{
  "site": "westfield.com/germany/hamburg",
  "crawled_at": "2026-06-07",
  "crawler": "BreakPilot-Compliance Ground-Truth crawl via WebFetch + Web-Recherche",
  "notes": [
    "Westfield Hamburg-Überseequartier — Shopping-Center in der HafenCity.",
    "Hauptseite: https://www.westfield.com/en/germany/hamburg",
    "Privacy-Notice: /en/germany/hamburg/privacy-notice",
    "Separate iAdvize-Chatbot-Policy: /germany/privacypolicychatbot",
    "Operator: Unibail Management (SAS), Paris."
  ],
  "expected_vendors_in_dse": [
    {"name": "iAdvize SAS", "country": "FR", "category": "Chatbot", "ai_act_relevance": "AI-Routing möglich (Phase 2)"},
    {"name": "Unibail Management", "country": "FR", "category": "Verantwortliche Stelle"},
    {"name": "Salesforce", "country": "US", "category": "CRM (vermutet, in Konzern üblich)"},
    {"name": "Google Analytics", "country": "US", "category": "Analytics"},
    {"name": "Meta Pixel", "country": "US", "category": "Marketing"}
  ],
  "expected_findings": [
    {
      "id": "VENDOR-CONSISTENCY-001",
      "severity": "HIGH",
      "title": "iAdvize in separater Chatbot-Policy genannt, in Haupt-DSE nicht aufgeführt",
      "evidence": "/privacypolicychatbot erwähnt iAdvize explizit, /privacy-notice nur als 'processors' mit externem Link. Inkonsistenz — Art. 13 DSGVO verlangt Vollständigkeit in EINEM Dokument.",
      "expected_pass": false
    },
    {
      "id": "AI-ACT-TRANSPARENCY-001",
      "severity": "MEDIUM",
      "title": "AI-Act Art. 50 Pre-Interaction-Disclosure nicht prüfbar ohne Live-Test",
      "evidence": "iAdvize bietet AI-Routing optional. DSE nennt keinen expliziten 'Sie sprechen mit einem KI-System'-Hinweis am Chat-UI.",
      "expected_pass": "UNKNOWN-LIKELY-FAIL"
    },
    {
      "id": "TH-RETENTION-001",
      "severity": "MEDIUM",
      "title": "Aufbewahrungsdauer für Server-Logs nicht spezifiziert in Haupt-DSE",
      "evidence": "DSE regelt Retention pro Datenkategorie, aber nicht für technische Logs — Art. 13 Abs. 2 lit. a DSGVO verlangt konkrete Angabe.",
      "expected_pass": false
    },
    {
      "id": "IMPRESSUM-001",
      "severity": "MEDIUM",
      "title": "Verantwortlicher = französische SAS — deutsche Impressum-Pflichten nach § 5 TMG?",
      "evidence": "Unibail Management (Paris) als Verantwortlicher. Bei Geschäft in Deutschland gelten zusätzliche TMG/MStV-Pflichten — Impressum-Vollständigkeit zu prüfen.",
      "expected_pass": "UNKNOWN"
    },
    {
      "id": "TRANSFER-001",
      "severity": "MEDIUM",
      "title": "US-Transfer für Newsletter mit Standardvertragsklauseln, aber pauschal",
      "evidence": "DSE nennt SCCs als Garantie, ohne pro-Vendor-Mechanismus auszuweisen (Art. 13 Abs. 1 lit. f DSGVO).",
      "expected_pass": "PARTIAL"
    },
    {
      "id": "URL-STRUCTURE-001",
      "severity": "LOW",
      "title": "Chatbot-Policy auf separater URL ohne Sprach-Prefix",
      "evidence": "/germany/privacypolicychatbot (kein /de/) — inkonsistent zu /en/germany/hamburg/privacy-notice.",
      "expected_pass": false
    }
  ],
  "expected_b17_walk_behaviour": {
    "footer_links_min": 4,
    "expected_to_include": ["privacy", "imprint", "terms"],
    "accordion_expansion_on_privacy": "wahrscheinlich >0"
  },
  "summary_for_breakpilot_audit_comparison": {
    "high_severity_findings_count": 1,
    "medium_severity_findings_count": 4,
    "low_severity_findings_count": 1,
    "must_detect_to_pass_benchmark": [
      "VENDOR-CONSISTENCY-001",
      "AI-ACT-TRANSPARENCY-001",
      "TH-RETENTION-001"
    ]
  }
}