Datenschutz-Folgenabschätzung (DSFA)
Gemäß Art. 35 DSGVO · Erstellt: Februar 2026 · Nächste Überprüfung: August 2026
Ergebnis: Die Verarbeitung ist unter den implementierten Schutzmaßnahmen vertretbar. Restrisiken werden durch das 3-Stufen-Consent-Modell, Datenminimierung, strikte Speicherfristen und Pseudonymisierung auf ein akzeptables Maß reduziert.
1. Systematische Beschreibung der Verarbeitung
1.1 Verantwortlicher
Daniel Wesseling, Betreiber von OKAYPLAY (okayplay.io). Gemeinsame Verantwortlichkeit mit Publishern gemäß Art. 26 DSGVO für die Datenerhebung auf Publisher-Webseiten.
1.2 Geprüfte Verarbeitungstätigkeiten
| Nr. | Verarbeitung | Auslöser für DSFA |
|---|---|---|
| V1 | Systematisches Tracking von Webseitenbesuchern | Art. 35(3)(a) – systematische Bewertung persönlicher Aspekte |
| V2 | Profiling zur Werbesegmentierung | Art. 35(3)(a) – Profiling mit Wirkung |
| V3 | Cross-Publisher-Zusammenführung von Besucherprofilen | Art. 35(3)(a) – umfangreiche Verarbeitung, Kombination von Datensätzen |
| V4 | Kontextuelles und verhaltensbasiertes Ad-Targeting | Art. 35(1) – hohes Risiko durch Kombination von V1-V3 |
1.3 Datenkategorien und Umfang
| Consent-Stufe | Datenkategorien | Datenpunkte |
|---|---|---|
| Stufe 1 (ohne Consent) | Keine personenbezogenen Daten | 0 |
| Stufe 2 (Analytics) | Session-ID, URL, Gerätetyp, Sprache, Scroll, Verweildauer, Hördaten | 7 Kategorien |
| Stufe 3 (Werbung) | Zusätzlich: Visitor-Hash, Geo, Device-Details, Browser-Info, Journey, UTM, Besuchshistorie | Alle Kategorien |
1.4 Betroffene Personen
Besucher der Publisher-Webseiten im OKAYPLAY-Netzwerk. Aktuell: 4 Publisher, ca. 37 bekannte Besucher, davon 4 Cross-Publisher-Nutzer. Wachstumspotenzial auf Tausende.
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
2.1 Zweck und Erforderlichkeit
| Verarbeitung | Zweck | Erforderlich? | Begründung |
|---|---|---|---|
| Analytics-Tracking | Qualitätsmessung Aufnahmen, Publisher-Reporting | Ja | Ohne Engagement-Daten keine Qualitätskontrolle möglich |
| Visitor-Profiling | Audience-Segmentierung für Werbetreibende | Ja | Kernprodukt – ermöglicht kostenlose Aufnahmen durch Werbefinanzierung |
| Cross-Publisher-Profile | Publisher-übergreifende Zielgruppenbildung | Bedingt | Alleinstellungsmerkmal, aber funktional auch ohne möglich |
| Device-Fingerprinting | Geräte-Erkennung für Targeting | Teilweise | CPU-Cores/RAM nicht erforderlich – Datenminimierung umgesetzt |
2.2 Datenminimierung (umgesetzt)
- Stufe 1 (ohne Consent): Zero Data Collection – keinerlei Tracking, kein localStorage, kein sessionStorage
- Stufe 2 (Analytics): Nur 7 session-basierte Kategorien, kein persistenter Identifier, keine Gerätedetails
- Stufe 3 (Werbung): Vollständiges Profiling, aber nur mit ausdrücklicher Einwilligung
- Entfernt/reduziert: CPU-Cores und RAM werden nur mit Werbe-Consent erhoben; CMS-/Script-Erkennung nur mit Werbe-Consent
2.3 Speicherfristen
| Daten | Frist | Danach |
|---|---|---|
| Tracking-Events | 90 Tage | Automatische Löschung |
| Besucherprofile | 180 Tage ab letztem Besuch | Automatische Löschung |
| IP-Hashes | 24 Stunden | Tagessalt-Rotation macht Hash ungültig |
| Session-Daten | Browsersitzung | Automatisch bei Tab-Schließung |
3. Risikobewertung
3.1 Risikomatrix
| Risiko | Eintrittswahrscheinlichkeit | Schwere | Bewertung | Maßnahme |
|---|---|---|---|---|
| Ungewollte Re-Identifikation durch Profiling | Niedrig | Mittel | Gering | Pseudonymisierung (Hash-IDs), keine Klarnamen-Zuordnung |
| Unbefugter Zugriff auf Besucherdaten | Niedrig | Hoch | Mittel | Rollenbasierte Zugriffskontrolle, TLS, DB nur lokal |
| Tracking ohne gültige Einwilligung | Niedrig | Hoch | Mittel | 3-Stufen-Consent im Player-Code erzwungen (nicht umgehbar) |
| Cross-Publisher-Zusammenführung ohne Wissen | Sehr niedrig | Hoch | Gering | Nur mit separater Werbe-Einwilligung, Transparenz in DSE |
| Missbrauch der API (Fake-Requests) | Mittel | Niedrig | Gering | Rate-Limiting, Anti-Fraud-System, Validierung |
| Datenverlust durch Server-Ausfall | Niedrig | Mittel | Gering | Tägliche Backups, Monitoring |
| Manipulation durch Publisher | Niedrig | Mittel | Gering | Player-Code serverseitig gehostet, nicht modifizierbar |
| Unberechtigte Offenlegung an Advertiser | Sehr niedrig | Hoch | Gering | Advertiser sehen nur aggregierte Daten, nie Einzelprofile |
3.2 Restrisiko-Bewertung
Nach Implementierung aller Maßnahmen verbleibt ein geringes Restrisiko. Die Hauptrisiken (Tracking ohne Consent, Cross-Publisher-Profiling) werden durch technische Enforcement-Maßnahmen direkt im Player-Code mitigiert – die Consent-Prüfung ist nicht konfigurierbar und kann weder vom Publisher noch vom Besucher umgangen werden.
4. Implementierte Schutzmaßnahmen
4.1 Privacy by Design
- 3-Stufen-Consent-Modell direkt im Player-Code implementiert
- Default: Stufe 1 (kein Tracking) – Opt-in für jede weitere Stufe erforderlich
- Consent-Status wird mit jedem Beacon-Event an Backend übertragen
- Backend respektiert Consent-Level: Profiling-Daten werden bei fehlendem Consent sofort gelöscht
4.2 Privacy by Default
- Ohne Einwilligung: Zero Data Collection
- Kein localStorage/sessionStorage ohne Einwilligung
- Kein persistenter Identifier ohne Werbe-Einwilligung
- Cross-Publisher-Profiling nur mit Werbe-Einwilligung
4.3 Technische Maßnahmen
- Pseudonymisierung aller Identifikatoren (SHA-256-Hashes)
- Transportverschlüsselung (TLS)
- Rate-Limiting auf allen API-Endpunkten
- Anti-Fraud-System mit Fraud-Score
- Automatisierte Retention-Policies mit Cleanup-Job
- Rollenbasierte Zugriffskontrolle
4.4 Organisatorische Maßnahmen
- Art.-26-Vereinbarung mit allen Publishern
- AVV nach Art. 28 DSGVO mit Hosting-Provider
- Verarbeitungsverzeichnis nach Art. 30 DSGVO
- Incident-Response-Prozess (Meldung innerhalb 72h/24h)
- Regelmäßige Überprüfung dieser DSFA (halbjährlich)
5. Stellungnahme der Betroffenen
Eine Einholung der Stellungnahme der Betroffenen gemäß Art. 35 Abs. 9 DSGVO ist aufgrund der großen Zahl potenziell Betroffener (Webseitenbesucher) nicht praktikabel. Stattdessen wird die Transparenz durch eine ausführliche Datenschutzerklärung mit vollständiger Beschreibung aller Datenkategorien, Zwecke und Rechte gewährleistet.
6. Fazit und Freigabe
Die Datenschutz-Folgenabschätzung ergibt, dass die identifizierten Risiken durch die implementierten technischen und organisatorischen Maßnahmen auf ein akzeptables Niveau reduziert werden. Insbesondere das 3-Stufen-Consent-Modell mit technischem Enforcement im Player-Code stellt sicher, dass ohne ausdrückliche Einwilligung keine personenbezogenen Daten erhoben werden.
Eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO ist nach dieser Bewertung nicht erforderlich, da das Restrisiko gering ist.
Nächste Überprüfung: August 2026 oder bei wesentlichen Änderungen der Verarbeitungstätigkeiten.
Verantwortlich: Daniel Wesseling, Februar 2026