{ "schema": "https://saferpage.de/schemas/data-discovery-classification.v1", "generated_at": "2026-06-08T22:35:46+00:00", "domain": "deutsche-rentenversicherung.de", "available": true, "scan": { "id": "f20d8dec-883c-4a28-a06a-acd5e637ed3e", "checked_at": "2026-06-08 14:22:55.214077+02" }, "status": "discovery-ready", "summary": "Data-Discovery-/Classification-Readiness 85/100; 9/11 Kontrollpunkt(e) erfuellt, 2 Luecke(n) oder Betreiber-Nachweise offen.", "score": 85, "metrics": { "check_count": 11, "passed_count": 9, "gap_count": 2, "classification_count": 5, "source_count": 5, "classifier_rule_count": 5, "pii_finding_count": 0, "form_count": 1, "cookie_count": 3, "vendor_count": 0, "page_count": 16 }, "checks": [ { "id": "personal_data_inventory", "label": "Personenbezogene Datenarten inventarisiert", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 14, "evidence": "3 Datenart(en), Formulare 1, Dateneingabe ja.", "action": "Datenarten aus Formularen, Tracking, Cookies, Accounts, Support und Vendor-Fluessen zentral klassifizieren.", "owner": "Datenschutz/IT", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "field_level_classification", "label": "Feld-/Signal-Klassifizierung vorbereitet", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 12, "evidence": "Formulare 1, Cookies 3, Storage 0, Tracking-Storage-Hinweise 0.", "action": "Formularfelder, Cookie-/Storage-Schluessel, URL-Parameter und Request-Signale nach Datenklasse, Zweck und Risiko klassifizieren.", "owner": "Datenschutz/IT", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern" }, { "id": "sensitive_data_detection", "label": "Sensitive-/PII-Risiken priorisiert", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 12, "evidence": "0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.", "action": "E-Mail, Telefon, IDs, Gesundheits-/Finanz-/Kinder-/Profiling-Signale und URL-Leaks als sensitive Datenrisiken priorisieren.", "owner": "Security/Datenschutz", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden" }, { "id": "data_map_lineage", "label": "Data Map und Lineage ableitbar", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 14, "evidence": "18 Knoten, 17 Datenfluss-Kanten, hohe Risiken 0.", "action": "Quelle, Empfaenger, System, Vendor, Transfer, Speicherort und Loeschtrigger je Datenfluss pflegen.", "owner": "Datenschutz/IT", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "ropa_processing_link", "label": "RoPA/Verarbeitungstaetigkeiten verbunden", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 12, "evidence": "3 Verarbeitungstaetigkeit(en).", "action": "Klassifizierte Datenarten mit RoPA, Zweck, Rechtsgrundlage, Empfaenger, Speicherfrist und TOMs verbinden.", "owner": "Datenschutz/Legal", "guide_url": "https://saferpage.de/verarbeitungen/deutsche-rentenversicherung.de" }, { "id": "vendor_data_stores", "label": "Vendor-/Drittanbieter-Datenspeicher klassifiziert", "status": "offen", "passed": false, "manual_review": false, "weight": 10, "evidence": "0 Vendor-/Processor-Signal(e).", "action": "Vendor-Datenkategorien, Tracking-/Support-/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.", "owner": "Vendor Owner/Datenschutz", "guide_url": "https://saferpage.de/anbieter/deutsche-rentenversicherung.de/due-diligence" }, { "id": "dsar_search_scope", "label": "DSAR-Suchscope ableitbar", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 10, "evidence": "DSAR-Workflow-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "action": "Data Discovery als Suchmanifest fuer Auskunft, Loeschung, Widerspruch, Portabilitaet und Vendor-Tasking nutzen.", "owner": "Datenschutz/Support/IT", "guide_url": "https://saferpage.de/rechte/deutsche-rentenversicherung.de" }, { "id": "assessment_prefill", "label": "Assessments mit Discovery-Daten vorbefuellbar", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 9, "evidence": "Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "action": "PIA/DPIA/TIA/Vendor/AI-Fragen mit Datenklassen, Systemen, Empfaengern und Risiken automatisch vorbefuellen.", "owner": "Datenschutz/Product", "guide_url": "https://saferpage.de/assessment/deutsche-rentenversicherung.de" }, { "id": "retention_classification", "label": "Retention und Loeschung nach Datenklasse steuerbar", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 9, "evidence": "Retention-/Deletion-Readiness 83/100; 8/10 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "action": "Retention Schedule, Loeschtrigger, Legal Hold und Vendor-Loeschung je Datenklasse ableiten.", "owner": "Datenschutz/Legal/IT", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern" }, { "id": "evidence_export", "label": "Discovery Evidence exportierbar", "status": "vorhanden", "passed": true, "manual_review": false, "weight": 8, "evidence": "Pruefbeleg vorhanden, Root-Hash fd62ebc7ef16c2c7.", "action": "Klassifikationsentscheidungen, Quellen, Beispiele, Hash-Manifest und Exportpaket auditfaehig speichern.", "owner": "Compliance/IT", "guide_url": "https://saferpage.de/methodik" }, { "id": "internal_connectors", "label": "Interne Datenquellen/Konnektoren angebunden", "status": "Betreiber-Nachweis", "passed": false, "manual_review": true, "weight": 8, "evidence": "Aus oeffentlichem Website-Scan nicht beweisbar.", "action": "CRM, DWH, Support, Marketing, Payment, Cloud Storage, Logsysteme und Datenbanken als interne Connectoren anbinden.", "owner": "IT/Data Owner", "guide_url": "https://saferpage.de/datenschutz-webseiten-report/" } ], "classification_matrix": [ { "id": "contact_identifiers", "label": "Kontakt- und Identifikationsdaten", "risk_level": "mittel", "sources": "Formulare 1, PII-Funde 0", "examples": "Name, E-Mail, Telefon, Kundennummer, Account-ID", "owner": "Datenschutz/Fachbereich", "action": "Zweck, Rechtsgrundlage, Pflichtfelder und Speicherfrist je Formular klaeren." }, { "id": "online_identifiers", "label": "Online-Identifier und Trackingdaten", "risk_level": "hoch", "sources": "Cookies 3, Storage-Hinweise 0", "examples": "Cookie-ID, LocalStorage-Key, IP-/Device-/Analytics-Identifier", "owner": "Marketing/IT", "action": "Consent, Laufzeit, Anbieter, Widerruf und GPC technisch nachweisen." }, { "id": "transaction_support", "label": "Kommunikations-, Support- und Transaktionsdaten", "risk_level": "mittel", "sources": "Datenarten 3, Verarbeitungstaetigkeiten 3", "examples": "Kontaktanfrage, Newsletter, Supportfall, Bestellung, Logdaten", "owner": "Fachbereich/Datenschutz", "action": "Systeme und Suchparameter fuer DSAR/Loeschung festlegen." }, { "id": "sensitive_special", "label": "Sensible oder besonders schuetzenswerte Daten", "risk_level": "pruefen", "sources": "0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.", "examples": "Gesundheit, Finanzdaten, Minderjaehrige, Ausweis-/ID-Daten, Bewerbungsdaten", "owner": "Legal/Datenschutz", "action": "DSFA-Schwelle, Datenminimierung und besondere Schutzmassnahmen pruefen." }, { "id": "vendor_shared", "label": "Mit Anbietern geteilte Daten", "risk_level": "pruefen", "sources": "Vendor Count 0, Datenfluss-Kanten 17", "examples": "Tracking-, CRM-, Hosting-, CDN-, Support- und Zahlungsdaten", "owner": "Vendor Owner/Datenschutz", "action": "AVV/DPA, TIA, Subprozessoren und Anbieterregion je Datenklasse dokumentieren." } ], "discovery_sources": [ { "id": "website_forms", "source": "Website-Formulare und Eingabepunkte", "coverage": "vorhanden", "signals": "1 Formular(e), Datenschutzkontext ja.", "next_step": "Feldnamen, Pflichtfelder, Zweck und Speicherfrist je Formular erfassen." }, { "id": "browser_storage", "source": "Cookies, Storage und Browser-Requests", "coverage": "vorhanden", "signals": "Cookies 3, Storage 0, Tracking-Hinweise 0.", "next_step": "Identifier und Trackingzwecke gegen Consent/Notice klassifizieren." }, { "id": "page_crawl", "source": "Gecrawlte Seiten und Nutzerpfade", "coverage": "vorhanden", "signals": "16 Seitenhinweis(e), 4 abgerufen.", "next_step": "Formular-, Datenschutz-, Checkout- und Tracking-Seiten priorisiert wiederholen." }, { "id": "data_map", "source": "RoPA und Data Map", "coverage": "vorhanden", "signals": "3 Aktivitaeten, 18 Knoten, 17 Kanten.", "next_step": "Systeme, Empfaenger und Datenklassen je Verarbeitung verknuepfen." }, { "id": "vendors", "source": "Vendor Register und Drittanbieter-Matrix", "coverage": "aufbauen", "signals": "0 Vendor(s).", "next_step": "Vendor-Datenkategorien, Transfer und Subprozessoren klassifizieren." } ], "classifier_rules": [ { "id": "email_phone", "rule": "E-Mail, Telefon, Kontaktfelder", "classification": "Kontakt-/Identifikationsdaten", "risk_level": "mittel", "action": "Formularzweck, Rechtsgrundlage und Speicherfrist dokumentieren." }, { "id": "tracking_ids", "rule": "Cookie-/Storage-/Analytics-Identifier", "classification": "Online-Identifier/Tracking", "risk_level": "hoch", "action": "Consent, Zweck, Laufzeit, Anbieter und Widerruf pruefen." }, { "id": "url_pii", "rule": "PII in URL, Query oder Referrer", "classification": "Datenleck / sensitive Uebermittlung", "risk_level": "hoch", "action": "URL-Parameter entfernen, Referrer-Policy setzen und Tracking begrenzen." }, { "id": "vendor_transfer", "rule": "Drittanbieter- und Transferdaten", "classification": "Empfaenger-/Transferdaten", "risk_level": "hoch", "action": "DPA/TIA, Region, Subprozessoren und Datenklasse pruefen." }, { "id": "free_text", "rule": "Freitextfelder, Support- und Nachrichtentexte", "classification": "Unstrukturierte personenbezogene Daten", "risk_level": "mittel", "action": "Freitext minimieren, sichere Zustellung und Loeschfristen festlegen." } ], "evidence_requirements": [ { "id": "classification_matrix", "label": "Classification Matrix", "status": "vorbereitet", "expected_evidence": "Datenklasse, Quelle, Beispiel, Zweck, Risiko, Owner, Rechtsgrundlage.", "owner": "Datenschutz/IT" }, { "id": "sample_manifest", "label": "Sample-/Signal-Manifest", "status": "sanitisiert", "expected_evidence": "Feldnamen, Cookie-/Storage-Namen, Request-Hosts, keine vollstaendigen Werte.", "owner": "Security/Datenschutz" }, { "id": "search_scope", "label": "DSAR Search Scope", "status": "vorbereitet", "expected_evidence": "Systeme, Vendoren, Datenklassen, Suchparameter, negative Suchergebnisse.", "owner": "Datenschutz/IT" }, { "id": "connector_plan", "label": "Interner Connector-Plan", "status": "Betreiber-Nachweis", "expected_evidence": "CRM, DWH, Support, Marketing, Payment, Cloud Storage, Zugriffskonzept.", "owner": "IT/Data Owner" } ], "operator_tasks": [ "Vendor-Datenkategorien, Tracking-/Support-/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.", "CRM, DWH, Support, Marketing, Payment, Cloud Storage, Logsysteme und Datenbanken als interne Connectoren anbinden." ], "links": { "data_discovery": "https://saferpage.de/daten/deutsche-rentenversicherung.de", "json": "https://saferpage.de/daten/deutsche-rentenversicherung.de/export", "csv": "https://saferpage.de/daten/deutsche-rentenversicherung.de/export-csv", "markdown": "https://saferpage.de/daten/deutsche-rentenversicherung.de/matrix-md", "systems_json": "https://saferpage.de/daten/deutsche-rentenversicherung.de/systems-json", "systems_csv": "https://saferpage.de/daten/deutsche-rentenversicherung.de/systems-csv", "report": "https://saferpage.de/deutsche-rentenversicherung.de", "page_inventory": "https://saferpage.de/seiten/deutsche-rentenversicherung.de", "processing_record": "https://saferpage.de/verarbeitungen/deutsche-rentenversicherung.de", "dsar_workflow": "https://saferpage.de/rechte/deutsche-rentenversicherung.de", "dsfa_record": "https://saferpage.de/dsfa/deutsche-rentenversicherung.de", "vendor_due_diligence": "https://saferpage.de/anbieter/deutsche-rentenversicherung.de/due-diligence" }, "sources": [ { "title": "OneTrust Data Discovery", "url": "https://www.onetrust.com/news/onetrust-launches-data-discovery/", "note": "Orientierung fuer Discovery, Klassifizierung, DSAR und Governance-Integration." }, { "title": "BigID Data Discovery & Classification", "url": "https://bigid.com/discovery-classification/", "note": "Orientierung fuer Datenkatalog, Klassifizierung und policy-driven Controls." }, { "title": "Securiti Data Governance", "url": "https://securiti.ai/products/data-governance/", "note": "Orientierung fuer Data Discovery, Classification und Governance." } ], "disclaimer": "Automatisch aus oeffentlicher SaferPage-Evidenz abgeleitete Discovery- und Klassifizierungsmatrix. Echte Field-Level-Discovery in internen Datenbanken, SaaS-Systemen und Cloud Stores muss der Betreiber freigeben und anbinden." }