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:third-party-services->recipient:consentcdn-cookiebot-com:bermittelt-an-empf-nger", "source": "activity:third-party-services", "target": "recipient:consentcdn-cookiebot-com", "source_label": "Drittanbieter-Dienste und Einbindungen", "target_label": "consentcdn.cookiebot.com", "label": "übermittelt an Empfänger", "type": "activity_recipient", "risk_level": "hoch", "evidence": "2 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 2 unklar.", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "controller:paulaner-fankorken-de->activity:privacy-rights-requests:verantwortet", "source": "controller:paulaner-fankorken-de", "target": "activity:privacy-rights-requests", "source_label": "paulaner-fankorken.de", "target_label": "Betroffenenrechte- und Datenschutzanfragen", "label": "verantwortet", "type": "controller_activity", "risk_level": "mittel", "evidence": "Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "operator_action": "Verantwortlichkeit, Zweck und Rechtsgrundlage bestätigen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart", "source": "activity:privacy-rights-requests", "target": "data:identit-tsbezug", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Identitätsbezug", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart", "source": "activity:privacy-rights-requests", "target": "data:kontaktinformationen", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kontaktinformationen", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart", "source": "activity:privacy-rights-requests", "target": "data:anfragetyp", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Anfragetyp", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart", "source": "activity:privacy-rights-requests", "target": "data:kommunikationsinhalte", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "Kommunikationsinhalte", "label": "verarbeitet Datenart", "type": "activity_data", "risk_level": "mittel", "evidence": "Datenart aus RoPA-Entwurf abgeleitet.", "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger", "source": "activity:privacy-rights-requests", "target": "recipient:interne-datenschutz-legal-fachbereichsteams", "source_label": "Betroffenenrechte- und Datenschutzanfragen", "target_label": "interne Datenschutz-/Legal-/Fachbereichsteams", "label": "übermittelt an Empfänger", "type": "activity_recipient", "risk_level": "mittel", "evidence": "Kein Drittlandtransfer ohne eingesetztes Nachweisposition-/Mail-/Portal-System; Betreiber prüfen.", "operator_action": "Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "controller:paulaner-fankorken-de->vendor:consent-cookiebot-com:setzt-anbieter-ein", "source": "controller:paulaner-fankorken-de", "target": "vendor:consent-cookiebot-com", "source_label": "paulaner-fankorken.de", "target_label": "consent.cookiebot.com", "label": "setzt Anbieter ein", "type": "controller_vendor", "risk_level": "mittel", "evidence": "Anbieter im öffentlichen Scan erkannt.", "operator_action": "Anbieterakte, Rolle, AVV/DPA, Transfer und Notice-Eintrag prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "edge_id": "controller:paulaner-fankorken-de->vendor:consentcdn-cookiebot-com:setzt-anbieter-ein", "source": "controller:paulaner-fankorken-de", "target": "vendor:consentcdn-cookiebot-com", "source_label": "paulaner-fankorken.de", "target_label": "consentcdn.cookiebot.com", "label": "setzt Anbieter ein", "type": "controller_vendor", "risk_level": "mittel", "evidence": "Anbieter im öffentlichen Scan erkannt.", "operator_action": "Anbieterakte, Rolle, AVV/DPA, Transfer und Notice-Eintrag prüfen.", "confidence": 70, "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" } ] }, "system_tasks": [ { "id": "system_responsibility_map", "responsibility": "IT/Fachbereich", "priority": "hoch", "task": "Je Verarbeitung das konkrete System, die Datenbank-/Tool-Verantwortung und den Speicherort erfassen.", "evidence": "Systemliste mit Verantwortlichkeit, Rolle, Standort, Zweck und Zugriffskonzept." }, { "id": "retention_matrix", "responsibility": "Datenschutz/IT", "priority": "hoch", "task": "Löschfristen für 19 Datenart(en) und 4 Verarbeitung(en) verbindlich festlegen.", "evidence": "Retention-Matrix mit Löschtrigger, Backup-Frist und Verantwortlichem." }, { "id": "dsar_search_scope", "responsibility": "Support/Datenschutz", "priority": "mittel", "task": "Suchorte für Auskunfts- und Löschanfragen pro Datenart dokumentieren.", "evidence": "DSAR-Runbook mit Systemen, Anbietern, Fristen und Antwortvorlagen." }, { "id": "release_gate", "responsibility": "Website-Betrieb/Marketing", "priority": "mittel", "task": "Bei neuen Formularen, Cookies oder Anbietern RoPA und Data Map vor Go-live aktualisieren.", "evidence": "Release-Checkliste mit Scan-Link und Freigabe." } ], "open_questions": [ "Wer ist der rechtliche Verantwortliche und wer pflegt diesen RoPA-Eintrag?", "Welche exakten Löschfristen gelten je Verarbeitung, System und Backup?", "Welche Dienstleister sind Auftragsverarbeiter, gemeinsame Verantwortliche oder eigenstaendige Empfänger?", "Welche Drittlandtransfers, SCCs und Transfer Impact Assessments liegen vor?", "Welche technischen und organisatorischen Maßnahmen sind dokumentiert?" ], "priority_actions": [ "RoPA-Entwurf mit Datenschutz, IT, Fachbereich und Anbieterakten gegen reale Systeme vervollständigen.", "Rechtsgrundlage, Löschfrist, Empfänger, TOMs und DSAR-Suchorte je Aktivitaet verbindlich festlegen.", "Data Map nach jedem Website-Release, Anbieterwechsel, neuen Cookie oder neuen Formular erneut prüfen." ], "links": { "processing_center": "https://saferpage.de/verarbeitungen/paulaner-fankorken.de", "json": "https://saferpage.de/verarbeitungen/paulaner-fankorken.de/export", "csv": "https://saferpage.de/verarbeitungen/paulaner-fankorken.de/export-csv", "markdown": "https://saferpage.de/verarbeitungen/paulaner-fankorken.de/ropa-md", "risk_center": "https://saferpage.de/risiko/paulaner-fankorken.de", "vendor_due_diligence": "https://saferpage.de/anbieter/paulaner-fankorken.de/due-diligence", "rights_intake": "https://saferpage.de/rechte/paulaner-fankorken.de/intake", "assessment_queue": "https://saferpage.de/assessment/paulaner-fankorken.de/queue", "regulatory_watch": "https://saferpage.de/regulatory-watch/paulaner-fankorken.de", "report": "https://saferpage.de/paulaner-fankorken.de" }, "sources": [ { "title": "OneTrust Data Discovery und Data Mapping", "url": "https://www.onetrust.com/products/data-discovery/", "note": "Orientierung für Data Discovery, Data Map und Privacy-Automation." }, { "title": "Transcend Data Inventory", "url": "https://transcend.io/data-inventory", "note": "Orientierung für automatisiertes Dateninventar und Betroffenenrechte." }, { "title": "DataGrail Data Map", "url": "https://www.datagrail.io/data-map/", "note": "Orientierung für Data Map, Systeme, Datenarten und Workflows." } ], "disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleiteter RoPA-/Data-Inventory-Entwurf. Interne Systeme, verbindliche Rechtsgrundlagen, Verträge, TOMs und Löschfristen muss der Betreiber fachlich ergänzen." }