{ "schema": "https://saferpage.de/schemas/dsar-fulfillment-automation.v1", "generated_at": "2026-06-08T22:07:37+00:00", "domain": "br-media.de", "available": true, "scan": { "id": "75593313-1f66-42b3-bec0-172b5c22a58a", "checked_at": "2026-06-08 16:01:46.43227+02" }, "status": "ausbaufaehig", "score": 73, "summary": "DSAR-Fulfillment fuer br-media.de: 5 Anfrageart(en), 10 Such-/Connector-Scope(s), 3 vorbereitet, 3 offene Betreiber-Nachweise.", "metrics": { "request_type_count": 5, "connector_count": 10, "ready_connector_count": 3, "manual_connector_count": 1, "vendor_count": 5, "check_count": 10, "passed_count": 7, "gap_count": 3, "workflow_step_count": 5, "evidence_requirement_count": 7 }, "request_playbooks": [ { "id": "access", "label": "Auskunft", "deadline": "1 Monat", "fulfillment": "Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen." }, { "id": "erasure", "label": "Löschung", "deadline": "1 Monat", "fulfillment": "Löschfähigkeit je System prüfen, Aufbewahrung/Legal Hold ausnehmen, Vendor-Aufgaben auslösen." }, { "id": "rectification", "label": "Berichtigung", "deadline": "1 Monat", "fulfillment": "System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen." }, { "id": "objection_optout", "label": "Widerspruch / Opt-out", "deadline": "1 Monat", "fulfillment": "Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren." }, { "id": "portability", "label": "Datenübertragbarkeit", "deadline": "1 Monat", "fulfillment": "Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen." } ], "connector_map": [ { "id": "website_forms", "system": "Website-Formulare und Kontaktwege", "scope": "Kontakt-, Newsletter-, Such- oder Supportangaben", "connector_status": "Suchscope vorbereiten", "owner": "Fachbereich/Support", "evidence": "2 Formularsignal(e).", "task": "Formular-Backend, Mailbox, CRM oder Ticketziel je Formular hinterlegen." }, { "id": "web_logs", "system": "Webserver, CDN und Sicherheitslogs", "scope": "IP-Adresse, User-Agent, Zeitstempel, Pfad, Sicherheitsereignisse", "connector_status": "Betreiber-Nachweis", "owner": "IT/Security", "evidence": "Aus oeffentlichem Scan nicht beweisbar.", "task": "Logquellen, Retention, Suchparameter, Ausnahmen und Legal-Hold-Regeln dokumentieren." }, { "id": "cookies_consent", "system": "Cookies, Consent und Praeferenzen", "scope": "Cookie-IDs, Consent-Zustand, Widerruf, GPC/Opt-out", "connector_status": "aufbauen", "owner": "Marketing/IT", "evidence": "0 Cookie-/Storage-Eintrag(e).", "task": "Widerruf und Widerspruch in CMP, Tags, Newsletter und Marketing-Systeme synchronisieren." }, { "id": "page_context", "system": "Seiten- und URL-Kontext", "scope": "Betroffene Seiten, Suchparameter, Referrer und Nutzerkontext", "connector_status": "aufbauen", "owner": "IT/Datenschutz", "evidence": "0 Seiteninventar-Eintrag(e), 32 Datenfluss-Kante(n).", "task": "Suchscope je Seitenkategorie und Verarbeitungstaetigkeit festlegen." }, { "id": "internal_systems", "system": "Interne Systeme aus RoPA/Data Map", "scope": "CRM, Newsletter, Shop, Support, Analytics, Payment oder Fachsysteme", "connector_status": "teilweise vorbereitet", "owner": "Data Owner/IT", "evidence": "3 Verarbeitungstaetigkeit(en).", "task": "Reale Systeme, Owner, Suchfelder, Exportformat und Loeschweg ergaenzen." }, { "id": "vendors_processors", "system": "Anbieter und Auftragsverarbeiter", "scope": "Drittanbieter, Subprozessoren, Tracking-, Hosting- und Supportdienste", "connector_status": "Vendor-Tasking vorbereiten", "owner": "Legal/Vendor Owner", "evidence": "5 Anbieter-/Vendor-Signal(e).", "task": "Vendor-Zuarbeit, Loeschbestaetigung, Fristen und Eskalation je Anbieter anlegen." }, { "id": "discovery_source_1", "system": "Website-Formulare und Eingabepunkte", "scope": "personenbezogene Signale pruefen", "connector_status": "pruefen", "owner": "Datenschutz/IT", "evidence": "", "task": "Suchfelder, Export und Loeschweg fuer DSAR-Fulfillment ergaenzen." }, { "id": "discovery_source_2", "system": "Cookies, Storage und Browser-Requests", "scope": "personenbezogene Signale pruefen", "connector_status": "pruefen", "owner": "Datenschutz/IT", "evidence": "", "task": "Suchfelder, Export und Loeschweg fuer DSAR-Fulfillment ergaenzen." }, { "id": "discovery_source_3", "system": "RoPA und Data Map", "scope": "personenbezogene Signale pruefen", "connector_status": "pruefen", "owner": "Datenschutz/IT", "evidence": "", "task": "Suchfelder, Export und Loeschweg fuer DSAR-Fulfillment ergaenzen." }, { "id": "discovery_source_4", "system": "Vendor Register und Drittanbieter-Matrix", "scope": "personenbezogene Signale pruefen", "connector_status": "pruefen", "owner": "Datenschutz/IT", "evidence": "", "task": "Suchfelder, Export und Loeschweg fuer DSAR-Fulfillment ergaenzen." } ], "automation_checks": [ { "id": "public_intake", "label": "Oeffentlicher Anfragekanal und Intake-Felder", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 10, "owner": "Datenschutz/Content", "evidence": "Betroffenenrechte-Intake-Paket: 100/100. Formular-Blueprint, Textbausteine, Routing, Nachweise und offene Betreiberentscheidungen sind aus dem Scan vorbereitet.", "action": "Formular, E-Mail oder Portal direkt im Datenschutzhinweis und Footer verlinken." }, { "id": "identity_verification", "label": "Identitaetspruefung risikobasiert", "status": "Betreiber-Nachweis", "passed": false, "manual_review": true, "weight": 10, "owner": "Datenschutz/Support", "evidence": "Aus oeffentlichem Scan nicht beweisbar.", "action": "Missbrauchsschutz, minimale Nachweise, Vertretervollmacht und Eskalation fuer sensible Auskuenfte festlegen." }, { "id": "deadline_sla", "label": "Friststeuerung und Eskalation", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 12, "owner": "Support/Datenschutz", "evidence": "DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "action": "1-Monatsfrist, Verlaengerung, Owner, Eskalation und Abschlussnachweis im Ticketprozess erzwingen." }, { "id": "data_discovery_connectors", "label": "Datenquellen und Suchconnectoren", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 14, "owner": "IT/Data Owner", "evidence": "3 vorbereitete Connector-/Suchscope-Eintraege, 1 Betreiber-Nachweise.", "action": "CRM, Newsletter, Mailbox, Logs, Consent, Analytics, Support und Vendoren mit Suchfeldern verbinden." }, { "id": "vendor_tasking", "label": "Vendor- und Processor-Zuarbeit", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 10, "owner": "Legal/Vendor Owner", "evidence": "Vendor-Due-Diligence mit 5 Anbieter(n), 0 hohem Risiko, 5 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).", "action": "Anbieterfristen, Loesch-/Auskunftsbestaetigung, Subprozessoren und Eskalation je Vendor dokumentieren." }, { "id": "erasure_retention", "label": "Loeschung, Sperrung und Aufbewahrung", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 12, "owner": "Legal/IT", "evidence": "Retention-/Deletion-Readiness 81/100; 8/10 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "action": "Loeschbarkeit, Legal Hold, Backups, Aufbewahrung und Vendor-Loeschung pro Anfrage pruefen." }, { "id": "preference_enforcement", "label": "Widerruf und Widerspruch dauerhaft durchsetzen", "status": "offen", "passed": false, "manual_review": false, "weight": 10, "owner": "Marketing/IT", "evidence": "Consent-/Preference-Ledger nicht vollstaendig.", "action": "Opt-out, Widerruf, Newsletter-Abmeldung und GPC dauerhaft in nachgelagerten Systemen synchronisieren." }, { "id": "redaction_delivery", "label": "Redaction und sichere Antwortzustellung", "status": "Betreiber-Nachweis", "passed": false, "manual_review": true, "weight": 10, "owner": "Datenschutz/Legal", "evidence": "Antwortpakete sind aus oeffentlichem Scan nicht beweisbar.", "action": "Auskunftspakete redigieren, Vier-Augen-Freigabe und sicheren Zustellkanal definieren." }, { "id": "notice_sync", "label": "Datenschutzhinweis erklaert Rechte und Kontaktweg", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 8, "owner": "Content/Datenschutz", "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 5 Drittanbieter-Domain(s), 0 Storage-Key(s).", "action": "Rechte, Fristen, Kontakt, Beschwerdeweg, Identitaetspruefung und Antwortweg in Nutzersprache erklaeren." }, { "id": "audit_receipt", "label": "Audit Trail und Abschlussbeleg", "status": "vorbereitet", "passed": true, "manual_review": false, "weight": 14, "owner": "Compliance/IT", "evidence": "Scan-/Auditbeleg vorhanden.", "action": "Eingang, Suche, Treffer, Loeschung/Sperrung, Ausnahmen, Versand und Abschluss unveraenderbar protokollieren." } ], "workflow": [ { "id": "intake", "phase": "Intake & Friststart", "timebox": "Tag 0", "owner": "Support/Datenschutz", "action": "Anfrageart, Region, Kontaktweg, Frist, Identitaetsrisiko und Ticketnummer erfassen.", "evidence": "DSAR-Ticket, Zeitstempel, Kanal, Datenschutzhinweis-Link." }, { "id": "verify_scope", "phase": "Identitaet und Suchscope", "timebox": "Tag 0-5", "owner": "Datenschutz/Support", "action": "Identitaet risikobasiert pruefen und Datenquellen, Vendoren, Systeme und Suchfelder festlegen.", "evidence": "ID-Entscheidung, Suchplan, Datenquellenliste." }, { "id": "discover_execute", "phase": "Suchen, Loeschen, Sperren oder Exportieren", "timebox": "Tag 3-20", "owner": "IT/Data Owner/Vendor Owner", "action": "Connectoren, manuelle Suchlaeufe und Vendor-Aufgaben ausfuehren; Treffer und Negativsuchen dokumentieren.", "evidence": "Suchlogs, Exportdateien, Loesch-/Sperrbestaetigungen, Vendor-Antworten." }, { "id": "review_redact", "phase": "Pruefen und redigieren", "timebox": "Tag 20-27", "owner": "Datenschutz/Legal", "action": "Ausnahmen, Rechte Dritter, Aufbewahrung, Redaction und Antworttext freigeben.", "evidence": "Review-Notiz, Redaction-Protokoll, Rechtsgrund fuer Ausnahmen." }, { "id": "respond_close", "phase": "Sicher antworten und abschliessen", "timebox": "bis 1 Monat", "owner": "Support/Datenschutz", "action": "Antwort sicher zustellen, Versand belegen, Sperren/Opt-outs dauerhaft setzen und Review-Datum speichern.", "evidence": "Versandnachweis, Abschlussbeleg, naechster Kontrolltermin." } ], "evidence_requirements": [ { "id": "ticket_register", "label": "DSAR-Register", "expected_evidence": "Ticketnummer, Eingang, Anfrageart, Region, Frist, Owner, Status, Abschlussdatum.", "owner": "Datenschutz/Support" }, { "id": "identity_decision", "label": "Identitaetsentscheidung", "expected_evidence": "Risikostufe, angeforderter Minimalnachweis, Vertreter-/Vollmachtstatus, Missbrauchspruefung.", "owner": "Datenschutz" }, { "id": "search_manifest", "label": "Suchmanifest", "expected_evidence": "System, Suchfeld, Suchwert, Zeitraum, Owner, Treffer/Negativsuche, Zeitstempel.", "owner": "IT/Data Owner" }, { "id": "vendor_receipts", "label": "Vendor-Bestaetigungen", "expected_evidence": "Anbieter, Aufgabe, Frist, Antwort, Loesch-/Auskunftsbestaetigung, Eskalation.", "owner": "Vendor Owner/Legal" }, { "id": "retention_exception", "label": "Aufbewahrungs-/Ausnahmeentscheidung", "expected_evidence": "Legal Hold, gesetzliche Aufbewahrung, Sperrvermerk, Backup-Regel, Begruendung.", "owner": "Legal/IT" }, { "id": "response_package", "label": "Antwortpaket", "expected_evidence": "Auskunftsdatei, Redaction, Antworttext, sicherer Zustellweg, Versandnachweis.", "owner": "Datenschutz/Support" }, { "id": "preference_enforcement", "label": "Dauerhafte Sperr-/Opt-out-Durchsetzung", "expected_evidence": "CMP/CRM/Newsletter/Ads-Sperre, Suppression List, Re-Test, Monitoring-Trigger.", "owner": "Marketing/IT" } ], "priority_actions": [ "Missbrauchsschutz, minimale Nachweise, Vertretervollmacht und Eskalation fuer sensible Auskuenfte festlegen.", "Opt-out, Widerruf, Newsletter-Abmeldung und GPC dauerhaft in nachgelagerten Systemen synchronisieren.", "Auskunftspakete redigieren, Vier-Augen-Freigabe und sicheren Zustellkanal definieren." ], "links": { "fulfillment_center": "https://saferpage.de/anfragen/br-media.de", "json": "https://saferpage.de/anfragen/br-media.de/export", "csv": "https://saferpage.de/anfragen/br-media.de/export-csv", "markdown": "https://saferpage.de/anfragen/br-media.de/runbook-md", "response_json": "https://saferpage.de/anfragen/br-media.de/response-json", "response_csv": "https://saferpage.de/anfragen/br-media.de/response-csv", "rights_center": "https://saferpage.de/rechte/br-media.de", "intake_form": "https://saferpage.de/rechte/br-media.de/intake", "data_discovery": "https://saferpage.de/daten/br-media.de", "processing_record": "https://saferpage.de/verarbeitungen/br-media.de", "retention_deletion": "https://saferpage.de/loeschung/br-media.de", "vendor_due_diligence": "https://saferpage.de/anbieter/br-media.de/due-diligence", "consent_ledger": "https://saferpage.de/consent-ledger/br-media.de", "evidence_center": "https://saferpage.de/nachweise/br-media.de", "report": "https://saferpage.de/br-media.de" }, "sources": [ { "title": "DataGrail Privacy Platform", "url": "https://www.datagrail.io/", "note": "Orientierung fuer Data Discovery, DSR Automation, Consent Enforcement und Assessments." }, { "title": "Transcend DSR Automation", "url": "https://docs.transcend.io/docs/privacy-requests/overview", "note": "Orientierung fuer end-to-end Privacy Requests mit Suche, Loeschung, Aenderung und Nachweis." }, { "title": "OneTrust Privacy Automation", "url": "https://www.onetrust.com/solutions/privacy-automation/", "note": "Orientierung fuer DSR-Fulfillment, Datenmapping, Vendor Risk und PrivacyOps." } ], "disclaimer": "Automatisch aus oeffentlicher SaferPage-Evidenz abgeleiteter DSAR-Fulfillment-Plan. Echte Betroffenenanfragen, Identitaetsnachweise, interne Suchlaeufe, Loeschungen und Antwortpakete muss der Betreiber in eigenen sicheren Systemen bearbeiten." }