{ "schema": "https://saferpage.de/schemas/privacy-assessment-queue.v1", "generated_at": "2026-06-08T20:58:33+00:00", "domain": "eaf-berlin.de", "scan": { "id": "3beb4954-28ca-43d3-8832-f1c03e55a23b", "checked_at": "2026-06-08 00:00:43.796867+02" }, "summary": "Assessment-Center für eaf-berlin.de: 6 Assessment-Typen, 5 mit hoher Priorität, 33 Fragen vorbefüllt.", "status": "aufbauen", "score": 40, "metrics": { "assessment_count": 6, "high_priority_count": 5, "prefilled_question_count": 33, "third_party_count": 10, "cookie_count": 1, "tracking_signal_count": 0, "finding_count": 27, "notice_missing_count": 3 }, "links": { "assessment_center": "https://saferpage.de/assessment/eaf-berlin.de", "queue_json": "https://saferpage.de/assessment/eaf-berlin.de/queue", "queue_csv": "https://saferpage.de/assessment/eaf-berlin.de/queue-csv", "questionnaire_markdown": "https://saferpage.de/assessment/eaf-berlin.de/questionnaire-md", "workflow_json": "https://saferpage.de/assessment/eaf-berlin.de/workflow-json", "workflow_csv": "https://saferpage.de/assessment/eaf-berlin.de/workflow-csv", "report": "https://saferpage.de/eaf-berlin.de", "risk_center": "https://saferpage.de/risiko/eaf-berlin.de", "vendor_register": "https://saferpage.de/anbieter/eaf-berlin.de", "consent_center": "https://saferpage.de/consent/eaf-berlin.de", "privacy_notice_draft": "https://saferpage.de/datenschutz/eaf-berlin.de/entwurf", "operator_board": "https://saferpage.de/betreiber/eaf-berlin.de", "guide": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, "assessment_items": [ { "id": "dpia_threshold", "title": "DPIA-/DSFA-Schwellenprüfung", "assessment_type": "DPIA/DSFA", "priority": "hoch", "risk_score": 100, "status": "sofort starten", "owner": "Datenschutz/Legal/Product", "deadline": "0-14 Tage", "trigger": "Hohes Datenschutzrisiko, Tracking, sensible Kontexte oder viele offene Befunde", "evidence": "Score 0, Consent 76, Drittanbieter 10, Cookies 1, Findings 27.", "action": "Schwellenentscheidung, Schutzmaßnahmen, Restrestrisiko und Freigabe dokumentieren.", "prefill_source": "SaferPage Scan, Consent, Cookies, Anbieter, Notice, Findings", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "questions": [ { "id": "scope", "question": "Welche Website-Änderung, Verarbeitung oder Anbieter-Einbindung wird bewertet?", "auto_answer": "Scope aus öffentlichem Scan ableiten und intern konkretisieren.", "status": "Betreiber ergänzen", "owner": "Website-Betrieb/Datenschutz" }, { "id": "data_categories", "question": "Welche Datenarten, Nutzergruppen und Systeme sind betroffen?", "auto_answer": "[{\"id\":\"newsletter\",\"count\":1,\"label\":\"Newsletter\"},{\"id\":\"contact\",\"count\":1,\"label\":\"Kontaktformular\"}]", "status": "teilweise vorbefüllt", "owner": "Datenschutz/Fachbereich" }, { "id": "evidence", "question": "Welche SaferPage-Nachweise und internen Dokumente belegen die Entscheidung?", "auto_answer": "Scan-ID, Cookie-/Vendor-/Consent-Export, Betreiberfreigabe und Re-Scan verknüpfen.", "status": "vorbefüllt", "owner": "Compliance/IT" }, { "id": "high_risk", "question": "Lösen Tracking, Profiling, sensible Kontexte, Umfang oder Datenflüsse ein hohes Risiko aus?", "auto_answer": "Score 0, Consent 76, Drittanbieter 10, Cookies 1, Findings 27.", "status": "prüfen", "owner": "Datenschutz/Legal" }, { "id": "safeguards", "question": "Welche Schutzmaßnahmen senken Eintrittswahrscheinlichkeit und Auswirkungen?", "auto_answer": "Consent-Blocking, Datenminimierung, Anbieterprüfung, Security Header und Löschfristen verbinden.", "status": "Betreiber ergänzen", "owner": "IT/Security" }, { "id": "decision", "question": "Wird eine DSFA gestartet oder eine begründete Negativentscheidung dokumentiert?", "auto_answer": "Schwellenentscheidung mit Datum, Owner und Restrestrisiko festhalten.", "status": "Freigabe erforderlich", "owner": "DSB/Management" } ] }, { "id": "notice_lifecycle", "title": "Datenschutzhinweis-/Policy-Lifecycle", "assessment_type": "Notice", "priority": "hoch", "risk_score": 100, "status": "sofort starten", "owner": "Datenschutz/Content/Legal", "deadline": "0-30 Tage", "trigger": "Neue Anbieter, Cookies, Zwecke, Formulare oder regionale Pflichttexte", "evidence": "Entwurf aus Scan-Evidenz: 1 Cookie(s), 10 Drittanbieter-Domain(s), 8 Storage-Key(s). Fehlende Punkte: 3.", "action": "Entwurf, Cookie-Erklärung, Anbieterregister und Betroffenenrechte versioniert freigeben.", "prefill_source": "SaferPage Scan, Consent, Cookies, Anbieter, Notice, Findings", "guide_url": "/guides/datenschutzerklaerung-verbessern", "questions": [ { "id": "scope", "question": "Welche Website-Änderung, Verarbeitung oder Anbieter-Einbindung wird bewertet?", "auto_answer": "Scope aus öffentlichem Scan ableiten und intern konkretisieren.", "status": "Betreiber ergänzen", "owner": "Website-Betrieb/Datenschutz" }, { "id": "data_categories", "question": "Welche Datenarten, Nutzergruppen und Systeme sind betroffen?", "auto_answer": "[{\"id\":\"newsletter\",\"count\":1,\"label\":\"Newsletter\"},{\"id\":\"contact\",\"count\":1,\"label\":\"Kontaktformular\"}]", "status": "teilweise vorbefüllt", "owner": "Datenschutz/Fachbereich" }, { "id": "evidence", "question": "Welche SaferPage-Nachweise und internen Dokumente belegen die Entscheidung?", "auto_answer": "Scan-ID, Cookie-/Vendor-/Consent-Export, Betreiberfreigabe und Re-Scan verknüpfen.", "status": "vorbefüllt", "owner": "Compliance/IT" }, { "id": "legal_basis", "question": "Welche Rechtsgrundlage und Transparenzpflicht gilt je Zweck?", "auto_answer": "Datenschutzhinweis-Entwurf und Rechtsgrundlagenmatrix abgleichen.", "status": "prüfen", "owner": "Datenschutz/Legal" }, { "id": "release_gate", "question": "Welche Re-Scan- und Freigabe-Gates gelten vor Veröffentlichung?", "auto_answer": "Nach Umsetzung SaferPage-Re-Scan und Exportpaket anhängen.", "status": "vorbefüllt", "owner": "Website-Betrieb" } ] }, { "id": "incident_breach", "title": "Incident-/Breach-Assessment", "assessment_type": "Incident", "priority": "hoch", "risk_score": 100, "status": "sofort starten", "owner": "DSB/Legal/IT", "deadline": "0-72 Stunden bei Vorfall", "trigger": "Security-, Vendor-, Consent- oder Datenflussrisiko mit Betroffenenbezug", "evidence": "0 kritische und 9 Warning-Finding(s).", "action": "72h-Prüfpfad, Beweissicherung, Datenarten, Empfänger und Meldeentscheidung vorbereiten.", "prefill_source": "SaferPage Scan, Consent, Cookies, Anbieter, Notice, Findings", "guide_url": "/guides/security-header-setzen", "questions": [ { "id": "scope", "question": "Welche Website-Änderung, Verarbeitung oder Anbieter-Einbindung wird bewertet?", "auto_answer": "Scope aus öffentlichem Scan ableiten und intern konkretisieren.", "status": "Betreiber ergänzen", "owner": "Website-Betrieb/Datenschutz" }, { "id": "data_categories", "question": "Welche Datenarten, Nutzergruppen und Systeme sind betroffen?", "auto_answer": "[{\"id\":\"newsletter\",\"count\":1,\"label\":\"Newsletter\"},{\"id\":\"contact\",\"count\":1,\"label\":\"Kontaktformular\"}]", "status": "teilweise vorbefüllt", "owner": "Datenschutz/Fachbereich" }, { "id": "evidence", "question": "Welche SaferPage-Nachweise und internen Dokumente belegen die Entscheidung?", "auto_answer": "Scan-ID, Cookie-/Vendor-/Consent-Export, Betreiberfreigabe und Re-Scan verknüpfen.", "status": "vorbefüllt", "owner": "Compliance/IT" }, { "id": "scenario", "question": "Welches Datenschutz- oder Sicherheitsereignis wird simuliert?", "auto_answer": "Offene Security-, Vendor-, Consent- oder Datenflussrisiken als Szenario nutzen.", "status": "prüfen", "owner": "IT/DSB" }, { "id": "notification", "question": "Wann startet die 72h-Prüfung und wer entscheidet über Meldung/Benachrichtigung?", "auto_answer": "Meldeentscheidung ist interner Betreiber-Nachweis.", "status": "Betreiber-Nachweis", "owner": "DSB/Legal/IT" } ] }, { "id": "program_management", "title": "PrivacyOps-Programm-Assessment", "assessment_type": "Programmrisiko", "priority": "hoch", "risk_score": 100, "status": "sofort starten", "owner": "Programm-Owner/Datenschutz", "deadline": "0-30 Tage", "trigger": "Management will Reifegrad, Zielschwellen, Owner und Evidence-Gates steuern", "evidence": "eaf-berlin.de liegt mit 0 Punkten ungefähr im gespeicherten Vergleichsfeld. Weil viele gespeicherte Checks bei 0 Punkten liegen, zeigt die Detailansicht zusätzlich aktive Peers mit Durchschnitt 21.8.", "action": "Owner, SLA, Kontrollfrequenz, Re-Scan, Evidence Library und Managemententscheidung zusammenführen.", "prefill_source": "SaferPage Scan, Consent, Cookies, Anbieter, Notice, Findings", "guide_url": "/methodik", "questions": [ { "id": "scope", "question": "Welche Website-Änderung, Verarbeitung oder Anbieter-Einbindung wird bewertet?", "auto_answer": "Scope aus öffentlichem Scan ableiten und intern konkretisieren.", "status": "Betreiber ergänzen", "owner": "Website-Betrieb/Datenschutz" }, { "id": "data_categories", "question": "Welche Datenarten, Nutzergruppen und Systeme sind betroffen?", "auto_answer": "[{\"id\":\"newsletter\",\"count\":1,\"label\":\"Newsletter\"},{\"id\":\"contact\",\"count\":1,\"label\":\"Kontaktformular\"}]", "status": "teilweise vorbefüllt", "owner": "Datenschutz/Fachbereich" }, { "id": "evidence", "question": "Welche SaferPage-Nachweise und internen Dokumente belegen die Entscheidung?", "auto_answer": "Scan-ID, Cookie-/Vendor-/Consent-Export, Betreiberfreigabe und Re-Scan verknüpfen.", "status": "vorbefüllt", "owner": "Compliance/IT" }, { "id": "legal_basis", "question": "Welche Rechtsgrundlage und Transparenzpflicht gilt je Zweck?", "auto_answer": "Datenschutzhinweis-Entwurf und Rechtsgrundlagenmatrix abgleichen.", "status": "prüfen", "owner": "Datenschutz/Legal" }, { "id": "release_gate", "question": "Welche Re-Scan- und Freigabe-Gates gelten vor Veröffentlichung?", "auto_answer": "Nach Umsetzung SaferPage-Re-Scan und Exportpaket anhängen.", "status": "vorbefüllt", "owner": "Website-Betrieb" } ] }, { "id": "vendor_tia", "title": "Vendor-/Transfer-Assessment", "assessment_type": "Vendor/TIA", "priority": "hoch", "risk_score": 100, "status": "sofort starten", "owner": "Legal/Vendor Owner", "deadline": "0-21 Tage", "trigger": "Drittanbieter, Google-/Ad-/Font-/Consent-Dienste, Drittland- oder Rollenfragen", "evidence": "10 Drittanbieter-Signal(e), 0 Tracking-/Privacy-Signal(e).", "action": "Anbieterakte mit Zweck, Rolle, AVV/DPA, TOMs, SCC/TIA und Alternativen vervollständigen.", "prefill_source": "SaferPage Scan, Consent, Cookies, Anbieter, Notice, Findings", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "questions": [ { "id": "scope", "question": "Welche Website-Änderung, Verarbeitung oder Anbieter-Einbindung wird bewertet?", "auto_answer": "Scope aus öffentlichem Scan ableiten und intern konkretisieren.", "status": "Betreiber ergänzen", "owner": "Website-Betrieb/Datenschutz" }, { "id": "data_categories", "question": "Welche Datenarten, Nutzergruppen und Systeme sind betroffen?", "auto_answer": "[{\"id\":\"newsletter\",\"count\":1,\"label\":\"Newsletter\"},{\"id\":\"contact\",\"count\":1,\"label\":\"Kontaktformular\"}]", "status": "teilweise vorbefüllt", "owner": "Datenschutz/Fachbereich" }, { "id": "evidence", "question": "Welche SaferPage-Nachweise und internen Dokumente belegen die Entscheidung?", "auto_answer": "Scan-ID, Cookie-/Vendor-/Consent-Export, Betreiberfreigabe und Re-Scan verknüpfen.", "status": "vorbefüllt", "owner": "Compliance/IT" }, { "id": "vendor_scope", "question": "Welche Anbieter, Hosts, Unterauftragsverarbeiter und Regionen sind betroffen?", "auto_answer": "10 Drittanbieter-Signal(e) aus Scan-Evidenz.", "status": "vorbefüllt", "owner": "Legal/Vendor Owner" }, { "id": "transfer_basis", "question": "Gibt es Drittlandtransfer, SCC/TIA, EU-Alternative oder unklare Anbieterregion?", "auto_answer": "Transfergrundlage je Anbieter fachlich prüfen.", "status": "Betreiber ergänzen", "owner": "Legal" }, { "id": "contract_evidence", "question": "Sind AVV/DPA, TOMs, Subprozessoren und Löschfristen dokumentiert?", "auto_answer": "Aus öffentlichem Scan nicht beweisbar.", "status": "Betreiber-Nachweis", "owner": "Procurement/Legal" } ] }, { "id": "consent_assessment", "title": "Consent-/Preference-Assessment", "assessment_type": "Consent", "priority": "niedrig", "risk_score": 40, "status": "beobachten", "owner": "Marketing/IT/Datenschutz", "deadline": "0-14 Tage", "trigger": "CMP-Änderung, Cookies vor Einwilligung, Ablehnen/Widerruf, GPC oder Tag-Manager-Regel", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "action": "Default, Ablehnen, Akzeptieren und GPC testen; CMP-Plan, Nachweise und Cookie-Liste synchronisieren.", "prefill_source": "SaferPage Scan, Consent, Cookies, Anbieter, Notice, Findings", "guide_url": "/guides/tracking-und-consent-reparieren", "questions": [ { "id": "scope", "question": "Welche Website-Änderung, Verarbeitung oder Anbieter-Einbindung wird bewertet?", "auto_answer": "Scope aus öffentlichem Scan ableiten und intern konkretisieren.", "status": "Betreiber ergänzen", "owner": "Website-Betrieb/Datenschutz" }, { "id": "data_categories", "question": "Welche Datenarten, Nutzergruppen und Systeme sind betroffen?", "auto_answer": "[{\"id\":\"newsletter\",\"count\":1,\"label\":\"Newsletter\"},{\"id\":\"contact\",\"count\":1,\"label\":\"Kontaktformular\"}]", "status": "teilweise vorbefüllt", "owner": "Datenschutz/Fachbereich" }, { "id": "evidence", "question": "Welche SaferPage-Nachweise und internen Dokumente belegen die Entscheidung?", "auto_answer": "Scan-ID, Cookie-/Vendor-/Consent-Export, Betreiberfreigabe und Re-Scan verknüpfen.", "status": "vorbefüllt", "owner": "Compliance/IT" }, { "id": "pre_consent", "question": "Welche Dienste laufen vor Einwilligung oder nach Ablehnen?", "auto_answer": "1 Cookie-/Storage-Signal(e), Consent-Score 76.", "status": "vorbefüllt", "owner": "Marketing/IT" }, { "id": "reject_gpc", "question": "Wirken Ablehnen, Widerruf und GPC technisch gleichwertig?", "auto_answer": "Reject/GPC gegen Consent- und CMP-Plan prüfen.", "status": "prüfen", "owner": "Datenschutz/IT" }, { "id": "ledger", "question": "Werden Consent-Version, Zwecke, Region, Timestamp und Widerruf auditfähig gespeichert?", "auto_answer": "Interne Consent-Ledger-Nachweise erforderlich.", "status": "Betreiber-Nachweis", "owner": "Compliance/IT" } ] } ], "trigger_catalog": [ { "id": "new_vendor", "trigger": "Neuer Drittanbieter, neues Script, neue Cookie-Kategorie oder Subprozessor", "assessment_type": "Vendor/TIA", "owner": "Legal/Vendor Owner" }, { "id": "new_data_flow", "trigger": "Neue Formulare, Datenarten, Empfänger oder Systemintegration", "assessment_type": "DPIA/DSFA", "owner": "Datenschutz/IT" }, { "id": "cmp_change", "trigger": "CMP-, Consent-Mode-, Tag-Manager- oder GPC-Änderung", "assessment_type": "Consent", "owner": "Marketing/IT/Datenschutz" }, { "id": "policy_change", "trigger": "Neue Zwecke, neue Rechtsgrundlagen, regionale Pflichttexte oder Betroffenenrechte", "assessment_type": "Notice", "owner": "Datenschutz/Content" }, { "id": "incident_signal", "trigger": "Security-, Vendor-, Tracking- oder Datenflussvorfall", "assessment_type": "Incident", "owner": "DSB/Legal/IT" } ], "workflow": [ { "step": 1, "label": "Trigger prüfen", "action": "Neue Anbieter, Datenflüsse, CMP-Änderungen, Policy-Änderungen oder Vorfälle einordnen." }, { "step": 2, "label": "Assessment wählen", "action": "DPIA/DSFA, Vendor/TIA, Consent, Notice, Incident oder Programm-Assessment starten." }, { "step": 3, "label": "Vorbefüllung prüfen", "action": "SaferPage-Antworten, Exporte und Evidence Links gegen interne Fakten validieren." }, { "step": 4, "label": "Maßnahmen und Restrestrisiko", "action": "Schutzmaßnahmen, Owner, Fristen, Restrisiko und Managemententscheidung dokumentieren." }, { "step": 5, "label": "Re-Scan und Freigabe", "action": "Nach Umsetzung erneut prüfen und Exportpakete an Assessment Record anhängen." } ], "disclaimer": "Automatisch aus öffentlicher SaferPage-Evidenz abgeleitete Assessment-Queue. Sie ersetzt kein internes PIA-/DPIA-/TIA-/Vendor-Verfahren, liefert aber Vorbefüllung, Trigger und offene Betreiber-Nachweise." }