# DSAR-Fulfillment-Runbook fuer bestandsuebersicht-acdp.faust-web.de

DSAR-Fulfillment fuer bestandsuebersicht-acdp.faust-web.de: 5 Anfrageart(en), 10 Such-/Connector-Scope(s), 2 vorbereitet, 4 offene Betreiber-Nachweise.

> Automatisch aus oeffentlicher SaferPage-Evidenz abgeleiteter DSAR-Fulfillment-Plan. Echte Betroffenenanfragen, Identitaetsnachweise, interne Suchlaeufe, Loeschungen und Antwortpakete muss der Betreiber in eigenen sicheren Systemen bearbeiten.

## Anfragearten
- **Auskunft** (1 Monat): Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen.
- **Löschung** (1 Monat): Löschfähigkeit je System prüfen, Aufbewahrung/Legal Hold ausnehmen, Vendor-Aufgaben auslösen.
- **Berichtigung** (1 Monat): System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen.
- **Widerspruch / Opt-out** (1 Monat): Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren.
- **Datenübertragbarkeit** (1 Monat): Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen.

## Connector Map
- [ ] Website-Formulare und Kontaktwege: Kontakt-, Newsletter-, Such- oder Supportangaben; Status: nicht eindeutig sichtbar; Owner: Fachbereich/Support
- [ ] Webserver, CDN und Sicherheitslogs: IP-Adresse, User-Agent, Zeitstempel, Pfad, Sicherheitsereignisse; Status: Betreiber-Nachweis; Owner: IT/Security
- [ ] Cookies, Consent und Praeferenzen: Cookie-IDs, Consent-Zustand, Widerruf, GPC/Opt-out; Status: vorbereitet; Owner: Marketing/IT
- [ ] Seiten- und URL-Kontext: Betroffene Seiten, Suchparameter, Referrer und Nutzerkontext; Status: aufbauen; Owner: IT/Datenschutz
- [ ] Interne Systeme aus RoPA/Data Map: CRM, Newsletter, Shop, Support, Analytics, Payment oder Fachsysteme; Status: teilweise vorbereitet; Owner: Data Owner/IT
- [ ] Anbieter und Auftragsverarbeiter: Drittanbieter, Subprozessoren, Tracking-, Hosting- und Supportdienste; Status: aufbauen; Owner: Legal/Vendor Owner
- [ ] Website-Formulare und Eingabepunkte: personenbezogene Signale pruefen; Status: pruefen; Owner: Datenschutz/IT
- [ ] Cookies, Storage und Browser-Requests: personenbezogene Signale pruefen; Status: pruefen; Owner: Datenschutz/IT
- [ ] RoPA und Data Map: personenbezogene Signale pruefen; Status: pruefen; Owner: Datenschutz/IT
- [ ] Vendor Register und Drittanbieter-Matrix: personenbezogene Signale pruefen; Status: pruefen; Owner: Datenschutz/IT

## Workflow
- [ ] Intake & Friststart (Tag 0, Support/Datenschutz): Anfrageart, Region, Kontaktweg, Frist, Identitaetsrisiko und Ticketnummer erfassen.
- [ ] Identitaet und Suchscope (Tag 0-5, Datenschutz/Support): Identitaet risikobasiert pruefen und Datenquellen, Vendoren, Systeme und Suchfelder festlegen.
- [ ] Suchen, Loeschen, Sperren oder Exportieren (Tag 3-20, IT/Data Owner/Vendor Owner): Connectoren, manuelle Suchlaeufe und Vendor-Aufgaben ausfuehren; Treffer und Negativsuchen dokumentieren.
- [ ] Pruefen und redigieren (Tag 20-27, Datenschutz/Legal): Ausnahmen, Rechte Dritter, Aufbewahrung, Redaction und Antworttext freigeben.
- [ ] Sicher antworten und abschliessen (bis 1 Monat, Support/Datenschutz): Antwort sicher zustellen, Versand belegen, Sperren/Opt-outs dauerhaft setzen und Review-Datum speichern.

## Nachweise
- DSAR-Register: Ticketnummer, Eingang, Anfrageart, Region, Frist, Owner, Status, Abschlussdatum.
- Identitaetsentscheidung: Risikostufe, angeforderter Minimalnachweis, Vertreter-/Vollmachtstatus, Missbrauchspruefung.
- Suchmanifest: System, Suchfeld, Suchwert, Zeitraum, Owner, Treffer/Negativsuche, Zeitstempel.
- Vendor-Bestaetigungen: Anbieter, Aufgabe, Frist, Antwort, Loesch-/Auskunftsbestaetigung, Eskalation.
- Aufbewahrungs-/Ausnahmeentscheidung: Legal Hold, gesetzliche Aufbewahrung, Sperrvermerk, Backup-Regel, Begruendung.
- Antwortpaket: Auskunftsdatei, Redaction, Antworttext, sicherer Zustellweg, Versandnachweis.
- Dauerhafte Sperr-/Opt-out-Durchsetzung: CMP/CRM/Newsletter/Ads-Sperre, Suppression List, Re-Test, Monitoring-Trigger.