{ "schema": "https://saferpage.de/schemas/benchmark-report.v1", "generated_at": "2026-06-08T17:24:28+00:00", "domain": "kinder.wdr.de", "scan": { "id": "32df25ca-311f-4eae-b080-10b2717b5b20", "checked_at": "2026-06-08 14:22:00.271311+02" }, "summary": "kinder.wdr.de liegt mit 0 Punkten ungefähr im gespeicherten Vergleichsfeld. Weil viele gespeicherte Checks bei 0 Punkten liegen, zeigt die Detailansicht zusätzlich aktive Peers mit Durchschnitt 21.8.", "comparison_basis": "Neuester gespeicherter SaferPage-Scan je Domain; überwiegend deutschsprachige gespeicherte Checks.", "score": 0, "risk_tier": "kritisch", "rank": 43, "percentile": 0, "peer_count": 442, "qualified_peer_count": 42, "zero_score_count": 400, "comparison_scores": { "average": 21.8, "median": 16, "top_quartile": 32, "raw_average": 2.1, "raw_median": 0 }, "targets": { "target_score": 40, "gap_to_target": 40, "aspirational_target_score": 60, "next_milestone": "Erst auf 40 Punkte stabilisieren: HTTPS, Datenschutzhinweis, sichtbare Betreiberangaben und grobe Tracking-/Consent-Fehler beheben." }, "distribution": { "0_39": 436, "40_59": 3, "60_79": 3, "80_100": 0 }, "thresholds": [ { "id": "critical", "label": "Kritisch", "range": "0-39", "met": true, "meaning": "Besucher und Betreiber sollten vor Eingabe personenbezogener Daten besonders genau prüfen." }, { "id": "basic", "label": "Basis stabilisieren", "range": "40-59", "met": false, "meaning": "Grundschutz und Transparenz sind teilweise vorhanden, aber wichtige Datenschutzlücken bleiben offen." }, { "id": "managed", "label": "Gesteuert", "range": "60-79", "met": false, "meaning": "Viele Kontrollen sind sichtbar, Betreiber sollten Nachweise und laufende Prozesse schärfen." }, { "id": "strong", "label": "Stark", "range": "80-100", "met": false, "meaning": "Öffentliche Evidenz wirkt robust; regelmäßige Regression und Nachweise bleiben nötig." } ], "priority_actions": [ { "label": "Basisvertrauen herstellen", "action": "Datenschutzerklärung, Impressum/Kontakt, HTTPS und kritische Browserwarnungen zuerst korrigieren.", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "label": "Consent vor Tracking erzwingen", "action": "Werbung, Analytics, Fonts, Maps und vergleichbare Drittanbieter vor Einwilligung blockieren oder entfernen.", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "label": "Cookies und Anbieter erklären", "action": "Cookie-/Storage-Liste, Anbieterzwecke, Empfänger, Drittlandtransfer und Widerruf verständlich veröffentlichen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "label": "PrivacyOps nachweisen", "action": "Betroffenenrechte, DPIA/TIA, Vendor-Prüfung, Monitoring und Exportpakete als laufenden Betreiberprozess verankern.", "guide_url": "/datenschutz-webseiten-report/" }, { "label": "Re-Scan gegen Zielschwelle", "action": "Nach jeder Korrektur erneut prüfen und Fortschritt gegen Median, Top-Quartil und Zielschwelle dokumentieren.", "guide_url": "/monitoring" } ], "program_maturity": { "status": "bewertet", "roadmap": [ { "id": "maturity_privacy_rights", "why": "Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "owner": "Support/Datenschutz", "title": "Betroffenenrechte / DSAR verbessern", "action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "horizon": "0-30 Tage", "priority": "hoch", "guide_url": "/guides/datenschutzerklaerung-verbessern", "target_score": 70 }, { "id": "maturity_privacy_risk_register", "why": "Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 3 hoch/kritisch, 0 sofort fällig, 3 binnen 7 Tagen und 15 binnen 30 Tagen.", "owner": "Programm-Owner/Datenschutz", "title": "Privacy Risk Register & Executive Dashboard verbessern", "action": "Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.", "horizon": "0-30 Tage", "priority": "hoch", "guide_url": "/methodik", "target_score": 70 }, { "id": "maturity_consent_governance", "why": "Consent-Score 30, Cookie-Retention-Risiken 0.", "owner": "Marketing/IT", "title": "Consent & Cookie Governance verbessern", "action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "horizon": "30-90 Tage", "priority": "hoch", "guide_url": "/guides/tracking-und-consent-reparieren", "target_score": 70 }, { "id": "maturity_dsar_workflow", "why": "DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "owner": "Datenschutz/Support/IT", "title": "DSAR Workflow Automation verbessern", "action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.", "horizon": "30-90 Tage", "priority": "hoch", "guide_url": "/guides/datenschutzerklaerung-verbessern", "target_score": 70 }, { "id": "maturity_notice_policy_lifecycle", "why": "Policy-/Notice-Lifecycle-Readiness 42/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.", "owner": "Datenschutz/Legal/Content", "title": "Policy & Notice Lifecycle verbessern", "action": "Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.", "horizon": "90-180 Tage", "priority": "hoch", "guide_url": "/guides/datenschutzerklaerung-verbessern", "target_score": 70 }, { "id": "maturity_ai_governance", "why": "AI-Governance-Readiness 43/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).", "owner": "Datenschutz/Product/Legal", "title": "AI Governance & Automated Decisioning verbessern", "action": "AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.", "horizon": "90-180 Tage", "priority": "hoch", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "target_score": 70 } ], "summary": "Privacy-Program-Maturity 58/100 (Etabliert mit Lücken); 9 Dimension(en) unter 50 Punkten und 4 kritische Lücke(n).", "available": true, "dimensions": [ { "id": "notices_transparency", "label": "Hinweise & Transparenz", "level": 5, "owner": "Datenschutz/Content", "score": 90, "action": "Datenschutzerklärung, Anbieterregister und beobachtete Technik regelmäßig abgleichen.", "status": "optimiert", "evidence": "Datenschutzhinweis vorhanden, Disclosure-Lücken 1.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "source_modules": [ "privacy_notice_draft", "privacy_disclosure_gap_analysis" ] }, { "id": "consent_governance", "label": "Consent & Cookie Governance", "level": 2, "owner": "Marketing/IT", "score": 30, "action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "status": "reaktiv", "evidence": "Consent-Score 30, Cookie-Retention-Risiken 0.", "guide_url": "/guides/tracking-und-consent-reparieren", "source_modules": [ "consent_audit", "cookie_inventory" ] }, { "id": "preference_center", "label": "Preference Center & Consent Ledger", "level": 3, "owner": "Marketing/IT/Compliance", "score": 60, "action": "Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.", "status": "etabliert", "evidence": "Preference-Center-Readiness 60/100; 5/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/tracking-und-consent-reparieren", "source_modules": [ "preference_center_readiness" ] }, { "id": "consent_mode_implementation", "label": "Google Consent Mode Implementation", "level": 2, "owner": "Marketing/IT/Datenschutz", "score": 44, "action": "Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben.", "status": "reaktiv", "evidence": "Consent-Mode-Implementierung 44/100; 2/6 Schritt(e) bereit, 4 offen. Google-Tags erkannt.", "guide_url": "/guides/google-dienste-datenschutzfreundlich-einbinden", "source_modules": [ "consent_mode_implementation_pack", "google_consent_analysis", "consent_audit" ] }, { "id": "regulatory_watch", "label": "Regulatory Watch & Rechtsänderungsmonitoring", "level": 3, "owner": "Datenschutz/Legal/Compliance", "score": 54, "action": "Offizielle DACH/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.", "status": "etabliert", "evidence": "Regulatory-Watch-Readiness 54/100; 9 Quellen, 5 offizielle Quelle(n), 9 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/datenschutz-webseiten-report/", "source_modules": [ "regulatory_watch_readiness", "regulatory_source_matrix" ] }, { "id": "regional_privacy_localization", "label": "DACH/EU Privacy Localization", "level": 3, "owner": "Datenschutz/Legal/Content", "score": 60, "action": "Zielmärkte, lokale Notices, lokalisierte DSAR-Formulare, Cookie-Regeln und Behördenbezüge je Rechtsraum betreiben.", "status": "etabliert", "evidence": "DACH/EU-Lokalisierung 60/100; 4 Rechtsraum-Variante(n), 4/6 Pflichtblock/Pflichtblöcke aktiv.", "guide_url": "/datenschutz-webseiten-report/", "source_modules": [ "regional_privacy_localization" ] }, { "id": "data_inventory_mapping", "label": "Dateninventar, RoPA & Data Map", "level": 4, "owner": "Datenschutz/IT", "score": 72, "action": "Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.", "status": "gesteuert", "evidence": "2 Verarbeitungstätigkeiten, 13 Knoten, 12 Kanten.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "processing_activity_record", "data_flow_map" ] }, { "id": "vendor_risk", "label": "Vendor Risk & Vertragsmanagement", "level": 2, "owner": "Legal/Vendor Owner", "score": 45, "action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "status": "reaktiv", "evidence": "0 Anbieter, 0 AVV-/DPA-Prüfungen, 0 Transferfragen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "source_modules": [ "vendor_due_diligence" ] }, { "id": "privacy_rights", "label": "Betroffenenrechte / DSAR", "level": 1, "owner": "Support/Datenschutz", "score": 12, "action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "status": "ad hoc", "evidence": "Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "source_modules": [ "privacy_rights_readiness" ] }, { "id": "dsar_workflow", "label": "DSAR Workflow Automation", "level": 2, "owner": "Datenschutz/Support/IT", "score": 38, "action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.", "status": "reaktiv", "evidence": "DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "source_modules": [ "dsar_workflow_readiness" ] }, { "id": "subject_rights_intake", "label": "Betroffenenrechte-Intake & Portal-Blueprint", "level": 3, "owner": "Datenschutz/Support/IT", "score": 60, "action": "Betroffenenrechte-Formular im Betreiber-System veröffentlichen, sicher routen und Nachweise je Anfrage dokumentieren.", "status": "etabliert", "evidence": "Betroffenenrechte-Intake-Paket: 60/100. Formular-Blueprint, Textbausteine, Routing, Nachweise und offene Betreiberentscheidungen sind aus dem Scan vorbereitet.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "source_modules": [ "subject_rights_intake_pack" ] }, { "id": "privacy_rights_portal_launch", "label": "Privacy Rights Portal Launch", "level": 3, "owner": "Datenschutz/Support/IT", "score": 52, "action": "DSAR-/Betroffenenrechte-Portal mit sicherem Intake, Statusweg, Preference-Link und Antwortzustellung im Betreiber-System veröffentlichen.", "status": "etabliert", "evidence": "Privacy-Rights-Portal-Launch 52/100; 5/9 Startkontrollen bereit, 4 offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "source_modules": [ "privacy_rights_portal_launch_pack", "subject_rights_intake_pack", "dsar_workflow_readiness" ] }, { "id": "public_privacy_center", "label": "Öffentliches Datenschutz-Center", "level": 4, "owner": "Datenschutz/Legal/Marketing/IT", "score": 72, "action": "Datenschutz-Center als endanwenderfreundlichen Hub veröffentlichen und mit SaferPage-Kurzreport, Methodik, Exports und letzter Prüfung verlinken.", "status": "gesteuert", "evidence": "Öffentliches Datenschutz-Center: 72/100. 6/8 Kernbereiche sind aus SaferPage-Nachweisen publizierbar, 2 müssen Betreiber noch ausbauen.", "guide_url": "/datenschutz-webseiten-report/", "source_modules": [ "public_privacy_center_blueprint", "privacy_rights_portal_launch_pack", "trust_documentation_library", "preference_center_readiness" ] }, { "id": "privacy_assessment_automation", "label": "Assessment Automation", "level": 3, "owner": "Datenschutz/Legal/Product", "score": 63, "action": "PIA/DPIA/TIA/Vendor/AI-Questionnaires mit Vorbefüllung, Freigabe, Evidence und Mitigation-Workflow betreiben.", "status": "etabliert", "evidence": "Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "privacy_assessment_automation" ] }, { "id": "privacy_risk_assessment_queue", "label": "Privacy Risk Assessment Queue", "level": 4, "owner": "Programm-Owner/Datenschutz/Legal", "score": 82, "action": "Assessment-Trigger, Owner, Fristen, Vorbefüllung, Sign-off und Evidence Links als laufende PrivacyOps-Queue betreiben.", "status": "gesteuert", "evidence": "Privacy-Risk-Assessment-Queue 82/100; 8 Assessment-Typen priorisiert, 1 mit hoher Priorität, 19 Fragen vorbefüllt.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "privacy_risk_assessment_queue", "privacy_assessment_automation", "privacy_risk_register", "dpia_screening" ] }, { "id": "vendor_questionnaire_response", "label": "Vendor-/Procurement Questionnaire Response", "level": 3, "owner": "Datenschutz/Procurement/Legal", "score": 57, "action": "Vendor-Fragebogenantworten, Nachweislisten, Risikoentscheidungen und Review-Workflow für Procurement und Audits betreiben.", "status": "etabliert", "evidence": "Vendor-/Procurement-Fragebogen 57/100; 1/10 Antwort(en) vorbefüllt, 3 offen oder Betreiber-Nachweis, Risikostufe niedrig.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "source_modules": [ "vendor_questionnaire_response_pack" ] }, { "id": "retention_deletion", "label": "Retention & Deletion Governance", "level": 3, "owner": "Datenschutz/Legal/IT", "score": 58, "action": "Speicherfristen, Löschtrigger, Backup-/Legal-Hold-Regeln, Vendor-Löschung und Löschprotokolle operationalisieren.", "status": "etabliert", "evidence": "Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "retention_deletion_readiness" ] }, { "id": "vendor_lifecycle_risk", "label": "Vendor Lifecycle & Third-Party Risk", "level": 2, "owner": "Datenschutz/Legal/Procurement", "score": 49, "action": "Vendor Discovery, Privacy Score, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.", "status": "reaktiv", "evidence": "Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "source_modules": [ "vendor_lifecycle_risk" ] }, { "id": "notice_policy_lifecycle", "label": "Policy & Notice Lifecycle", "level": 2, "owner": "Datenschutz/Legal/Content", "score": 42, "action": "Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.", "status": "reaktiv", "evidence": "Policy-/Notice-Lifecycle-Readiness 42/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "source_modules": [ "notice_policy_lifecycle" ] }, { "id": "data_discovery_classification", "label": "Data Discovery & Classification", "level": 3, "owner": "Datenschutz/IT/Data Owner", "score": 64, "action": "Datenklassen, Datenquellen, Field-/Signal-Klassifizierung, PII-Risiken, DSAR-Suchscope und interne Connectoren operationalisieren.", "status": "etabliert", "evidence": "Data-Discovery-/Classification-Readiness 64/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "data_discovery_classification" ] }, { "id": "scan_configuration_monitoring", "label": "Scan Configuration & Monitoring", "level": 4, "owner": "IT/Compliance", "score": 73, "action": "Crawl-Scope, Performance-Grenzen, wiederkehrende Scans, Betreiberfreigaben und Alert-Routing versioniert betreiben.", "status": "gesteuert", "evidence": "Scan-Configuration-/Monitoring-Readiness 73/100; 8/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.", "guide_url": "/methodik", "source_modules": [ "scan_configuration_readiness", "site_coverage_analysis", "monitoring_alert_digest" ] }, { "id": "privacy_risk_register", "label": "Privacy Risk Register & Executive Dashboard", "level": 1, "owner": "Programm-Owner/Datenschutz", "score": 29, "action": "Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.", "status": "ad hoc", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 3 hoch/kritisch, 0 sofort fällig, 3 binnen 7 Tagen und 15 binnen 30 Tagen.", "guide_url": "/methodik", "source_modules": [ "privacy_risk_register", "remediation_workflow", "operator_risk_analysis" ] }, { "id": "privacy_control_framework", "label": "Privacy Controls Framework", "level": 3, "owner": "Programm-Owner/Compliance", "score": 50, "action": "Kontrollkatalog mit Testfrequenz, Owner, Evidence, Abnahmekriterium und Betreiber-Nachweisen als Auditprozess betreiben.", "status": "etabliert", "evidence": "Privacy Controls Framework 50/100; 1/16 Kontrolle(n) wirksam, 9 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "source_modules": [ "privacy_control_framework" ] }, { "id": "trust_audit_response", "label": "Trust & Audit Response Center", "level": 3, "owner": "Sales/Legal/Compliance", "score": 56, "action": "Kunden-/Prüferantworten, Evidence Requests, Share Pack und Freigabeprozess für Audits und Procurement betreiben.", "status": "etabliert", "evidence": "Trust-/Audit-Response-Center 56/100; 2 antwortbereit, 2 teilweise, 6 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "source_modules": [ "trust_audit_response_center" ] }, { "id": "trust_documentation_library", "label": "Trust Documentation Library", "level": 3, "owner": "Legal/Compliance/Marketing", "score": 62, "action": "Öffentliche, sanitisierte und interne Nachweise mit Owner, Review-Kadenz, Freigabelevel, Exportlinks und Betreiber-Nachreichliste betreiben.", "status": "etabliert", "evidence": "Trust Documentation Library 62/100; 9/19 Dokument(e) veröffentlichbar oder exportierbar, 4 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "source_modules": [ "trust_documentation_library" ] }, { "id": "pia_dpia", "label": "PIA/DPIA & Privacy by Design", "level": 4, "owner": "Datenschutz/Product", "score": 80, "action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "status": "gesteuert", "evidence": "DPIA/DSFA-Screening: nicht_naheliegend, Risiko-Score 0/100, 0 ausgelöste Risikofaktor(en), 0 hoch.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "dpia_screening" ] }, { "id": "ai_governance", "label": "AI Governance & Automated Decisioning", "level": 2, "owner": "Datenschutz/Product/Legal", "score": 43, "action": "AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.", "status": "reaktiv", "evidence": "AI-Governance-Readiness 43/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "ai_governance_readiness" ] }, { "id": "trust_center", "label": "Trust Center & externe Nachweise", "level": 3, "owner": "Legal/Marketing", "score": 60, "action": "Trust-Center-Bausteine veröffentlichen und Nachweise versionieren.", "status": "etabliert", "evidence": "Trust-Center-Readiness: 60/100 Punkte. 15/25 Baustein(e) sind aus dem Scan heraus belegbar.", "guide_url": "/datenschutz-webseiten-report/", "source_modules": [ "trust_center_readiness" ] }, { "id": "security_accessibility", "label": "Security & Barrierefreiheit", "level": 3, "owner": "IT/Web", "score": 68, "action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "status": "etabliert", "evidence": "6 von 9 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 10 Direktive(n), 1 Warnung(en), 3 Hinweis(e).", "guide_url": "/guides/security-header-setzen", "source_modules": [ "security_header_analysis", "accessibility_analysis" ] }, { "id": "incident_breach_response", "label": "Incident & Breach Response", "level": 3, "owner": "DSB/Legal/IT", "score": 66, "action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "status": "etabliert", "evidence": "Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).", "guide_url": "/guides/security-header-setzen", "source_modules": [ "incident_breach_readiness" ] }, { "id": "monitoring_evidence", "label": "Monitoring, Audit-Belege & Change Management", "level": 5, "owner": "Compliance/IT", "score": 85, "action": "Wiederholungsscans, Hash-Belege und Alert-Routing als Regelprozess betreiben.", "status": "optimiert", "evidence": "Prüfbeleg vorhanden, Integritätsmanifest vorhanden, Alerts 0.", "guide_url": "/monitoring", "source_modules": [ "audit_receipt", "evidence_integrity_manifest", "monitoring_alert_digest" ] }, { "id": "remediation_workflow", "label": "Remediation & Programmsteuerung", "level": 4, "owner": "Programm-Owner", "score": 75, "action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.", "status": "gesteuert", "evidence": "Remediation Workflow mit 8 Ticket(s): 2 sofort starten, 6 einplanen, 0 im Backlog.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "source_modules": [ "remediation_workflow" ] }, { "id": "operator_guide_playbook", "label": "Betreiber-Guide-Playbook", "level": 4, "owner": "Programm-Owner/Datenschutz/IT", "score": 80, "action": "Guide-Playbooks je Befundgruppe abarbeiten, Evidence sichern und nach Umsetzung erneut scannen.", "status": "gesteuert", "evidence": "Guide-Playbook mit 9 priorisierten Betreiber-Guide(s); 6 sofort, 2 im Sprint, 0 einplanen.", "guide_url": "/guides", "source_modules": [ "operator_guide_playbook" ] } ], "disclaimer": "Automatisch abgeleitete Programmreife aus einem Website-Scan. Interne Prozesse, Ressourcen, Schulungen, Verträge und Systeme muss der Betreiber ergänzen.", "stage_label": "Etabliert mit Lücken", "benchmark_hint": "Score ist ein SaferPage-Reifegrad aus öffentlicher Website-Evidenz und Betreiber-Artefakten; er ersetzt kein internes Audit.", "maturity_level": 3, "maturity_score": 58, "board_questions": [ "Welche drei Datenschutz-Risiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?", "Welche Owner sind für Consent, Preference Center, Notice Lifecycle, Data Discovery, Scan Configuration, Risk Register, Control Framework, Trust/Audit Response, Trust Documentation Library, Regulatory Watch, RoPA/Data Map, Vendor Lifecycle, DSAR-Workflow, Assessment Automation, Retention/Deletion, DPIA und AI-Governance verbindlich benannt?", "Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?", "Wie wird sichergestellt, dass neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-/Automated-Decisioning-Use-Cases vor Go-live geprüft werden?" ], "dimension_count": 33, "source_artifacts": [ "consent_audit", "preference_center_readiness", "notice_policy_lifecycle", "data_discovery_classification", "scan_configuration_readiness", "privacy_risk_register", "privacy_control_framework", "trust_audit_response_center", "trust_documentation_library", "operator_guide_playbook", "regulatory_watch_readiness", "regional_privacy_localization", "privacy_notice_draft", "processing_activity_record", "data_flow_map", "vendor_due_diligence", "vendor_lifecycle_risk", "vendor_questionnaire_response_pack", "ai_governance_readiness", "incident_breach_readiness", "privacy_rights_readiness", "dsar_workflow_readiness", "subject_rights_intake_pack", "privacy_assessment_automation", "retention_deletion_readiness", "dpia_screening", "trust_center_readiness", "audit_receipt" ], "critical_gap_count": 4, "low_dimension_count": 9 }, "related_scores": { "consent_score": 30, "operator_risk_score": 100, "maturity_stage": "Etabliert mit Lücken" }, "links": { "benchmark": "https://saferpage.de/benchmark/kinder.wdr.de", "json": "https://saferpage.de/benchmark/kinder.wdr.de/export", "csv": "https://saferpage.de/benchmark/kinder.wdr.de/export-csv", "report": "https://saferpage.de/kinder.wdr.de", "privacy_center": "https://saferpage.de/datenschutz/kinder.wdr.de", "operator_board": "https://saferpage.de/betreiber/kinder.wdr.de", "operator_tickets": "https://saferpage.de/betreiber/kinder.wdr.de/tickets", "risk_governance": "https://saferpage.de/risiko/kinder.wdr.de/export", "trust_package": "https://saferpage.de/trust/kinder.wdr.de/export", "change_center": "https://saferpage.de/aenderungen/kinder.wdr.de", "monitoring": "https://saferpage.de/monitoring/domain/kinder.wdr.de", "guides": "https://saferpage.de/guides" }, "disclaimer": "Benchmark aus gespeicherten SaferPage-Checks. Vergleichswerte sind operative Orientierung, keine rechtliche Freigabe; Betreiber müssen Befunde fachlich prüfen und nach Re-Scan belegen." }