# Audit-Response fuer dak.de

Audit-Response für dak.de: 9/16 Frage(n) antwortbereit, 3 Betreiber-Freigabe(n), 8 hohe Priorität(en).

> Dieses Audit-Response-Center ist ein sanitiertes Antwortpaket. Es ersetzt keine Rechtsberatung und gibt keine internen Verträge, Secrets oder personenbezogenen Rohdaten frei.

## Fragen und Antworten
- **Gibt es einen aktuellen öffentlichen Datenschutz- und Trust-Nachweis?**
  - Status: fachlich prüfen | Owner: Datenschutz/Compliance
  - Antwort: SaferPage stellt Kurzreport, Datenschutz-Center, Trust Center und Exportlinks bereit. Betreibertexte müssen gegen interne Verarbeitung geprüft werden.
  - Nachweis: https://saferpage.de/dak.de
- **Ist die Datenschutzerklärung gegen reale Website-Technik abgeglichen?**
  - Status: antwortbereit | Owner: Datenschutz/Content
  - Antwort: Der gespeicherte Check liefert Notice-, Cookie-, Anbieter- und Policy-Signale. Abweichungen gehören in den Fix-Guide und danach in einen Re-Scan.
  - Nachweis: https://saferpage.de/policies/dak.de/export
- **Welche Cookies, Tracker und Speichertechniken wurden gefunden?**
  - Status: antwortbereit | Owner: Marketing/IT/Datenschutz
  - Antwort: 2 Cookie-/Storage-Signal(e), Consent Score 2. Vor-Consent-Funde müssen vor externer Antwort eingeordnet werden.
  - Nachweis: https://saferpage.de/cookies/dak.de/export
- **Kann nachgewiesen werden, dass Tracking erst nach Einwilligung startet?**
  - Status: Betreiber-Freigabe | Owner: Marketing Ops/IT
  - Antwort: Consent Score 2. Der Consent-Journey-Export dokumentiert Default-, Ablehnen-, Akzeptieren- und GPC-Signale.
  - Nachweis: https://saferpage.de/consent-journey/dak.de/export
- **Welche Empfänger, Anbieter und Transferfragen sind sichtbar?**
  - Status: antwortbereit | Owner: Legal/Vendor Owner
  - Antwort: 4 Anbieter-/AVV-Signal(e) im öffentlichen Register. DPA, TOMs, SCC/TIA und Subprozessoren benötigen Betreiberfreigabe.
  - Nachweis: https://saferpage.de/anbieter/dak.de/offenlegung-json
- **Wie erreichen Nutzer Auskunft, Löschung, Widerspruch und weitere Rechte?**
  - Status: fachlich prüfen | Owner: Datenschutz/Support
  - Antwort: Rechte Score 26. Das Rechte-Center erklärt Kanäle, Fristen, Identitätsprüfung und Eskalation nutzerfreundlich.
  - Nachweis: https://saferpage.de/rechte/dak.de/export
- **Welche Security-Header, TLS- und Cookie-Schutzsignale sind vorhanden?**
  - Status: antwortbereit | Owner: IT/Security
  - Antwort: Security Score 70. Der Technik-Export zeigt Header, Transport-Schutz und sichere Cookie-Attribute.
  - Nachweis: https://saferpage.de/technik/dak.de/export
- **Welche Nachweise können Prüfer nachvollziehen?**
  - Status: antwortbereit | Owner: Compliance/IT
  - Antwort: Scan-ID 7715c55b-4520-47f0-a403-d860cc34fea3, 0 geprüfte Seite(n) im Evidence-Pack. Hash- und Exportdaten sind sanitisiert.
  - Nachweis: https://saferpage.de/nachweise/dak.de/export
- **Welche Seiten wurden zuletzt geprüft oder verändert?**
  - Status: antwortbereit | Owner: Website-Betrieb
  - Antwort: 2 Historienpunkt(e), letzter Check 2026-06-10 00:32:31.267393+02. Änderungen sollten vor Kundenantworten mit Re-Scan bestätigt werden.
  - Nachweis: https://saferpage.de/aenderungen/dak.de/export
- **Gibt es ein Gate vor Go-live für Datenschutz-relevante Änderungen?**
  - Status: antwortbereit | Owner: Website-Betrieb/Compliance
  - Antwort: Das Release-Gate bündelt Consent, Vendor, Notice, Security, Evidence, Domain-Claim und Incident-Pfade als Betreiber-Runbook.
  - Nachweis: https://saferpage.de/release-gate/dak.de/export
- **Sind Lösch-, Incident- und 72h-Eskalationspfade beschrieben?**
  - Status: Betreiber-Freigabe | Owner: DSB/IT/Security
  - Antwort: Incident Readiness 48. Öffentliche Evidenz reicht nicht für interne Prozesse; Betreiber muss Verantwortliche und Fristen freigeben.
  - Nachweis: https://saferpage.de/vorfall/dak.de/export
- **Welche Unterlagen fehlen vor einem belastbaren Kunden- oder Auditorenpaket?**
  - Status: Betreiber-Freigabe | Owner: Betreiber/DSB/Legal
  - Antwort: AVV/DPA, TOMs, RoPA, DSFA/DPIA, Subprozessoren, Transferbewertung und interne Kontrolltests sind aus öffentlichem Scan nicht beweisbar.
  - Nachweis: https://saferpage.de/trust/dak.de
- **Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?**
  - Status: antwortbereit | Owner: Programm-Owner/DSB
  - Antwort: Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.
  - Nachweis: https://saferpage.de/trust/dak.de/export
- **Wie werden Cookies, Tracker und Einwilligungen kontrolliert?**
  - Status: fachlich prüfen | Owner: Marketing/IT
  - Antwort: SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.
  - Nachweis: https://saferpage.de/trust/dak.de/export
- **Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert?**
  - Status: fachlich prüfen | Owner: Datenschutz/Content
  - Antwort: Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.
  - Nachweis: https://saferpage.de/trust/dak.de/export
- **Wie werden Subprozessoren, Drittanbieter und Transfers geprüft?**
  - Status: antwortbereit | Owner: Legal/Vendor Owner
  - Antwort: Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.
  - Nachweis: https://saferpage.de/trust/dak.de/export

## Redaktionsregeln
- Keine API-Keys, Session-IDs, personenbezogenen Rohdaten oder internen Ticket-IDs ausgeben.
- Vertrags-, TOM-, RoPA-, DSFA- und Transferunterlagen nur nach Rollenfreigabe teilen.
- Kundenantworten mit Scan-ID, Datum, Quelle und Re-Scan-Hinweis versionieren.