Live-Domain-Report
klausurgutachten.de Datenschutz-Check
Scan-ID: fd0457ad-ac89-4b77-9e7e-e23395e1ae0b · 2026-06-07 14:25:06.487583+02
Geprüfte Domain-Wurzel: https://klausurgutachten.de/
Kurz-URL: saferpage.de/klausurgutachten.de
24
Kritische Hinweise
Öffentlichen Link öffnen JSON exportieren
CSV exportieren
Excel-Tabellen
Nachweispaket ZIP
Methodik ansehen
Audit-Ausgabe
PDF-/Druckbericht für Betreiber und Prüfer
Dieser Bericht ist für die Browser-Funktion „Drucken“ beziehungsweise „Als PDF speichern“ optimiert. Rohdaten und auditfähige Nachweise bleiben zusätzlich über JSON, CSV, Excel-Tabellen und ein ZIP-Nachweispaket mit getrennten Cookie-, Drittanbieter-, Consent-, Request- und Aufgaben-Tabellen exportierbar.
Domainklausurgutachten.de
Score24
Scan-IDfd0457ad-ac89-4b77-9e7e-e23395e1ae0b
Erstellt2026-06-07 14:25:06.487583+02
Öffentlicher Linksaferpage.de/klausurgutachten.de ExportPDF/Druck, JSON, CSV, XLSX, ZIP-Nachweise
DNS erreichbarAdressen: 1
HTTPS-Zertifikat gültigTLS: TLSv1.3
HTTP-Status 200Endziel: https://berlin.klausurgutachten.de/
Nutzer im deutschsprachigen Raum
Nur mit Vorsicht nutzen
Mehrere deutliche Warnsignale sprechen dafür, vor Eingabe persönlicher Daten, Registrierung oder Zahlung genauer hinzusehen.
Keine sensiblen Daten eingeben, bis Impressum, Datenschutz und technische Warnungen plausibel geklärt sind.
Spricht dagegenKein Impressum-Link erkanntKeine klare Kontaktmöglichkeit erkanntWichtige Betreiberseiten nicht vollständig in der Linkstruktur gefundenContent-Security-Policy fehlt
Spricht dafürKeine sensible Eingabe erkanntWenig datenschutzrelevante BrowserkontakteNutzbarkeit wirkt solideTechnisches Vertrauenssignal
Was jetzt sinnvoll istBetreiber prüfenImpressum, vollständige Anschrift, Kontaktmöglichkeit und den Domainnamen mit dem Anbieter abgleichen.
Prüfprofil
Für welchen Betreiber-Kontext wurde priorisiert?
Prüfprofil Deutschland -> DACH: Allgemeine Website, Zielgruppe Gemischte Zielgruppe. 4 Schwerpunkt(e) für Betreiber priorisiert.
Das Profil priorisiert technische Prüfpunkte für Betreiber; es ersetzt keine rechtliche Einzelfallprüfung.
Website-Typ: Allgemeine Website · Betreiber: Deutschland · Zielregion: DACH
Schwerpunkte
DSGVO/TDDDGrelevant · hoch · Profil: Betreiber-/ZielregionBFSG/WCAGrelevant · hoch · Profil: Website-Typ und WCAG-SignaleDDG/Anbieterkennzeichnungrelevant · hoch · Profil: öffentliches WebangebotDrittanbieter und internationale Transfersrelevant · prüfen · Profil: AngebotskomplexitätSensible DatenKontext · hoch · Profil: Website-Typ/Zielgruppe
Prüfmodule
Welche Bereiche wurden geprüft?
Impressum, Kontakt & Datenschutzerklärung25
kritischImpressum: nein, Datenschutz: nein, Kontakt: nein.
Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.Betreiber-Guide öffnenDatenschutz, Cookies & Consent48
kritisch0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.Betreiber-Guide öffnenSeitenabdeckung & Crawl50
auffällig0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen.
Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.Betreiber-Guide öffnenSicherheit, TLS & Header70
auffällig2 Infrastruktur-Hinweis(e), Security-Header: 4/9 vorhanden, 5 fehlen, externe Skript-Hosts: 1.
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.Betreiber-Guide öffnenExterne Skripte & SRI88
prüfen3 externe Skript(e) von 1 Host(s), 3 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).
Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.Betreiber-Guide öffnenBarrierefreiheit & Usability92
unauffällig0 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.
Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.Betreiber-Guide öffnenBrowser-Nachweis100
unauffällig15 Request(s), 0 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 0, Fingerprinting-/Replay-Hinweise: 0.
Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.Betreiber-Guide öffnenConsent-Journey-Matrix100
unauffälligConsent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 0 im GPC-Aufruf.
Drittanbieter je Consent-Zustand prüfen; nach Ablehnen und bei GPC sollten keine neuen Trackingkontakte entstehen.Betreiber-Guide öffnenBetreiberbericht
Maßnahmenplan für Betreiber
Content-Security-Policy fehltKonkreter Fix · Priorität: mittel · BSI/Security-Header
Content-Security-Policy schrittweise einführen.
Aus dem Datenschutz-Webseiten-Report abgeleitet und nach Betreiber-Risiko priorisiert.Fehler behebenKein Impressum-Link erkanntKonkreter Fix · Priorität: mittel · DDG/Anbieterkennzeichnung
Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.
Aus dem Datenschutz-Webseiten-Report abgeleitet und nach Betreiber-Risiko priorisiert.Fehler behebenKeine klare Kontaktmöglichkeit erkanntKonkreter Fix · Priorität: mittel · DDG/Anbieterkennzeichnung
Klare Kontaktmöglichkeit ergänzen.
Aus dem Datenschutz-Webseiten-Report abgeleitet und nach Betreiber-Risiko priorisiert.Fehler behebenExterne Skripte ohne Subresource IntegrityKonkreter Fix · Priorität: mittel · Skript-Lieferkette
Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.
Aus dem Datenschutz-Webseiten-Report abgeleitet und nach Betreiber-Risiko priorisiert.Fehler behebenCross-Origin-Embedder-Policy fehltKonkreter Fix · Priorität: niedrig · BSI/Security-Header
Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.
Aus dem Datenschutz-Webseiten-Report abgeleitet und nach Betreiber-Risiko priorisiert.Fehler behebenArbeitsplan
Aufgaben für Website-Betreiber
8 Betreiber-Aufgabe(n): 0 sofort, 0 bis 7 Tage, 4 bis 30 Tage. Team-Routing: Content/UX 2, Developer/Ops 6
0sofort0bis 7 Tage4bis 30 Tage4Backlog
Team-Routing: Content/UX 2 · Developer/Ops 6
Externe Skripte ohne Subresource IntegritySkript-Lieferkette · Priorität mittel
Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.
- Verantwortlich
- Technik
- Team
- Developer/Ops
- Frist
- innerhalb von 30 Tagen
- Aufwand
- niedrig
- Score
- 61
- Phase
- 3 Monatsplan
- Status
- offen
Content-Security-Policy fehltBSI/Security-Header · Priorität mittel
Content-Security-Policy schrittweise einführen.
- Verantwortlich
- Technik
- Team
- Developer/Ops
- Frist
- innerhalb von 30 Tagen
- Aufwand
- mittel
- Score
- 53
- Phase
- 3 Monatsplan
- Status
- offen
Kein Impressum-Link erkanntDDG/Anbieterkennzeichnung · Priorität mittel
Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.
- Verantwortlich
- Recht/Content
- Team
- Content/UX
- Frist
- innerhalb von 30 Tagen
- Aufwand
- niedrig bis mittel
- Score
- 53
- Phase
- 3 Monatsplan
- Status
- offen
Keine klare Kontaktmöglichkeit erkanntDDG/Anbieterkennzeichnung · Priorität mittel
Klare Kontaktmöglichkeit ergänzen.
- Verantwortlich
- Recht/Content
- Team
- Content/UX
- Frist
- innerhalb von 30 Tagen
- Aufwand
- niedrig bis mittel
- Score
- 53
- Phase
- 3 Monatsplan
- Status
- offen
Cross-Origin-Embedder-Policy fehltBSI/Security-Header · Priorität niedrig
Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.
- Verantwortlich
- Technik
- Team
- Developer/Ops
- Frist
- Backlog
- Aufwand
- mittel
- Score
- 24
- Phase
- 4 Backlog
- Status
- offen
Cross-Origin-Opener-Policy fehltBSI/Security-Header · Priorität niedrig
Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.
- Verantwortlich
- Technik
- Team
- Developer/Ops
- Frist
- Backlog
- Aufwand
- mittel
- Score
- 24
- Phase
- 4 Backlog
- Status
- offen
Cross-Origin-Resource-Policy fehltBSI/Security-Header · Priorität niedrig
Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.
- Verantwortlich
- Technik
- Team
- Developer/Ops
- Frist
- Backlog
- Aufwand
- mittel
- Score
- 24
- Phase
- 4 Backlog
- Status
- offen
Permissions-Policy fehltBSI/Security-Header · Priorität niedrig
Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.
- Verantwortlich
- Technik
- Team
- Developer/Ops
- Frist
- Backlog
- Aufwand
- mittel
- Score
- 24
- Phase
- 4 Backlog
- Status
- offen
Workflow
Welche Tickets sollten Betreiber abarbeiten?
Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.
Nach jeder Umsetzung erneut scannen; bei hoher Priorität innerhalb von 7 Tagen.
Workflow-Tickets sind technische Betreiberhinweise und müssen fachlich/rechtlich freigegeben werden.
8Tickets4offen0sofort4einplanen
SP-001 · Externe Skripte ohne Subresource IntegritySkript-Lieferkette · Priorität mittel · SLA 30_tage
Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.
Abnahme: Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.- Status
- einplanen
- Owner
- Technik
- Team
- Developer/Ops
- Score
- 61
SP-002 · Content-Security-Policy fehltBSI/Security-Header · Priorität mittel · SLA 30_tage
Content-Security-Policy schrittweise einführen.
Abnahme: Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.- Status
- einplanen
- Owner
- Technik
- Team
- Developer/Ops
- Score
- 53
SP-003 · Kein Impressum-Link erkanntDDG/Anbieterkennzeichnung · Priorität mittel · SLA 30_tage
Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.
Abnahme: Drittanbieter ist dokumentiert, rechtlich bewertet und im Scan als erwarteter Dienst nachvollziehbar.- Status
- einplanen
- Owner
- Recht/Content
- Team
- Content/UX
- Score
- 53
SP-004 · Keine klare Kontaktmöglichkeit erkanntDDG/Anbieterkennzeichnung · Priorität mittel · SLA 30_tage
Klare Kontaktmöglichkeit ergänzen.
Abnahme: Drittanbieter ist dokumentiert, rechtlich bewertet und im Scan als erwarteter Dienst nachvollziehbar.- Status
- einplanen
- Owner
- Recht/Content
- Team
- Content/UX
- Score
- 53
SP-005 · Cross-Origin-Embedder-Policy fehltBSI/Security-Header · Priorität niedrig · SLA Backlog
Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.
Abnahme: Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.- Status
- backlog
- Owner
- Technik
- Team
- Developer/Ops
- Score
- 24
SP-006 · Cross-Origin-Opener-Policy fehltBSI/Security-Header · Priorität niedrig · SLA Backlog
Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.
Abnahme: Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.- Status
- backlog
- Owner
- Technik
- Team
- Developer/Ops
- Score
- 24
SP-007 · Cross-Origin-Resource-Policy fehltBSI/Security-Header · Priorität niedrig · SLA Backlog
Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.
Abnahme: Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.- Status
- backlog
- Owner
- Technik
- Team
- Developer/Ops
- Score
- 24
SP-008 · Permissions-Policy fehltBSI/Security-Header · Priorität niedrig · SLA Backlog
Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.
Abnahme: Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.- Status
- backlog
- Owner
- Technik
- Team
- Developer/Ops
- Score
- 24
Guide-Playbook
Welche Betreiber-Guides bündeln die nächsten Korrekturen?
Guide-Playbook mit 6 priorisierten Betreiber-Guide(s); 2 sofort, 3 im Sprint, 1 einplanen.
Das Guide-Playbook gruppiert technische SaferPage-Befunde nach Betreiber-Guides. Umsetzung und externe Aussagen müssen fachlich, rechtlich und technisch freigegeben werden.
6Guides32Signale2sofort3Sprint
Impressum Und Kontakt Sichtbar MachenBetreibertransparenz · sofort · Score 100 · 7 Signal(e)
Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.
Nachweis: Impressumsseite, Kontaktweg, Footer-Link, Änderungsdatum.Beispiele: Kein Impressum-Link erkannt · Keine klare Kontaktmöglichkeit erkannt · Kein Impressum-Link erkanntAbnahme: Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.- Owner
- Legal/Content
- Aufwand
- klein
- Findings
- 2
- Tickets
- 2
Datenschutz Webseiten PruefkatalogProgrammsteuerung · sofort · Score 88 · 3 Signal(e)
Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.
Nachweis: Prioritätenliste, Owner, Exportpaket, Re-Scan und Freigabe.Beispiele: Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden · Wenig interne Seiten auf der Startseite gefunden · Seitenabdeckung & CrawlAbnahme: Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.- Owner
- Programm-Owner/Datenschutz
- Aufwand
- hoch
- Findings
- 2
- Tickets
- 0
Externe Skripte Und Sri AbsichernBrowser Supply Chain · sprint · Score 84 · 4 Signal(e)
Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.
Nachweis: Skriptinventar, SRI-Hashes, CSP-Report-Only-Test.Beispiele: Externe Skripte ohne Subresource Integrity · Externe Skripte ohne Subresource Integrity · Externe Skripte ohne Subresource IntegrityAbnahme: Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.- Owner
- IT/Webentwicklung
- Aufwand
- mittel
- Findings
- 1
- Tickets
- 1
Security Header SetzenWeb Security · sprint · Score 78 · 16 Signal(e)
Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.
Nachweis: Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan.Beispiele: Content-Security-Policy fehlt · Cross-Origin-Embedder-Policy fehlt · Cross-Origin-Opener-Policy fehltAbnahme: Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.- Owner
- IT/Security
- Aufwand
- mittel
- Findings
- 5
- Tickets
- 5
Barrierefreiheit Cookie Banner FormulareUsability & BITV · sprint · Score 74 · 1 Signal(e)
Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.
Nachweis: Testprotokoll, Screenshots, bekannte Einschränkungen.Beispiele: Keine Überschriftenstruktur erkanntAbnahme: Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.- Owner
- UX/Content/IT
- Aufwand
- mittel
- Findings
- 1
- Tickets
- 0
Tracking Und Consent ReparierenConsent & Tracking · einplanen · Score 52 · 1 Signal(e)
Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.
Nachweis: Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration.Beispiele: Datenschutz, Cookies & ConsentAbnahme: Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert.- Owner
- Marketing/IT/Datenschutz
- Aufwand
- mittel
- Findings
- 0
- Tickets
- 0
Betroffenenrechte
Ist die Website für Datenschutzanfragen vorbereitet?
Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.
Aus öffentlichem Website-Scan abgeleitet. Das Modul ersetzt kein echtes DSAR-Portal und speichert keine Betroffenenanfragen.
12Score7Lücken0Formulare0Datenarten
Datenschutzerklärung erreichbarfehlt · Gewicht 16 · Keine gut erkennbare Datenschutzerklärung im Scan.Betroffenenrechte beschriebenfehlt · Gewicht 16 · Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.Kontaktkanal für Datenschutzanfragenfehlt · Gewicht 14 · Kein klarer Datenschutzkontakt, E-Mail- oder Telefonkontakt erkannt.Verantwortlicher/Anbieter erkennbarfehlt · Gewicht 10 · Impressum oder Anbieterkennzeichnung nicht klar erkannt.Formulare mit Datenschutzkontextvorhanden · Gewicht 12 · Dateneingabe ohne erhöhten Kontextbedarf oder mit Datenschutzhinweis.Datenarten und Systeme ableitbarfehlt · Gewicht 12 · 0 Datenart(en), 0 Anbieter/Processor im Report ableitbar.Datenschutzhinweis passt zur Technikfehlt · Gewicht 10 · 1 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.Sichere Antwort- und Identitätsprüfung definiertprüfen · Gewicht 10 · Aus öffentlichem Scan nicht sicher beweisbar.
Intake-Felder
Anfragetyperforderlich · Auskunft, Löschung, Berichtigung, Widerspruch, Einschränkung oder Portabilität auswählen.Antwortkanalerforderlich · Sicheren Rückkanal für Rückfragen und Antwort festlegen.Identitätsbezugsituativ · Nur notwendige Angaben wie Kundennummer, Nutzerkonto oder E-Mail-Adresse erheben.Umfangoptional · Betroffene Dienste, Newsletter, Konto, Formular oder Zeitraum eingrenzen.Identitätsprüfungsituativ · Bei Risiko zusätzliche Prüfung verlangen, aber keine unnötigen Ausweiskopien speichern.
Prozess
SchrittAnfrage über sicheren Kanal annehmen und Frist starten.SchrittIdentität risikobasiert prüfen und Anfrage klassifizieren.SchrittDatenquellen, Dienstleister und Fachsysteme aus dem Verzeichnis abfragen.SchrittAntwort, Löschung oder Berichtigung fachlich freigeben.SchrittSichere Antwort bereitstellen und Bearbeitung revisionsarm protokollieren.SchrittNach Website-Änderungen SaferPage erneut scannen und Datenschutzhinweise abgleichen.
DSAR Workflow
Kann der Betreiber Betroffenenanfragen fristgerecht und sicher bearbeiten?
DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.
Automatisch aus SaferPage-Website-Evidenz abgeleiteter DSAR-Workflow-Entwurf. Er ersetzt kein echtes Betroffenenrechte-Portal, keine Identitätsprüfung und keine rechtliche Einzelfallentscheidung.
38Score10Kontrollen6Lücken5Anfragearten
Öffentlicher Anfrageweg und Intake-Felderfehlt · Gewicht 12 · Support/Datenschutz
Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.
DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.Risikobasierte Identitätsprüfungprüfen · Gewicht 10 · Support/Legal
Aus öffentlichem Scan nicht beweisbar.
E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.Fristen und Eskalationen steuerbarfehlt · Gewicht 10 · Datenschutz/Programm-Owner
Regulatory-Watch 58/100, Rights-Lücken 7.
DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.Datenquellen aus RoPA/Data Map ableitbarvorhanden · Gewicht 14 · Datenschutz/IT
2 Verarbeitungstätigkeiten, 13 Data-Map-Knoten, 12 Kanten.
Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.Vendor-/Processor-Aufgaben ableitbarfehlt · Gewicht 10 · Vendor Owner/Legal
0 Anbieter, 0 AVV-/DPA-Prüfungen.
Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.Widerspruch/Opt-out mit Präferenzen verknüpftvorhanden · Gewicht 8 · Marketing/Datenschutz
Preference-Center-Readiness 60/100; 5/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.Redaction, Drittpersonen und Ausnahmen prüfbarprüfen · Gewicht 10 · Legal/Datenschutz
Aus öffentlichem Scan nicht beweisbar.
Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.Sichere Zustellung und Antwortpaketprüfen · Gewicht 10 · IT/Support
Aus öffentlichem Scan nicht beweisbar.
Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.Audit-Trail und Integritätsnachweisvorhanden · Gewicht 10 · Compliance/IT
Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.
Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.Workflow-Kennzahlen und Backlog steuerbarvorhanden · Gewicht 6 · Programm-Owner
Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.
Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.Anfragearten
Auskunft · 1 MonatDatenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen. Suchprotokoll, Export, Redaction-Log, Antwortnachweis.Löschung · 1 MonatLöschfähigkeit je System prüfen, Aufbewahrung/Legal Hold ausnehmen, Vendor-Aufgaben auslösen. Löschprotokoll, Sperrvermerk, Ausnahmenbegründung.Berichtigung · 1 MonatSystem-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen. Änderungsprotokoll und Bestätigung.Widerspruch / Opt-out · 1 MonatPreference Center, CRM, Tagging und Vendor-Systeme aktualisieren. Preference-Log, Suppression-List, Consent-State-Test.Datenübertragbarkeit · 1 MonatMaschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen. Exportdatei, Formatbeschreibung, Zustellnachweis.
Workflow
Tag 0-1 · IntakeSupport/Datenschutz · Anfrage klassifizieren, Frist starten, Eingangsbestätigung senden.Tag 1-7 · Identität & UmfangSupport/Legal · Identität risikobasiert prüfen, Umfang klären, missbräuchliche oder unklare Anfragen eskalieren.Tag 3-14 · Data DiscoveryIT/Fachbereiche/Vendor Owner · RoPA/Data Map/Vendor-Akten durchsuchen und System-Owner-Aufgaben starten.Tag 10-24 · Review & RedactionLegal/Datenschutz · Ausnahmen, Drittpersonendaten, Legal Hold und Antwortumfang prüfen.bis Tag 30 · Sichere AntwortDatenschutz/Support · Antwortpaket sicher zustellen, Ticket schließen und Kennzahlen aktualisieren.
Nachweise
Betreiber-Nachweis · Request-LogTicket-ID, Eingang, Frist, Anfragetyp, Identitätsstatus, Owner, Status, Abschluss.aus RoPA/Data Map ableitbar · SuchmanifestSysteme, Datenkategorien, Suchparameter, negative Suchergebnisse, Vendor-Antworten.Betreiber-Nachweis · AntwortpaketDeckblatt, Datenexport, Redaction-Log, Ausnahmenbegründung, Zustellnachweis.
Intake-Portal
Welche Formularfelder und Texte braucht ein Betroffenenrechte-Portal?
Betroffenenrechte-Intake-Paket: 60/100. Formular-Blueprint, Textbausteine, Routing, Nachweise und offene Betreiberentscheidungen sind aus dem Scan vorbereitet.
Blueprint für ein Betreiber-DSAR-/Betroffenenrechte-Portal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte.
60Score6Felder4Texte5Routing
Worum geht es? · erforderlichselect · Nur den passenden Betroffenenrechts-Typ auswählen; keine Freitextdaten nötig.Kontakt für Rückfragen · erforderlichemail · E-Mail-Adresse nur zur Bearbeitung dieser Anfrage verwenden.Woran erkennen wir Sie? · optionaltext · Nur notwendige Referenz wie Konto, Kundennummer oder Newsletter-Adresse abfragen.Welche Bereiche sollen geprüft werden? · optionalcheckboxes · Scope begrenzen, damit keine unnötigen Systeme durchsucht werden.Zusätzliche Angaben · optionaltextarea · Freitext klar als optional kennzeichnen und vor sensiblen Angaben warnen.Sicherer Antwortweg · erforderlichselect · Antwortpakete nicht unverschlüsselt als offene Datei versenden.
Routing
Tag 0-1 · IntakeSupport/Datenschutz · Anfrage erfassen, Typ wählen, Frist starten und Eingangsbestätigung senden.Tag 1-7 · IdentitätSupport/Legal · Identität risikobasiert prüfen; nur notwendige Zusatzangaben anfordern.Tag 3-14 · SucheIT/Fachbereich/Vendor Owner · Data Map, RoPA, Vendor-Akten und relevante Systeme durchsuchen.Tag 10-24 · PrüfungDatenschutz/Legal · Drittdaten, Ausnahmen, Aufbewahrungspflichten und Redaction prüfen.bis Tag 30 · AntwortDatenschutz/Support · Antwort sicher zustellen, Ticket schließen und Kennzahlen aktualisieren.
Textbausteine
Introtext für das Anfrageformularoberhalb des Formulars · Über dieses Formular können Sie Datenschutzrechte zu klausurgutachten.de geltend machen. Bitte geben Sie nur die Informationen an, die wir zur Zuordnung Ihrer Anfrage benötigen.Datensparsamkeits-Hinweisdirekt beim Freitextfeld · Bitte senden Sie keine besonderen Kategorien personenbezogener Daten, Ausweiskopien oder vertraulichen Inhalte, solange wir diese nicht ausdrücklich für die Identitätsprüfung anfordern.Eingangsbestätigungnach Formularversand · Wir haben Ihre Datenschutzanfrage erhalten, prüfen sie und melden uns bei Rückfragen zur Identität oder zum Umfang. Die gesetzliche Frist beginnt mit Eingang Ihrer Anfrage.Sichere Antwortvor Versand des Antwortpakets · Wenn Ihre Antwort personenbezogene Daten enthält, stellen wir sie über einen sicheren Kanal bereit oder klären vorab einen geeigneten Zustellweg.
Offene Entscheidungen
IT/DatenschutzWo werden echte Anfragen gespeichert? · Nicht in SaferPage speichern; internes Ticket-/DSAR-System mit Zugriffsbeschränkung nutzen.Legal/SupportWann ist zusätzliche Identitätsprüfung nötig? · Risikobasierte Kriterien definieren und keine unnötigen Ausweiskopien speichern.IT/SupportWelcher sichere Antwortkanal wird angeboten? · Portal oder verschlüsseltes Paket mit getrenntem Passwortkanal festlegen.
Assessment Automation
Kann der Betreiber PIA, DPIA, TIA, Vendor- und AI-Assessments vorbefüllen?
Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Automatisch aus SaferPage-Artefakten abgeleitete Assessment-Automation. Sie ersetzt kein internes PIA-/DPIA-/TIA-Verfahren, liefert aber Vorbefüllung, Evidence und offene Betreiber-Nachweise.
63Score5Vorlagen40Fragen19vorbefüllt
Assessment-Vorlagen für PIA/DPIA/TIA/Vendor/AIvorhanden · Gewicht 12 · Datenschutz/Legal
8 Watch-Pflicht(en), 9 DPIA-Risikofaktor(en), 5 AI-Kontrolle(n).
Standardvorlagen für PIA, DPIA/DSFA, TIA, Vendor Assessment und AI Risk Assessment versionieren.Automatische Vorbefüllung aus RoPA, Data Map und Anbieternfehlt · Gewicht 15 · Datenschutz/IT
2 Verarbeitungstätigkeit(en), 13 Datenknoten, 12 Datenflüsse, 0 Anbieter.
Assessment-Fragen aus Datenarten, Systemen, Empfängern, Cookies, Formularen und Vendor-Registern vorbefüllen.Risikoscoring und Schwellenentscheidungvorhanden · Gewicht 12 · Datenschutz/Product
DPIA/DSFA-Screening: nicht_naheliegend, Risiko-Score 0/100, 0 ausgelöste Risikofaktor(en), 0 hoch.
Schwellenentscheidung, Risikofaktoren, Schutzmaßnahmen und Negativentscheidung im Assessment speichern.Transfer Impact Assessment für Drittland-/Vendor-Risikenfehlt · Gewicht 10 · Legal/Vendor Owner
Transferfragen 0, hohe Vendor-Risiken 0.
Drittlandtransfer, SCC/TIA, Anbieterregion, Unterauftragsverarbeiter und Alternativen als Pflichtblock abfragen.Vendor-Assessment und AVV/DPA-Prüfungfehlt · Gewicht 10 · Legal/Vendor Owner
Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.
Anbieterakte mit Zweck, Rolle, AVV/DPA, TOMs, Transferstatus und Renewal-Frist führen.AI-/Automated-Decisioning-Assessmentvorhanden · Gewicht 9 · Datenschutz/Product/Legal
AI-Governance-Readiness 43/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).
AI-Use-Cases, Datenquellen, Entscheidungswirkung, Human Review, Transparenz und DPIA-Bezug im Assessment prüfen.Mitigation-Workflow mit Owner, SLA und Abnahmevorhanden · Gewicht 12 · Programm-Owner
Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.
Assessment-Lücken automatisch in Tickets mit Owner, SLA, Abnahmekriterium und Wiederholungsscan überführen.Evidence Library und Exportnachweisevorhanden · Gewicht 10 · Compliance/IT
Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.
Assessment-Antworten mit Screenshot, Request-/Cookie-Evidenz, Hash-Manifest und Exportpaket verknüpfen.Freigabe, Sign-off und Eskalationprüfen · Gewicht 7 · Programm-Owner
Aus öffentlichem Scan nicht beweisbar.
Freigabe-Routen für Datenschutz, Legal, Security, Vendor Owner und Produktverantwortliche definieren.Change Trigger für neue Anbieter, Cookies, Formulare und Rechtsänderungenvorhanden · Gewicht 8 · Datenschutz/IT
Alerts 0, Regulatory-Pflichten 8.
Neue Cookies, Anbieter, Formulare, AI-Signale und Rechtsänderungen automatisch als Assessment-Trigger nutzen.Vorlagen
Privacy Impact Assessment5/8 vorbefüllt · Datenschutz/Product · Neue Verarbeitung, Formular, Tracking- oder DatenflussänderungDPIA/DSFA Threshold Assessment6/9 vorbefüllt · Datenschutz/Legal · Hohes Risiko, Profiling, sensible Daten, umfangreiches Tracking oder Drittanbieter-KettenTransfer Impact Assessment2/7 vorbefüllt · Legal/Vendor Owner · Drittlandtransfer oder unklare AnbieterregionVendor Privacy Assessment1/8 vorbefüllt · Legal/Vendor Owner · Neuer Dienstleister, neue Subprozessoren oder AVV/DPA-RenewalAI Risk Assessment5/8 vorbefüllt · Datenschutz/Product/Legal · Chatbot, Profiling, Scoring, generative AI oder automatisierte Entscheidung
Auto-Fragen
vorbefüllt · piaSind Zweck, Datenkategorien, Pflichtfelder und Datenminimierung je Verarbeitung dokumentiert? 2 Verarbeitungstätigkeit(en), Formular-Kontext nein.vorbefüllt · dpia_thresholdLösen Tracking, Profiling, sensible Daten, Drittanbieter oder PII-Leaks eine DSFA-Schwelle aus? DPIA/DSFA-Screening: nicht_naheliegend, Risiko-Score 0/100, 0 ausgelöste Risikofaktor(en), 0 hoch.offen · tiaWelche Empfänger liegen außerhalb EU/EWR oder haben unklare Transfergrundlagen? Transferfragen 0, hohe Vendor-Risiken 0.offen · vendorSind AVV/DPA, TOMs, Unterauftragsverarbeiter, Zweck und Renewal-Frist je Anbieter dokumentiert? Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.vorbefüllt · aiGibt es AI-/Profiling-Use-Cases mit Transparenz, Rechtsgrundlage, Human Review und Widerspruchsweg? AI-Governance-Readiness 43/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).vorbefüllt · piaWelche Maßnahmen, Owner und Abnahmekriterien schließen offene Risiken? Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.
Nachweise
aufbauen · Assessment RecordVorlage, Version, Owner, Risikostufe, Entscheidung, Freigaben.vorhanden · VorbefüllungsquellenRoPA, Data Map, Vendor Register, Cookie-/Request-Evidenz, Legal Basis Matrix.vorhanden · Maßnahmen- und AbnahmelogTickets, SLA, Owner, Abnahmekriterium, Wiederholungsscan.Betreiber-Nachweis · Sign-off und NegativentscheidungFreigabe durch Datenschutz/Legal/Security, Begründung bei Nicht-DSFA, Review-Datum.
Vendor Questionnaire
Welche Procurement- und Vendor-Fragen sind vorbefüllt?
Vendor-/Procurement-Fragebogen 58/100; 2/10 Antwort(en) vorbefüllt, 3 offen oder Betreiber-Nachweis, Risikostufe niedrig.
Automatisch vorbefülltes Procurement-/Vendor-Questionnaire aus SaferPage-Evidenz. Vertragsfreigabe, vollständige TOMs, Zertifikate und echte Anbieterantworten müssen Betreiber/Vendor Owner ergänzen.
58Score10Fragen2vorbefüllt3offen
Welche Drittanbieter, Subprozessoren und Empfänger wurden erkannt?offen · Score 45 · Risiko mittel
Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.
Nachweis: Sanitisierte Anbieter-/Subprozessorenliste mit Zweck, Rolle, Host, Region und Owner.Sind AVV/DPA, TOMs und vertragliche Datenschutzanlagen je Anbieter verfügbar?Betreiber-Nachweis · Score 35 · Risiko hoch
0 AVV-/DPA-Prüfung(en) aus Scan-Signalen abgeleitet.
Nachweis: AVV/DPA, TOM-Anlage, Subprozessorenliste, Renewal-Frist und Vertragsowner.Gibt es Drittlandtransfer, SCC/TIA oder unklare Anbieterregionen?vorbefüllt · Score 85 · Risiko mittel
0 Transfer-/Jurisdiktionsfrage(n), 0 hohe Vendor-Risiken.
Nachweis: Transferbewertung, SCC/TIA, Anbieterregion, EU-Alternative und Notice-Text.Ist ein risikobasiertes Vendor-/Privacy-Assessment vorbereitet?prüfen · Score 63 · Risiko mittel
Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Nachweis: Assessment-Vorlage, Antworten, Risikoentscheidung, Freigabe und Mitigation-Tickets.Wie werden Onboarding, Monitoring, Änderungen und Offboarding gesteuert?offen · Score 49 · Risiko mittel
Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.
Nachweis: Lifecycle-Status, Monitoring-Trigger, Review-Kadenz, Offboarding-Nachweis.Welche technischen und organisatorischen Kontrollen sind prüfbar?prüfen · Score 50 · Risiko mittel
Privacy Controls Framework 50/100; 1/9 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.
Nachweis: Kontrolltest, TOM-Abgleich, Abweichungen, Re-Test und Freigabe.Welche Incident- und Breach-Meldepflichten gelten für den Anbieter?prüfen · Score 66 · Risiko hoch
Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).
Nachweis: Incident-Kontakt, Meldefristen, Eskalationsweg, Vertragsklausel und Testlauf.Wie werden Löschung, Rückgabe, Sperrung und Aufbewahrung beim Anbieter gesteuert?prüfen · Score 58 · Risiko mittel
Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Nachweis: Retention Schedule, Löschprotokoll, Backup-/Legal-Hold-Regeln und Vendor-Bestätigung.Sind lokale DACH/EU-Notices, Fristen und Behördenbezüge berücksichtigt?vorbefüllt · Score 75 · Risiko mittel
DACH/EU-Lokalisierung 75/100; 4 Rechtsraum-Variante(n), 4/6 Pflichtblock/Pflichtblöcke aktiv.
Nachweis: Regionale Notice- und DSAR-Varianten, lokale Behörde, Sprache und Freigabe.Welche Nachweise können gegenüber Procurement oder Prüfern geteilt werden?prüfen · Score 58 · Risiko mittel
Trust-/Audit-Response-Center 58/100; 2 antwortbereit, 1 teilweise, 5 offen oder Betreiber-Nachweis.
Nachweis: Sanitisiertes ZIP/XLSX, Prüfbeleg, Hash-Manifest, Share-Pack-Freigabe.Review-Workflow
Tag 0-2 · ScopeProcurement/Datenschutz · Anbieter, Dienst, Datenarten, Region und Business Owner bestätigen.Tag 1-3 · Auto-VorbefüllungSaferPage/Compliance · Fragebogen mit Scan-, Vendor-, Transfer-, Risk- und Evidence-Signalen vorbefüllen.Tag 3-14 · Nachweise einholenVendor Owner/Legal · AVV/DPA, TOMs, Transfer, Incident, Löschung und Subprozessoren als Betreiber-Nachweise anfordern.Tag 10-21 · RisikoentscheidungDatenschutz/Procurement · Restrisiko, Mitigation, Vertragsauflagen und Review-Kadenz entscheiden.
Evidence Requests
Betreiber-Nachweis · AVV/DPA und TOMsSignierter AVV/DPA, TOM-Anlage, Subprozessorenliste, Transferklauseln. Legal/Vendor OwnerBetreiber-Nachweis · Security-/Compliance-NachweiseSOC 2/ISO oder gleichwertige Nachweise, Pentest-/Security Summary, Incident-Kontakt. IT/Securityvorbereiten · Privacy Assessment RecordFragebogenantworten, DPIA/TIA-Entscheidung, Datenarten, Betroffene, Retention und Löschung. Datenschutz
Offene Nachweise
NachweisSanitisierte Anbieter-/Subprozessorenliste mit Zweck, Rolle, Host, Region und Owner.NachweisAVV/DPA, TOM-Anlage, Subprozessorenliste, Renewal-Frist und Vertragsowner.NachweisLifecycle-Status, Monitoring-Trigger, Review-Kadenz, Offboarding-Nachweis.
Retention & Deletion
Sind Speicherfristen, Löschtrigger und Lösch-Nachweise steuerbar?
Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Automatisch aus öffentlicher Website-Evidenz und SaferPage-Artefakten abgeleitete Retention-/Deletion-Readiness. Interne Systeme, Backups, gesetzliche Aufbewahrung und tatsächliche Löschläufe muss der Betreiber fachlich ergänzen.
58Score10Kontrollen2Retention-Risiken4Löschschritte
Speicherfristen und Löschung im Datenschutzhinweisvorhanden · Gewicht 12 · Datenschutz/Content
Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).
Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.Cookie-/Storage-Laufzeiten bewertetvorhanden · Gewicht 12 · Marketing/IT
Cookies 2, fehlende Laufzeit 0, Retention-Risiken 0, langlebige Hinweise 2.
Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.Dateninventar mit Datenarten und Systemenfehlt · Gewicht 14 · Datenschutz/IT
2 Verarbeitungstätigkeit(en), 13 Data-Map-Knoten, 0 Datenart(en).
Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA/Data Map ergänzen.Rechtsgrundlage, Zweck und Aufbewahrung verknüpftvorhanden · Gewicht 10 · Datenschutz/Legal
3 Rechtsgrundlagenzeile(n) im Report.
Retention je Zweck/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.Löschanfragen mit DSAR-Workflow verbundenfehlt · Gewicht 12 · Datenschutz/Support/IT
DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.
Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.Vendor-/Processor-Löschung und Rückgabe steuerbarfehlt · Gewicht 10 · Legal/Vendor Owner
Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.
AVV/DPA, Rückgabe/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.Backups, Legal Hold und Ausnahmen geregeltprüfen · Gewicht 8 · Legal/IT
Aus öffentlichem Scan nicht beweisbar.
Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.Datenminimierung und Löschtrigger bei Formularenvorhanden · Gewicht 8 · Fachbereich/Datenschutz
Formulare 0, Datenschutzkontext nein.
Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-/Support-Weitergabe prüfen.Löschprotokoll und Integritätsnachweisvorhanden · Gewicht 10 · Compliance/IT
Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.
Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-/Audit-Nachweis protokollieren.Change Trigger für Retention-Risikenvorhanden · Gewicht 8 · Datenschutz/IT
Alerts 0, Regulatory-Pflichten 8.
Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.Retention Schedule
Cookies, LocalStorage und SessionStorageSession bis 13 Monate je Zweck prüfen · Ablauf, Widerruf, Zweckende, technische BereinigungKontakt-, Newsletter- und FormularangabenZweckende plus notwendige Nachweis-/Verjährungsfrist · Anfrage erledigt, Abmeldung, Zweckende, LöschanfrageDrittanbieter-, Tracking- und SupportdatenNach Anbieterzweck, AVV/DPA und Transferprüfung · Vendor-Offboarding, Zweckende, DSAR-Löschung, VertragsendeSecurity-, Consent- und Audit-NachweiseNachweispflicht und Sicherheitsbedarf fachlich festlegen · Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt
Löschworkflow
Tag 0-3 · IdentifizierenDatenschutz/Support · Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.Tag 3-7 · Legal Hold & AufbewahrungLegal/Fachbereich · Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.Tag 7-21 · Löschung / SperrungIT/Vendor Owner · System- und Vendor-Aufgaben ausführen, Backups/Archive nach Retention-Regel behandeln.bis Tag 30 · Nachweis & AntwortDatenschutz/Compliance · Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.
Nachweise
vorbereitet · Retention MatrixDatenkategorie, Zweck, Rechtsgrundlage, Speicherfrist, Löschtrigger, Owner.Betreiber-Nachweis · Deletion LogTicket, Suchlauf, Lösch-/Sperraktion, Ausnahmen, Vendor-Antworten, Abschluss.nicht einschlägig · Vendor-LöschbestätigungAVV/DPA-Klausel, Löschbestätigung, Subprozessor-Rückmeldung, Backup-Frist.Betreiber-Nachweis · Backup-/Archiv-RegelBackup-Retention, Restore-Sperre, Legal Hold, endgültige Löschung nach Fristablauf.
Vendor Lifecycle
Werden Drittanbieter über Discovery, Score, Vertrag, Monitoring und Offboarding gesteuert?
Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.
Automatisch aus Website-, Browser- und SaferPage-Artefakten abgeleitete Vendor-Lifecycle-Readiness. Externe Vendor Scores, Vertragsakten, Subprozessorlisten und echte Procurement-Freigaben muss der Betreiber ergänzen.
49Score0Anbieter0hohes Risiko5Lifecycle
Automatische Vendor Discovery aus Tags, Cookies und Datenflüssenfehlt · Gewicht 14 · Datenschutz/IT
0 Anbieterregister-Eintrag/Einträge, 0 Drittanbieter-Domain(s), 15 Browser-Request(s).
Tags, Cookies, Requests, Formulare und Data-Map-Empfänger automatisch in ein zentrales Vendor Register übernehmen.Privacy-spezifisches Vendor Scoringfehlt · Gewicht 12 · Datenschutz/Vendor Owner
Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.
Vendor-Score aus Zweck, Datenkategorien, Tracking, Transfer, DPA/AVV, Incident-Relevanz und Retention-Risiken bilden.AVV/DPA und Vertragsstatus steuerbarfehlt · Gewicht 12 · Legal/Vendor Owner
0 AVV-/DPA-Prüfung(en), 0 Anbieter.
AVV/DPA, TOMs, Subprozessor-Klauseln, Audit-/Informationsrechte und Renewal-Fristen je Anbieter pflegen.Transfer- und Subprozessor-Risiken überwachtfehlt · Gewicht 12 · Legal/Datenschutz
Transferfragen 0, hohe Risiken 0, unbekannte Transfers 0.
Drittlandtransfer, SCC/TIA, Anbieterregion, Subprozessoren und Transferänderungen als Review-Trigger führen.Vendor-Assessment mit Vorlagen und Vorbefüllungvorhanden · Gewicht 10 · Datenschutz/Procurement
Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Vendor-Fragebogen mit Auto-Antworten aus Cookie-/Request-/Data-Map-/DPA-Evidenz, Risikoentscheid und Maßnahmen führen.Kontinuierliches Vendor Monitoringvorhanden · Gewicht 10 · Datenschutz/Compliance
Alerts 0, Regulatory-Pflichten 8.
Policy-Änderungen, neue Tags, neue Subprozessoren, Breaches, Lawsuits und Rechtsänderungen als Vendor-Alerts routen.Vendor-Incident und Breach Response verbundenvorhanden · Gewicht 9 · Legal/IT/Security
Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).
Vendor-Breach-Szenarien, 72h-Meldeprüfung, Beweissicherung und Betroffenenkommunikation mit Anbieterakten verbinden.Offboarding, Rückgabe und Löschung dokumentiertvorhanden · Gewicht 9 · Vendor Owner/Legal
Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Vendor-Offboarding, Datenrückgabe, Löschbestätigung, Backup-Fristen und Subprozessor-Löschung nachhalten.Owner, Procurement und Fachbereich abgestimmtvorhanden · Gewicht 8 · Programm-Owner
Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.
Procurement, Fachbereich, IT, Datenschutz, Legal und Vendor Owner mit SLA, Entscheidung und Eskalation im Workflow verbinden.Vendor Evidence Repositoryvorhanden · Gewicht 8 · Compliance/IT
Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.
DPA, TOMs, TIA, Assessment, Cookie-/Request-Evidenz, Löschbestätigung und Incident-Nachweise versioniert exportieren.Vendor Scores
Lifecycle
laufend · DiscoveryIT/Datenschutz · Neue Drittanbieter aus Cookies, Requests, Scripts, Data Map und Formularen ins Register übernehmen.0-7 Tage · Klassifizieren & ScorenDatenschutz/Vendor Owner · Zweck, Datenkategorien, Rolle, Risiko, Transfer und Consent-Erfordernis bewerten.7-21 Tage · Assessment & VertragLegal/Procurement · Vendor Assessment, AVV/DPA, TOMs, TIA/SCC, Subprozessoren und Freigabe prüfen.monatlich/bei Änderung · MonitoringCompliance · Policy-, Subprozessor-, Breach-, Tag- und Rechtsänderungen überwachen und Tickets erzeugen.Vertragsende/Zweckende · OffboardingVendor Owner/IT · Zugriffe entfernen, Datenrückgabe/Löschung bestätigen, Backups und Subprozessoren nachhalten.
Nachweise
aufbauen · Vendor-AkteZweck, Rolle, Datenarten, Systeme, Owner, Risiko, Freigabe, Review-Datum.aufbauen · DPA/AVV/TOM/TIA-PaketAVV/DPA, TOMs, SCC/TIA, Subprozessoren, Audit-/Informationsrechte.aufbauen · Vendor-Monitoring-LogPolicy-Änderung, Breach, Lawsuit, neuer Subprozessor, neue Tags, Review-Entscheidung.Betreiber-Nachweis · Offboarding-/LöschbestätigungDatenrückgabe, Löschung, Backup-Frist, Access-Entzug, Subprozessor-Bestätigung.
Notice Lifecycle
Bleibt die Datenschutzerklärung synchron mit Technik, Cookies, Anbietern und Rechtsänderungen?
Policy-/Notice-Lifecycle-Readiness 42/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.
Automatisch aus SaferPage-Artefakten abgeleiteter Policy-/Notice-Lifecycle. Er ersetzt keine rechtliche Freigabe, kein vollständiges Redaktionssystem und keine regionalspezifische Rechtsberatung.
42Score4Versionen4Abschnitte1Disclosure-Lücken
Datenschutzhinweis als verwaltetes Artefaktvorhanden · Gewicht 12 · Datenschutz/Content
Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).
Datenschutzhinweis als versioniertes Artefakt mit Owner, Gültigkeit, Sprache, Markt und Veröffentlichungsort pflegen.Aktive Version und Historie nachvollziehbarvorhanden · Gewicht 12 · Compliance/IT
Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.
Aktive Notice-Version, Vorversionen, Änderungsgrund, Freigabe und Hash-/Exportnachweis versionieren.Notice passt zu Cookies, Skripten und Drittanbieternfehlt · Gewicht 14 · Datenschutz/Marketing/IT
Disclosure-Abgleich: 1 beobachtete Anbieter, 1 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.
Beobachtete Cookies, Anbieter, Zwecke, Datenarten und Transfers regelmäßig mit der Notice synchronisieren.Cookie- und Vendor-Abschnitte publizierbarfehlt · Gewicht 12 · Datenschutz/Content
2 Cookie-/Storage-Zeile(n), 0 Anbieter/Processor.
Cookie-Liste, Anbieterregister, Empfänger, Zweck, Laufzeit, Rechtsgrundlage und Transferhinweis in Notice/TrustHub übernehmen.Rechtsgrundlagen und Zwecke je Abschnitt verknüpftfehlt · Gewicht 12 · Datenschutz/Legal
3 Rechtsgrundlagenzeile(n), 0 Datenart(en).
Notice-Abschnitte mit Zweck, Rechtsgrundlage, Datenkategorie, Empfänger, Speicherfrist und Betroffenenrechten mappen.Regulatory-Update-Trigger für Notice-Änderungenvorhanden · Gewicht 10 · Datenschutz/Legal
Regulatory-Watch-Readiness 58/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.
EDPB/DSK/BfDI/Landesbehörden, TTDSG/TDDDG, BFSG und relevante Gesetze als Notice-Update-Trigger pflegen.Website-Änderungen lösen Notice-Review ausfehlt · Gewicht 10 · Datenschutz/IT
Alerts 0, Change-Signale 0.
Neue Tags, Cookies, Anbieter, Formulare, AI-/Profiling-Signale und Unterseiten als Notice-Review routen.Freigabe-Workflow für Legal, Datenschutz und Contentvorhanden · Gewicht 10 · Datenschutz/Legal/Content
Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.
Draft, Review, Legal-Freigabe, Veröffentlichung und Nachkontrolle als Workflow mit SLA und Abnahmekriterium führen.Lesbarkeit und Endnutzer-Verständlichkeitfehlt · Gewicht 8 · Content/Datenschutz
Privacy-Audit-Score n/a, Qualitätsflags 0.
Notice in verständlicher Sprache, klaren Abschnitten, Kontaktweg, Rechte-Erklärung und kurzem Summary prüfen.Mehrsprachigkeit und Markt-/Region-Abdeckungprüfen · Gewicht 6 · Datenschutz/Legal
Aus öffentlichem Scan nicht beweisbar.
DE/EU/UK/US-Marktabdeckung, Sprachvarianten, lokale Pflichtabschnitte und regionale Notice-Versionen pflegen.Versionen
vorbereitet · Aktive Notice-VersionEntwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).prüfen · Cookie-/Vendor-UpdateCookies 2, Anbieter 0, Disclosure-Lücken 1.monitoring · Regulatory Update8 Watch-Pflicht(en).ruhig · Website Change ReviewAlerts 0, Change-Signale 0.
Abschnitte
prüfen · Verantwortlicher und KontaktName, Anschrift, Kontakt, DSB/Datenschutzkontakt, Beschwerderecht.vorbereitet · Zwecke und RechtsgrundlagenZweck, Rechtsgrundlage, Datenkategorie, Pflichtfeldstatus, Speicherfrist.aufbauen · Cookies, Anbieter und EmpfängerCookie/Anbieter, Zweck, Laufzeit, Empfänger, Transfer, Consent-Erfordernis.prüfen · Betroffenenrechte und LöschungAuskunft, Löschung, Widerspruch, Widerruf, Speicherfristen, Kontaktweg.
Publikation
vorbereitet · Owner, Version, Gültigkeit und Änderungsgrund setzenDatenschutz/Content · Audit Receipt / Hash-Manifest.offen · Cookies, Anbieter, Datenarten und Rechtsgrundlagen synchronisierenDatenschutz/IT · Disclosure-Lücken 1.Betreiber-Nachweis · Legal-/DSB-Freigabe dokumentierenLegal/DSB · Freigabeprotokoll, offene Ausnahmen, Review-Datum.prüfen · Veröffentlichung und Linkprüfung nachweisenContent/IT · Öffentliche URL, Footer-Link, Sitemap, Wiederholungsscan.
Data Discovery
Welche personenbezogenen Datenklassen, Quellen und Risiken sind auffindbar?
Data-Discovery-/Classification-Readiness 64/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Automatisch aus Website-, Browser- und SaferPage-Artefakten abgeleitete Discovery-/Classification-Readiness. Echte Field-Level-Discovery in internen Datenbanken und SaaS-Systemen erfordert Betreiber-Konnektoren und Berechtigungen.
64Score5Datenklassen4Quellen0PII-Funde
Personenbezogene Datenarten inventarisiertfehlt · Gewicht 14 · Datenschutz/IT
0 Datenart(en), Formulare 0, Dateneingabe nein.
Datenarten aus Formularen, Tracking, Cookies, Accounts, Support und Vendor-Flüssen zentral klassifizieren.Feld-/Signal-Klassifizierung vorbereitetvorhanden · Gewicht 12 · Datenschutz/IT
Formulare 0, Cookies 2, Storage 0, Tracking-Storage-Hinweise 0.
Formularfelder, Cookie-/Storage-Schlüssel, URL-Parameter und Request-Signale nach Datenklasse, Zweck und Risiko klassifizieren.Sensitive-/PII-Risiken erkannt und priorisiertvorhanden · Gewicht 12 · Security/Datenschutz
0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.
E-Mail, Telefon, IDs, Gesundheits-/Finanz-/Kinder-/Profiling-Signale und URL-Leaks als sensitive Datenrisiken priorisieren.Data Map und Lineage ableitbarvorhanden · Gewicht 14 · Datenschutz/IT
13 Knoten, 12 Datenfluss-Kanten, hohe Risiken 0.
Quelle, Empfänger, System, Vendor, Transfer, Speicherort und Löschtrigger je Datenfluss pflegen.RoPA/Verarbeitungstätigkeiten verbundenvorhanden · Gewicht 12 · Datenschutz/Legal
2 Verarbeitungstätigkeit(en).
Klassifizierte Datenarten mit RoPA, Zweck, Rechtsgrundlage, Empfänger, Speicherfrist und TOMs verbinden.Vendor-/Drittanbieter-Datenspeicher klassifiziertfehlt · Gewicht 10 · Vendor Owner/Datenschutz
Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.
Vendor-Datenkategorien, Tracking-/Support-/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.DSAR-Suchscope aus Discovery ableitbarfehlt · Gewicht 10 · Datenschutz/Support/IT
DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.
Data Discovery als Suchmanifest für Auskunft, Löschung, Widerspruch, Portabilität und Vendor-Tasking nutzen.Assessments mit Discovery-Daten vorbefüllbarvorhanden · Gewicht 9 · Datenschutz/Product
Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
PIA/DPIA/TIA/Vendor/AI-Fragen mit Datenklassen, Systemen, Empfängern und Risiken automatisch vorbefüllen.Retention und Löschung nach Datenklasse steuerbarvorhanden · Gewicht 9 · Datenschutz/Legal/IT
Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Retention Schedule, Löschtrigger, Legal Hold und Vendor-Löschung je Datenklasse ableiten.Discovery Evidence exportierbarvorhanden · Gewicht 8 · Compliance/IT
Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.
Klassifikationsentscheidungen, Quellen, Beispiele, Hash-Manifest und Exportpaket auditfähig speichern.Datenklassen
mittel · Kontakt- und IdentifikationsdatenFormulare 0, PII-Findings 0 · Name, E-Mail, Telefon, Kundennummer, Account-IDhoch · Online-Identifier und TrackingdatenCookies 2, Storage-Hinweise 0 · Cookie-ID, LocalStorage-Key, IP-/Device-/Analytics-Identifiermittel · Kommunikations-, Support- und TransaktionsdatenDatenarten 0, Verarbeitungstätigkeiten 2 · Kontaktanfrage, Newsletter, Supportfall, Bestellung, Logdatenprüfen · Sensible oder besonders schützenswerte Daten0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext. · Gesundheit, Finanzdaten, Minderjährige, Ausweis-/ID-Daten, Bewerbungsdatenprüfen · Mit Anbietern geteilte DatenVendor Count 0, Datenfluss-Kanten 12 · Tracking-, CRM-, Hosting-, CDN-, Support- und Zahlungsdaten
Quellen
nicht erkannt · Website-Formulare und Eingabepunkte0 Formular(e), Datenschutzkontext nein. · Feldnamen, Pflichtfelder, Zweck und Speicherfrist je Formular erfassen.vorhanden · Cookies, Storage und Browser-RequestsCookies 2, Storage 0, Tracking-Hinweise 0. · Identifier und Trackingzwecke gegen Consent/Notice klassifizieren.vorhanden · RoPA und Data Map2 Aktivitäten, 13 Knoten, 12 Kanten. · Systeme, Empfänger und Datenklassen je Verarbeitung verknüpfen.aufbauen · Vendor Register und Drittanbieter-Matrix0 Vendor(s). · Vendor-Datenkategorien, Transfer und Subprozessoren klassifizieren.
Regeln
mittel · Kontakt-/IdentifikationsdatenE-Mail, Telefon, Kontaktfelder · Formularzweck, Rechtsgrundlage und Speicherfrist dokumentieren.hoch · Online-Identifier/TrackingCookie-/Storage-/Analytics-Identifier · Consent, Zweck, Laufzeit, Anbieter und Widerruf prüfen.hoch · Datenleck / sensitive ÜbermittlungPII in URL, Query oder Referrer · URL-Parameter entfernen, Referrer-Policy setzen und Tracking begrenzen.hoch · Empfänger-/TransferdatenDrittanbieter- und Transferdaten · DPA/TIA, Region, Subprozessoren und Datenklasse prüfen.
Scan Configuration
Ist der Website-Check reproduzierbar, schonend und monitoringfähig?
Scan-Configuration-/Monitoring-Readiness 73/100; 8/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.
Automatisch aus Scan-Evidenz und Crawler-Status abgeleitete Scan-Konfigurations-Readiness. Tiefe Scans, Login-Bereiche, Allowlisting und Custom Header brauchen eine ausdrückliche Betreiberfreigabe.
73Score3Profile4Scope89DE-Checks
Crawler/User-Agent transparentvorhanden · Gewicht 12 · IT/Compliance
User-Agent: SaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests); Bot-Seite https://saferpage.de/bot.
User-Agent mit Kontakt-/Bot-URL beibehalten und in Betreiberhinweisen erklären.Headless-Chromium-Browserlauf dokumentiertvorhanden · Gewicht 12 · IT
Renderer playwright-chromium, Browser-Requests 15.
Browserlauf, Screenshot und Netzwerkbelege als Standardnachweis weiterführen.Sitemap und interne Linkziele im Scopefehlt · Gewicht 12 · Website-Betrieb
Sitemap-URLs 0, Sitemap-Quellen 1, interne Linkziele 0.
Sitemap, Footer, Datenschutz, Impressum, Kontakt und Formularseiten als Crawl-Scope pflegen.Priorisierte Unterseiten werden geprüftfehlt · Gewicht 10 · Datenschutz/IT
0 Unterseite(n) abgerufen, 0 im Nachweispack, Sample-Limit 4.
Pflichtseiten, Formularseiten und Cookie-/Datenschutzseiten regelmäßig als priorisierte Stichprobe prüfen.Consent-Zustände und GPC im Scanprofilvorhanden · Gewicht 10 · Marketing/IT
4 Consent-Zustand/Zustände im Evidence Pack.
Default, Ablehnen, Akzeptieren und GPC weiter als getrennte Zustände gegen Cookies/Requests vergleichen.Sanitisierte Request-Samples statt Rohdatenvorhanden · Gewicht 8 · Security/Datenschutz
0 Request-Sample(s); Nachweise enthalten keine vollständigen Request-URLs.
Sanitisierung beibehalten: keine Cookie-Werte, keine vollständigen Request-URLs, aber genug Beleg für Betreiberentscheidungen.Wiederholungsscans und Monitoring-Alerts angebundenvorhanden · Gewicht 12 · Compliance/IT
Alerts 0, Historie 2, Hash-Chain-Zeilen 2.
Wiederholungsscans mit Alert-Routing und Historie als festen Betriebsprozess nutzen.DACH-/Deutschraum-Crawler operationalisiertvorhanden · Gewicht 10 · IT/Redaktion
Queue 60, deutschsprachige Checks 89, besucht 139, refreshed 0/0.
Deutschsprachige Seed-Listen, Refresh-Grenzen, Parallelität und Fehlerquote überwachen.Performance-Grenzen für schonende Scansvorhanden · Gewicht 8 · IT
Sample-Limit 4, Evidence-Pages 0, Crawler-UA SaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests).
Concurrency, Timeout, Delay und Sample-Limits je Zielgruppe dokumentieren und bei großen Crawls vorsichtig erhöhen.Scan-Konfiguration exportierbarvorhanden · Gewicht 8 · Compliance/IT
Prüfbeleg vorhanden, Evidence Pack vorhanden.
Scanprofil, Scope, User-Agent, Renderer, Limitierungen und Exportpaket für Audits versioniert speichern.Scanprofile
aktiv · Manueller öffentlicher Website-CheckStartseite, HTTP/DNS/TLS, Headless Chromium, Consent-Zustände, Screenshot, priorisierte Unterseiten. · bei Bedarfaktiv · Deutschsprachiger WiederholungscrawlerGespeicherte DACH-/DE-Seiten, Refresh-Kandidaten, Queue und Monitoring. · systemd timer / refresh-daysBetreiber-Nachweis · Betreiber-Deep-Scan mit FreigabeStaging, Login-Bereiche, Custom Header, Whitelist, höhere Tiefe. · vor Go-live und nach Releases
Crawl-Scope
geprüft · Startseitehttps://berlin.klausurgutachten.de/ · Startseite als Eintrittspunkt stabil halten.nicht erkannt · Sitemap0 URL(s), Quellen 1. · Sitemap aktuell halten und wichtige Datenschutz-/Formularseiten aufnehmen.gering · Interne Linkstruktur0 Linkziel(e), 0 abgerufen. · Pflichtseiten und Nutzerpfade sichtbar verlinken.geprüft · Consent-Pfade4 Zustand/Zustände. · Ablehnen, Akzeptieren, Einstellungen und GPC je Release testen.
Monitoring
prüfen · Refresh-Policy0 Refresh-Scan(s), 0 Kandidat(en). · ITaktiv · Queue HealthQueue 60, Fehler 25. · ITaufbauen · Alert Routing0 Monitoring-Alert(s). · Compliance/ITvorhanden · Öffentliche Monitoring-Feeds/monitoring/feed.json und /monitoring/feed.xml. · SaferPage
Risk Register
Welche Datenschutzrisiken brauchen Management-Entscheidungen?
Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 1 hoch/kritisch, 0 sofort fällig, 1 binnen 7 Tagen und 17 binnen 30 Tagen.
Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden.
18Risiken1kritisch1hoch0sofort
Consent- und Tracking-Risikokritisch · Score 87 · Marketing/IT/Datenschutz · 7 Tage
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.
Consent-Blocking, Reject-Test, GPC und Cookie-Kategorien prüfen.Datenschutzhinweis deckt beobachtete Technik nicht vollständig abmittel · Score 63 · Datenschutz/Content · 14 Tage
Disclosure-Abgleich: 1 beobachtete Anbieter, 1 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.
Datenschutzerklärung, Cookie-Tabelle und Anbieterregister gegen Scan-Evidenz aktualisieren.Kein Impressum-Link erkanntmittel · Score 62 · Website-Betrieb/Datenschutz · 30 Tage
Kein Impressum-Link erkannt
Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.Keine klare Kontaktmöglichkeit erkanntmittel · Score 62 · Website-Betrieb/Datenschutz · 30 Tage
Keine klare Kontaktmöglichkeit erkannt
E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken.Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefundenmittel · Score 62 · Website-Betrieb/Datenschutz · 30 Tage
Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden
Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.Content-Security-Policy fehltmittel · Score 62 · Website-Betrieb/Datenschutz · 30 Tage
Content-Security-Policy fehlt
Header `content-security-policy` setzen und nach Deployment erneut prüfen.Externe Skripte ohne Subresource Integritymittel · Score 61 · Technik · 30 Tage
Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.
Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.Content-Security-Policy fehltmittel · Score 53 · Technik · 30 Tage
Content-Security-Policy schrittweise einführen.
Content-Security-Policy schrittweise einführen.Kein Impressum-Link erkanntmittel · Score 53 · Recht/Content · 30 Tage
Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.
Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.Keine klare Kontaktmöglichkeit erkanntmittel · Score 53 · Recht/Content · 30 Tage
Klare Kontaktmöglichkeit ergänzen.
Klare Kontaktmöglichkeit ergänzen.Bereiche
5 · BSI/Security-HeaderRisikozeilen in diesem Bereich4 · security_headersRisikozeilen in diesem Bereich2 · privacyRisikozeilen in diesem Bereich2 · DDG/AnbieterkennzeichnungRisikozeilen in diesem Bereich1 · Consent/CookiesRisikozeilen in diesem Bereich1 · TransparenzRisikozeilen in diesem Bereich1 · crawlRisikozeilen in diesem Bereich1 · Skript-LieferketteRisikozeilen in diesem Bereich
Owner
8 · Website-Betrieb/DatenschutzVerantwortung bestätigen6 · TechnikVerantwortung bestätigen2 · Recht/ContentVerantwortung bestätigen1 · Marketing/IT/DatenschutzVerantwortung bestätigen1 · Datenschutz/ContentVerantwortung bestätigen
Entscheidungen
Programm-OwnerWelche Top-Risiken werden behoben, akzeptiert oder als Betreiber-Nachweis nachgereicht? Entscheidungsprotokoll mit Risiko, Owner, Datum und Restrestrisiko.Management/DatenschutzSind Owner und SLA für alle hohen Risiken verbindlich bestätigt? Ticketliste, SLA, Eskalationsweg und Re-Scan-Termin.Legal/KommunikationWelche Risiken dürfen in Kunden-, Behörden- oder Audit-Antworten offen kommuniziert werden? Freigegebene externe Formulierung und Nachweislink.
Control Framework
Welche Datenschutzkontrollen sind prüfbar und nachweisfähig?
Privacy Controls Framework 50/100; 1/9 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.
Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Betreiber müssen Kontrolltests und Nachweise freigeben.
50Score9Kontrollen1wirksam6offen
Nicht notwendige Verarbeitung vor Einwilligung blockierenlücke · Score 48 · Marketing/IT · bei jedem Release
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Top-Risiken mit Owner und SLA steuernlücke · Score 36 · Programm-Owner · wöchentlich
Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 1 hoch/kritisch, 0 sofort fällig, 1 binnen 7 Tagen und 17 binnen 30 Tagen.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Reproduzierbarer Scan- und Monitoring-Prozessteilweise · Score 73 · IT/Compliance · laufend
Scan-Configuration-/Monitoring-Readiness 73/100; 8/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Datenschutzhinweise versionieren und synchronisierenlücke · Score 42 · Datenschutz/Content · monatlich
Policy-/Notice-Lifecycle-Readiness 42/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Datenklassen und Discovery-Scope pflegenteilweise · Score 64 · Datenschutz/IT · monatlich
Data-Discovery-/Classification-Readiness 64/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Betroffenenrechte und DSAR-Workflow operationalisierenlücke · Score 12 · Datenschutz/Support · quartalsweise
DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Vendor Lifecycle und Drittanbieterakten steuernlücke · Score 49 · Legal/Vendor Owner · quartalsweise
Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Auditfähige Nachweise und Integrität sichernwirksam · Score 90 · Compliance/IT · bei jedem Scan
Prüfbeleg und Integritätsmanifest als Exportnachweis.
Kontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.Interne Betreiber-Nachweise einsammelnBetreiber-Nachweis · Score 35 · Betreiber/DSB · laufend
Aus öffentlichem Website-Scan nicht beweisbar.
Betreiberartefakte hochladen oder im Trust Center verlinken.Domains
48 · Consent & Preferences1 Kontrolle(n), 1 offen36 · Risk Management1 Kontrolle(n), 1 offen73 · Monitoring1 Kontrolle(n), 0 offen42 · Transparency1 Kontrolle(n), 1 offen64 · Data Governance1 Kontrolle(n), 0 offen12 · DSAR1 Kontrolle(n), 1 offen49 · Vendor Risk1 Kontrolle(n), 1 offen90 · Audit Evidence1 Kontrolle(n), 0 offen
Testplan
bei jedem Release · Website-Betrieb/DatenschutzConsent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen. Scan-ID, Ticket-Entscheidung, Exportpaket.monatlich · Datenschutz/LegalRegulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen. Review-Protokoll, Quellenmatrix, offene Entscheidungen.
Priorität
KontrolltestKontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.KontrolltestKontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.KontrolltestKontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.KontrolltestKontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.KontrolltestKontrolle gegen Reportmodul, Exportpaket, Owner und Abnahmekriterium testen.
Audit Response
Welche Antworten und Nachweise sind für Kunden oder Prüfer bereit?
Trust-/Audit-Response-Center 58/100; 2 antwortbereit, 1 teilweise, 5 offen oder Betreiber-Nachweis.
Automatisch aus SaferPage-Nachweisen generiertes Antwortpaket. Externe Freigabe, Vertraulichkeit, Rechtsprüfung und interne Nachweise müssen Betreiber vor Weitergabe bestätigen.
58Score8Antworten2bereit5offen
Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?offen · Score 50 · Programm-Owner/DSB
Teilweise aus Kontrollkatalog, Risk Register und Trust-Bausteinen ableitbar; interne Rollen muss der Betreiber bestätigen.
Privacy Controls Framework 50/100; 1/9 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.Wie werden Cookies, Tracker und Einwilligungen kontrolliert?offen · Score 48 · Marketing/IT
SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.Wie werden Subprozessoren, Drittanbieter und Transfers geprüft?antwortbereit · Score 100 · Legal/Vendor Owner
Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.
Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.Wie werden Betroffenenanfragen bearbeitet?offen · Score 38 · Datenschutz/Support
DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Discovery, Redaction und Antwortpakete.
DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.Welche technischen Webschutzmaßnahmen sind sichtbar?teilweise · Score 70 · IT/Security
Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.
4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.Welche offenen Datenschutzrisiken bestehen aktuell?offen · Score 36 · Programm-Owner
Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.
Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 1 hoch/kritisch, 0 sofort fällig, 1 binnen 7 Tagen und 17 binnen 30 Tagen.Welche Nachweise können exportiert werden?antwortbereit · Score 90 · Compliance/IT
JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und Screenshot sind exportierbar, sofern Scan gespeichert ist.
Scan-ID fd0457ad-ac89-4b77-9e7e-e23395e1ae0b, Prüfbeleg ja.Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?Betreiber-Nachweis · Score 35 · Betreiber/DSB
Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.
Interne Betreiberartefakte nicht öffentlich abrufbar.Evidence Requests
Betreiber-Nachweis · Interne Rollen und DSB/Privacy OwnerRACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum. Betreiber/DSBBetreiber-Nachweis · AVV/DPA, TOMs, SubprozessorenVertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste. Legal/Vendor Owner
Share Pack
öffentlich · Öffentlicher Kurzreporthttps://saferpage.de/klausurgutachten.desanitisiert · ZIP-Nachweispaket/api/report/export?id=fd0457ad-ac89-4b77-9e7e-e23395e1ae0b&format=zipsanitisiert · Excel-Audit-Tabellen/api/report/export?id=fd0457ad-ac89-4b77-9e7e-e23395e1ae0b&format=xlsx
Offen
Antwort klärenGibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?Antwort klärenWie werden Cookies, Tracker und Einwilligungen kontrolliert?Antwort klärenWie werden Betroffenenanfragen bearbeitet?Antwort klärenWelche offenen Datenschutzrisiken bestehen aktuell?Antwort klärenKönnen interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?
Documentation Library
Welche Dokumente und Nachweise sind veröffentlichbar?
Trust Documentation Library 67/100; 11/19 Dokument(e) veröffentlichbar oder exportierbar, 4 offen oder Betreiber-Nachweis.
Automatisch aus SaferPage-Nachweisen aufgebaute Dokumentationsbibliothek. Öffentliche, sanitisierte und interne Betreiber-Nachweise müssen vor externer Weitergabe redaktionell, rechtlich und fachlich freigegeben werden.
67Score19Dokumente7öffentlich9sanitisiert3Betreiber
Öffentlicher Domain-Reportveröffentlicht · öffentlich · Score 90
Kurz-URL https://saferpage.de/klausurgutachten.de; Scan-ID fd0457ad-ac89-4b77-9e7e-e23395e1ae0b.
Marketing/Datenschutz · Review: bei jedem ScanÖffnenMethodik und Prüfgrenzenveröffentlicht · öffentlich · Score 90
Methodik, Bot-Transparenz und sanitisierte Nachweislogik sind öffentlich verlinkbar.
Compliance · Review: quartalsweiseÖffnenCrawler- und User-Agent-Transparenzexportierbar · öffentlich · Score 73
Scan-Configuration-/Monitoring-Readiness 73/100; 8/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.
IT/Compliance · Review: monatlichÖffnenMonitoring- und letzte-Checks-Übersichtveröffentlicht · öffentlich · Score 80
Monitoring, Kurz-URL und zuletzt geprüfte Seiten bleiben als Betreiber- und Nutzerkontext auffindbar.
IT/Compliance · Review: laufendÖffnenDatenschutzhinweis-Draftveröffentlicht · öffentlich · Score 85
Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).
Datenschutz/Content · Review: bei TechnikänderungÖffnenCookie- und Storage-Erklärungveröffentlicht · öffentlich · Score 85
2 Cookie-/Storage-Zeile(n) dokumentiert.
Marketing/IT · Review: bei Tag-ÄnderungÖffnenDrittanbieter- und Processor-Registerteilweise · sanitisiert · Score 45
0 Anbieter-/Processor-Eintrag(e) dokumentiert.
Legal/Vendor Owner · Review: monatlichÖffnenPrivacy Controls Frameworkteilweise · sanitisiert · Score 50
Privacy Controls Framework 50/100; 1/9 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.
Compliance · Review: quartalsweiseÖffnenPrivacy Risk Register Executive Viewaufbauen · sanitisiert · Score 36
Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 1 hoch/kritisch, 0 sofort fällig, 1 binnen 7 Tagen und 17 binnen 30 Tagen.
Programm-Owner · Review: monatlichÖffnenTrust-/Audit-Response-Katalogteilweise · sanitisiert · Score 58
Trust-/Audit-Response-Center 58/100; 2 antwortbereit, 1 teilweise, 5 offen oder Betreiber-Nachweis.
Sales/Legal/Compliance · Review: bei AnfrageÖffnenZIP-Nachweispaketveröffentlicht · sanitisiert · Score 90
Sanitisierte JSON/CSV-Nachweise, Tabellen und Belege exportierbar.
Compliance/IT · Review: bei jedem ScanÖffnenExcel-Audit-Tabellenveröffentlicht · sanitisiert · Score 90
Audit-Tabellen als XLSX für Betreiber, Kundenfragebögen und interne Reviews exportierbar.
Compliance/IT · Review: bei jedem ScanÖffnenKategorien
83 · Public Trust4 bereit, 0 offen74 · Transparenz3 bereit, 1 offen48 · Audit Evidence0 bereit, 3 offen90 · Evidence Package3 bereit, 0 offen54 · Governance1 bereit, 2 offen35 · Operator Evidence0 bereit, 2 offen
Publikation
bereit · Marketing/DatenschutzKurzreport, Methodik, Bot-Seite und Monitoring öffentlich verlinken. https://saferpage.de/klausurgutachten.debereit · Compliance/ITZIP/XLSX/JSON-Exporte vor externer Weitergabe auf Vertraulichkeit prüfen. /api/report/export?id=fd0457ad-ac89-4b77-9e7e-e23395e1ae0b&format=zipBetreiber-Nachweis · Legal/DSBBetreiber-Nachweise, Vertragsakten, TOMs, DPIA und RoPA nur nach Freigabe teilen. Interne Freigabe erforderlich
Betreiber-Nachweise
Betreiber-Nachweis · AVV/DPA, TOMs und Transfer Impact AssessmentsVertragsakte, TOM-Anlage, Transferbewertung, Subprozessorenliste. Legal/Vendor OwnerBetreiber-Nachweis · RoPA, DPIA/DSFA und Privacy-by-Design-EntscheidungenVerarbeitungstätigkeit, Risikobewertung, Schutzmaßnahmen, Freigabe. Datenschutz/Productteilweise · Kontrolltest-Protokolle und AbnahmenKontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test. Compliance
Preference Center
Können Nutzer Einwilligungen und Präferenzen dauerhaft steuern?
Preference-Center-Readiness 60/100; 5/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.
Aus Website- und Browser-Evidenz abgeleitete Preference-Center-Readiness. Interne Consent-Logs, CRM-Syncs und Nutzerkonten kann SaferPage nur als Betreiber-Nachweis anfordern, nicht öffentlich beweisen.
60Score9Kontrollen4Lücken4Zustände
Präferenz-/Einstellungszugang sichtbarvorhanden · Gewicht 14 · UX/Marketing
Einstellungen-Controls 0, Datenschutzhinweis-Link ja.
Cookie-/Privacy-Einstellungen dauerhaft auffindbar machen, nicht nur im Erstbanner.Ablehnen und Widerruf gleichwertig erreichbarfehlt · Gewicht 16 · Marketing/IT
Ablehnen verfügbar nein, geklickt nein, neue Cookies 0, neue Datenschutz-Domains 0.
Ablehnen- und Widerrufspfad technisch testen; nach Ablehnen dürfen keine neuen nicht notwendigen Kontakte/Cookies entstehen.Zwecke und Kategorien granular steuerbarvorhanden · Gewicht 12 · Datenschutz/Marketing
Kategorien 1, TCF-Zwecksignale 0, Einstellungen 0.
Präferenzen nach notwendigen, Statistik-, Marketing-, externen Medien-, Profiling- und Kommunikationszwecken trennen.Auditfähige Consent-Zustände und Nachweisevorhanden · Gewicht 14 · Compliance/IT
Consent-State-Zeilen 4, Prüfbeleg ja.
Consent-ID, Zeitpunkt, Version, Zwecke, Quelle, Region und Widerruf als Nachweis im Betreiber-System protokollieren.GPC/Do-not-sell-or-share/Opt-out berücksichtigtvorhanden · Gewicht 10 · Datenschutz/Marketing
GPC-Test aktiv, Datenschutz-Domains 0.
GPC und Opt-out-Signale in CMP/Tags respektieren und als eigenen Nachweiszustand speichern.Cookie-/Storage-Erklärung mit Consent-Erfordernisvorhanden · Gewicht 10 · Datenschutz/Content
2 Cookie-/Storage-Zeile(n), 3 einwilligungsbezogene Verarbeitung(en).
Jede Präferenz mit Zweck, Anbieter, Laufzeit, Rechtsgrundlage und Widerrufspfad in Cookie-/Privacy-Hinweisen spiegeln.Kommunikations- und First-Party-Präferenzen abbildenfehlt · Gewicht 10 · CRM/Marketing/Datenschutz
Formulare nein, Widerruf/Widerspruch im Hinweis ja.
Newsletter, Kontakt, Kundenkonto, Produktinteressen, sensible Daten und Marketingkanäle im Preference Center als getrennte Optionen abbilden.Downstream-Sync in CRM, Tags und Anbieter-Systemeprüfen · Gewicht 8 · IT/CRM
Aus öffentlichem Website-Scan nicht beweisbar.
Präferenzänderungen in Echtzeit an Tag Manager, CRM, E-Mail/SMS, Support und Vendor-Systeme synchronisieren und Fehler queue-basiert nacharbeiten.Versionierung, Region und Sprache je Präferenzfehlt · Gewicht 6 · Compliance/IT
CMP erkannt nein, Prüfbeleg ja.
Preference-Center-Konfigurationen mit Version, Sprache, Region, Rechtsraum und Änderungsdatum verwalten.Präferenz-Themen
aufbauen · Cookies, Tracker und GerätezugriffDauerhafter Cookie-Einstellungslink und Reject-Test. CMP nein, Einstellungen 0, Cookie-Zeilen 2.nicht eindeutig erkannt · Newsletter, Kontakt und KommunikationspräferenzenAbmelden, Widerspruch, Kanal-/Themenauswahl und Sperrliste. Formulare 0, Datenschutzkontext nein.prüfen · Personalisierung, Profiling, Ads und AI-TrainingProfiling-/Ads-/AI-Nutzung getrennt steuerbar machen. Consent-Bezug 3, TCF-Vendors 0.Betreiber prüfen · Sensible Daten und besondere ZweckeSpezifische Einwilligung, Widerruf und Lösch-/Sperrprozess. Öffentlicher Scan kann interne besondere Datenkategorien nur begrenzt erkennen.
Nachweise
teilweise · Consent-/Preference-DatensatzConsent-ID, gehashter Nutzerbezug, Zweckliste, Banner-/Notice-Version, Timestamp, Region, Quelle, Widerrufszeitpunkt.manuell prüfen · Downstream-Sync-ProtokollSync-Zielsysteme, letzte erfolgreiche Übertragung, Fehlerqueue, Retry-Log und manuelle Korrektur.fehlt · Widerrufs- und Reject-TestBrowser-Test Default/Ablehnen/Akzeptieren/GPC, Tag-Diff, Cookie-Diff und Screenshot des Einstellungswegs.
Nächste Schritte
AktionAblehnen- und Widerrufspfad technisch testen; nach Ablehnen dürfen keine neuen nicht notwendigen Kontakte/Cookies entstehen.AktionNewsletter, Kontakt, Kundenkonto, Produktinteressen, sensible Daten und Marketingkanäle im Preference Center als getrennte Optionen abbilden.AktionPräferenzänderungen in Echtzeit an Tag Manager, CRM, E-Mail/SMS, Support und Vendor-Systeme synchronisieren und Fehler queue-basiert nacharbeiten.AktionPreference-Center-Konfigurationen mit Version, Sprache, Region, Rechtsraum und Änderungsdatum verwalten.
Regulatory Watch
Welche Rechtsquellen und Änderungen müssen Betreiber im Blick behalten?
Regulatory-Watch-Readiness 58/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.
Automatisch aus SaferPage-Quellenmatrix und Scan-Evidenz abgeleiteter Regulatory-Watch-Entwurf. Er ersetzt keine Rechtsberatung, kein kostenpflichtiges Rechtsmonitoring und keine verbindliche Behördenauslegung.
58Score8Quellen4offiziell4Lücken
Offizielle Quellen und Regulatorik-Links vorhandenvorhanden · monatlich · Datenschutz/Legal
8 Quellen, 4 offiziell eingeordnet.
Offizielle DACH-/EU-Quellen je Prüfbereich pflegen und im Report verlinken.DACH/EU-Prüfprofil gesetztvorhanden · monatlich · Compliance
Prüfprofil Deutschland -> DACH: Allgemeine Website, Zielgruppe Gemischte Zielgruppe. 4 Schwerpunkt(e) für Betreiber priorisiert.
Betreiberregion, Zielregion, Website-Typ und Zielgruppe je Domain bestätigen.Befunde auf Pflichten und Guides rückverfolgbarvorhanden · monatlich · Datenschutz/IT
3 Rechtsgrundlagenzeile(n), 8 Quellenzeile(n).
Jeden kritischen Befund mit Quelle, Pflicht, Evidence, Owner und Behebungs-Guide verbinden.Wiederholungsscans und Change-Alerts angebundenfehlt · laufend · Compliance/IT
Alerts 0, Change-Log-Zeilen 0.
Regulatorische Prüfpunkte bei neuen Cookies, Anbietern, Formularen, AI-/Profiling-Use-Cases und Rechtsänderungen erneut bewerten.Regulatorische Risiken priorisiertvorhanden · monatlich · Programm-Owner
Top-Risiken 8, Risikolevel hoch.
Regulatorische Watchlist nach Risiko, Frist, Owner und Audit-Nachweis priorisieren.Owner und Review-Kadenz definiertprüfen · quartalsweise · DSB/Legal
Aus öffentlichem Scan nicht beweisbar.
Legal/DSB, Website-Betrieb, Marketing, Security und Product als feste Owner für regulatorische Änderungen benennen.Quellenstand und Auswirkungsbewertung versioniertprüfen · bei Änderung · Compliance
Aus öffentlichem Scan nicht beweisbar.
Quelle, Abrufdatum, betroffene Domains, geänderte Pflicht und Umsetzungsticket versionieren.Behörden-/Rechtsprechungs-Intake für DACH/EUfehlt · monatlich · Datenschutz/Legal
Offizielle Quellen 4; Schwerpunkt(e): BFSG/WCAG, BSI/Sicherheit, Barrierefreiheit, Consent, DDG/Anbieterkennzeichnung, DSGVO Rechtsgrundlagen.
DSK, BfDI/Landesbehörden, EDPB, EUR-Lex, BSI und BFSG/WCAG-Quellen als Watchlist führen.Management-Digest für regulatorische Änderungenvorhanden · monatlich · Programm-Owner
Monitoring-Alert: ruhig. 0 neue Signal(e), 0 behobene/entfernte Signal(e), Score-Delta 0.
Monatlichen Digest mit neuen Risiken, behobenen Befunden, offenen Rechtsfragen und nächsten Entscheidungen erzeugen.Quellen/Pflichten
TDDDG/ePrivacyDSK Orientierungshilfe digitale Dienste · Nicht notwendige Cookies, Web Storage, Tags und Trackingkontakte vor Einwilligung blockieren und Ablehnen/Widerruf nachweisen.DSGVO RechtsgrundlagenDSGVO Art. 6 · Zwecke, Datenarten, Empfänger und Rechtsgrundlagen in Datenschutzerklärung und interner Dokumentation abgleichen.BSI/SicherheitBSI TLS-Mindeststandard und IT-Grundschutz Webserver/Webanwendungen · Fehlende Security-Header, CSP und TLS-/HSTS-Konfiguration gemäß Betreiber-Guide nachziehen.BarrierefreiheitWCAG 2.2 / BFIT / European Accessibility Act · Alt-Texte, Labels, Button-Namen, Tastaturbedienung und Cookie-Banner-Barrierefreiheit prüfen.SaferPage Regelwerks-ScorecardBFSG/WCAG · Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.SaferPage Regelwerks-ScorecardBSI/Security · Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.SaferPage Regelwerks-ScorecardDSGVO · Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.SaferPage Regelwerks-ScorecardTDDDG/ePrivacy · Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.
Watch-Aufgaben
monatlich · Datenschutz/LegalDSK, EDPB, BfDI/Landesbehörden, EUR-Lex und BSI-Quellen gegen offene SaferPage-Befunde prüfen. Review-Protokoll mit Quellenlinks, betroffenen Domains und Entscheidung.bei jedem Website-Release · Website-Betrieb/MarketingNeue Cookies, Anbieter, Formulare, AI-/Profiling-Funktionen und Präferenzflüsse vor Go-live gegen Quellenmatrix prüfen. Release-Checkliste, Scan-ID, Exportpaket und Freigabe.quartalsweise · Programm-OwnerManagement-Digest mit Risikoänderungen, offenen Rechtsfragen, Umsetzungsstand und Entscheidungen erstellen. Digest, Ticketliste, Maturity-Score und priorisierte Roadmap.
Nächste Schritte
AktionRegulatorische Prüfpunkte bei neuen Cookies, Anbietern, Formularen, AI-/Profiling-Use-Cases und Rechtsänderungen erneut bewerten.AktionLegal/DSB, Website-Betrieb, Marketing, Security und Product als feste Owner für regulatorische Änderungen benennen.AktionQuelle, Abrufdatum, betroffene Domains, geänderte Pflicht und Umsetzungsticket versionieren.AktionDSK, BfDI/Landesbehörden, EDPB, EUR-Lex, BSI und BFSG/WCAG-Quellen als Watchlist führen.
DACH/EU Lokalisierung
Welche Rechtsraum-Varianten braucht der Betreiber?
DACH/EU-Lokalisierung 75/100; 4 Rechtsraum-Variante(n), 4/6 Pflichtblock/Pflichtblöcke aktiv.
DACH/EU-Lokalisierung ist ein Betreiber-Blueprint aus öffentlicher Website-Evidenz und Prüfprofil. Konkrete Rechtsräume, Sprachen und Pflichttexte müssen fachlich/rechtlich freigegeben werden.
75Score4Rechtsräume4aktive Pflichten4Notice-Varianten
Deutschlandpriorisiert · de-DE · DSAR 1 Monat
TTDSG/TDDDG + DSGVO: nicht notwendige Cookies/Tracker nur nach Einwilligung.
BfDI/Landesdatenschutzbehörden, DSKÖsterreichprüfen · de-AT · DSAR 1 Monat
TKG/DSGVO: Einwilligung und klare Information für nicht notwendige Speicherung/Zugriffe.
Datenschutzbehörde ÖsterreichSchweizprüfen · de-CH · DSAR in der Regel 30 Tage
revDSG/Fernmelderecht: Transparenz, Zweckbindung und Widerspruchsmöglichkeiten klar erklären.
EDÖBEU/EWRprüfen · de/en je Markt · DSAR 1 Monat
ePrivacy/DSGVO: nationale Umsetzung je Markt prüfen.
EDPB und nationale AufsichtsbehördenPflichtblöcke
hoch · TransparenzDatenschutzhinweise in verständlicher Sprache und mit lokalem Kontakt-/Behördenbezug bereitstellen. Notice-Variante für DE/AT/CH/EU prüfen, lokale Behörde und Kontaktweg ergänzen.hoch · BetroffenenrechteRechte, Fristen, Identitätsprüfung und sichere Antwort je Rechtsraum abbilden. Intake-Formular mit Region/Sprache, Anfragetyp, Frist und sicherem Antwortweg veröffentlichen.hoch · Consent & CookiesCookie-/Tracker-Zwecke, Einwilligung, Widerruf und GPC/Opt-out je Markt prüfen. CMP-/Preference-Center-Texte und Reject-Test für DACH/EU lokalisieren.hoch · DrittlandtransferAuslandsbekanntgaben, SCC/TIA, Anbieterregion und Alternativen je Notice-Variante erklären. Transfer-Hinweise in DE/AT/CH/EU-Variante aufnehmen und Vendor-Akten verlinken.mittel · Usability & BarrierefreiheitBarrierefreiheit, verständliche Sprache und mobile Formulare für Anfragen sicherstellen. Betroffenenrechte-Formular mit Tastatur, Screenreader, Kontrast und mobiler Ansicht testen.hoch · Zielgruppe & sensible KontexteSensible Kontexte, Minderjährige, Gesundheit oder Behördenleistungen gesondert bewerten. DPIA/DSFA-Schwelle, Alters-/Einwilligungslogik und besonders klare Sprache prüfen.
Notice-Varianten
Deutschland · de-DEDeutsche Datenschutzerklärung mit Impressum, DSB/Kontakt, Betroffenenrechten, Cookies, Empfängern und Drittlandtransfer.Österreich · de-ATÖsterreichische Datenschutzhinweise mit Verantwortlichem, Kontakt, Rechtsgrundlagen, Betroffenenrechten und Aufsichtsbehörde.Schweiz · de-CHSchweizer Datenschutzerklärung mit Bearbeitungszwecken, Empfängern, Auslandsbekanntgaben und Betroffenenrechten.EU/EWR · de/en je MarktEU-Notice mit lokaler Behörde, Sprache, DSAR-Kanal und Rechtsgrundlagen je Markt.
Lokalisierungsaufgaben
bei Setup und quartalsweise · Datenschutz/LegalBetreiberregion, Zielmärkte, Sprachen, Zielgruppen und Website-Typ bestätigen. Prüfprofil, Freigabe, betroffene Domains.bei Notice-Änderung · Datenschutz/ContentNotice-Varianten mit lokalen Behörden, Fristen, Transferhinweisen und DSAR-Kanal veröffentlichen. Version, URL, Änderungsdatum, Freigabe.halbjährlich · Support/DatenschutzDSAR-Formular für DE/AT/CH/EU mit Pflichtfeldern, Sprache, Frist und sicherem Antwortweg testen. Testticket, Screenshots, Frist- und Routingnachweis.bei CMP-Änderung · Marketing/ITCookie-Banner, Preference Center, Ablehnen, Widerruf und GPC je lokaler Variante testen. Consent-State-Export, Browser-Screenshots, Request-Diff.
Trust Center
Welche Transparenz-Bausteine sind veröffentlichbar?
Trust-Center-Readiness: 66/100 Punkte. 17/25 Baustein(e) sind aus dem Scan heraus belegbar.
Readiness für einen öffentlichen Privacy-/Trust-Hub aus SaferPage-Nachweisen; ersetzt keine redaktionelle Freigabe durch Datenschutz, Legal und Security.
66Score25Bausteine8fehltaufbauenStatus
Datenschutzerklärung / Privacy Noticevorhanden · Gewicht 14 · Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).Cookie- und Storage-Erklärungvorhanden · Gewicht 12 · Cookie-Erklärung mit 2 Eintrag/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 2 unklassifiziert.Drittanbieter- und Processor-Registerfehlt · Gewicht 12 · 0 Empfänger-/Anbieter-Eintrag/Einträge aus Browserkontakten und Cookie-Inventar, 0 datenschutzrelevant, 0 mit AVV-/Rollenprüfung.Betroffenenrechte / Anfrageprozessfehlt · Gewicht 12 · Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.DSAR Workflow / Betroffenenrechte-Automationfehlt · Gewicht 10 · DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.Assessment Automation / PIA-DPIA-TIAvorhanden · Gewicht 10 · Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.Retention & Deletion Governancevorhanden · Gewicht 9 · Retention-/Deletion-Readiness 58/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.Vendor Lifecycle / Third-Party Riskfehlt · Gewicht 10 · Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.Policy & Notice Lifecyclefehlt · Gewicht 10 · Policy-/Notice-Lifecycle-Readiness 42/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.Data Discovery & Classificationvorhanden · Gewicht 10 · Data-Discovery-/Classification-Readiness 64/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.Scan Configuration & Monitoringvorhanden · Gewicht 9 · Scan-Configuration-/Monitoring-Readiness 73/100; 8/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.Privacy Risk Register / Executive Dashboardfehlt · Gewicht 9 · Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 1 hoch/kritisch, 0 sofort fällig, 1 binnen 7 Tagen und 17 binnen 30 Tagen.
Öffentliche Links
Kurzreporthttps://saferpage.de/klausurgutachten.deStatus-Badgehttps://saferpage.de/badge/klausurgutachten.deMethodikhttps://saferpage.de/methodikDatenschutz-Webseiten-Reporthttps://saferpage.de/datenschutz-webseiten-report/
Launch-Checkliste
SchrittÖffentliche Trust-Center-Seite mit Datenschutzerklärung, Cookie-Liste, Anbieterregister und Betroffenenrechte-Kanal anlegen.SchrittBadge, Methodik, Prüfbeleg, Exportpaket und letzten Scan verlinken.SchrittPrivacy-Team als Inhaltsverantwortliche festlegen; technische Änderungen über Monitoring prüfen.SchrittJede Trust-Center-Aktualisierung mit Datum, Version und SaferPage-Wiederholungsscan dokumentieren.SchrittOffene Remediation-Tickets vor Veröffentlichung priorisieren oder transparent als bekannte Einschränkung führen.
DPIA / DSFA
Sollte eine Datenschutz-Folgenabschätzung gestartet werden?
DPIA/DSFA-Screening: nicht_naheliegend, Risiko-Score 0/100, 0 ausgelöste Risikofaktor(en), 0 hoch.
Nach aktuellem öffentlichen Scan ist keine DPIA-Pflicht naheliegend; bei Projektänderungen erneut prüfen.
Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-/DSFA-Entscheidung muss fachlich/rechtlich dokumentiert werden.
0Risiko0Faktoren0hoch8Tickets
Personenbezogene Dateneingabenicht erkannt · info · Gewicht 18 · 0 Formular(e), Datenarten: keine klaren DatenartenFormulare ohne ausreichenden Datenschutzkontextnicht erkannt · hoch · Gewicht 14 · 0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext fehlt.Tracking, Profiling oder Consent-Zustandsrisikennicht erkannt · hoch · Gewicht 18 · 0 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.Viele Drittanbieter oder Processornicht erkannt · mittel · Gewicht 10 · 0 Anbieterregister-Eintrag/Einträge, 0 Drittanbieter-Domain(s).Drittland-/Transferprüfungnicht erkannt · mittel · Gewicht 12 · Transfer hoch 0, unklar 0.PII-, Referrer- oder URL-Leakagenicht erkannt · hoch · Gewicht 12 · PII-Risiko unklar, Referrer-betroffene Domains 0.Öffentliche Stelle oder sensibler Nutzungskontextnicht erkannt · mittel · Gewicht 8 · Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.Externe Inhalte vor Einwilligungnicht erkannt · mittel · Gewicht 6 · 0 externe Embed-/Widget-Element(e) vorab geladen.GPC/Opt-out-Lückenicht erkannt · mittel · Gewicht 6 · GPC-Test mit 0 datenschutzrelevanten Domain(s).
Assessment-Fragen
Website-Betrieb · hochWelche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?Datenschutz · hochWelche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?Fachbereich · mittelWie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?Legal/Datenschutz · hochWelche Anbieter/Processor und Transfers sind notwendig?Developer/Ops · hochWelche technischen und organisatorischen Maßnahmen reduzieren das Risiko?Datenschutz · mittelWer dokumentiert Entscheidung, Restrisiko und Freigabe?
Schutzmaßnahmen
MaßnahmePrivacy by Design: Datenminimierung und Zweckbindung je Formular/Tag dokumentieren.MaßnahmeConsent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.MaßnahmeTransferkontrolle: Drittlandtransfer, SCC/TIA und Anbieterrollen prüfen.MaßnahmeSecurity: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.MaßnahmeGovernance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen.
RoPA / Art. 30
Welche Verarbeitungstätigkeiten lassen sich ableiten?
RoPA-Entwurf mit 2 Verarbeitungstätigkeit(en), 0 hohem Risikolevel und 6 offenen Betreiberfragen.
Automatisch aus öffentlicher Website-Evidenz abgeleiteter RoPA-Entwurf. Interne Systeme, Fachprozesse und verbindliche Rechtsgrundlagen müssen Betreiber ergänzen.
2Aktivitäten0hohes Risiko6offene Fragenklausurgutachten.deVerantwortlicher
Cookies, Web Storage und ConsentBereitstellung der Website, Consent-Verwaltung, Statistik/Tracking oder Komfortfunktionen je Kategorie.
Daten: Cookie-ID, Consent-Status, Geräte-/Browserinformationen, Storage-Key-Metadaten
Empfänger: Eigene Website oder eingebundener Dienst
Rechtsgrundlage: TDDDG/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.
Löschung: Cookie-Laufzeiten aus Inventar übernehmen und minimieren.
Betroffenenrechte- und DatenschutzanfragenAnnahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.
Daten: Identitätsbezug, Kontaktinformationen, Anfragetyp, Kommunikationsinhalte
Empfänger: interne Datenschutz-/Legal-/Fachbereichsteams
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.
Löschung: Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.
Offene Betreiberfragen
KlärungWer ist rechtlich Verantwortlicher und wer sind interne Prozess-Owner je Aktivität?KlärungWelche konkrete Rechtsgrundlage gilt je Zweck und Datenkategorie?KlärungWelche Löschfrist ist fachlich/rechtlich verbindlich?KlärungWelche Systeme speichern die Daten tatsächlich außerhalb der öffentlich sichtbaren Website?KlärungWelche Auftragsverarbeiter, Unterauftragsverarbeiter und Transferinstrumente sind vertraglich dokumentiert?KlärungWelche TOMs und Zugriffsbeschränkungen gelten je Verarbeitung?
Nächste Schritte
UmsetzungRoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.UmsetzungRechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.UmsetzungRoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren.
Data Map / Datenflüsse
Wie hängen Verarbeitung, Datenarten, Anbieter und Transfers zusammen?
Data Map mit 13 Knoten und 12 Datenfluss-Kanten; 0 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.
Automatisch aus öffentlicher Website-Evidenz, RoPA-Entwurf und Vendor-Due-Diligence abgeleitete Data Map; interne Systeme und verbindliche Rechtsgrundlagen muss der Betreiber ergänzen.
13Knoten12Kanten0hoch0Transfer
klausurgutachten.de → Cookies, Web Storage und Consentverantwortet · mittel · Confidence 80
2 Cookie-/Storage-Eintrag/Einträge, 0 mit Einwilligungs-/Klärungsbedarf.
Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen.Cookies, Web Storage und Consent → Cookie-IDverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Cookies, Web Storage und Consent → Consent-Statusverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Cookies, Web Storage und Consent → Geräte-/Browserinformationenverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Cookies, Web Storage und Consent → Storage-Key-Metadatenverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Cookies, Web Storage und Consent → Eigene Website oder eingebundener Dienstübermittelt an Empfänger · mittel · Confidence 72
Drittlandtransfer je Cookie-/Tag-Anbieter prüfen.
Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.klausurgutachten.de → Betroffenenrechte- und Datenschutzanfragenverantwortet · mittel · Confidence 80
Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.
Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen.Betroffenenrechte- und Datenschutzanfragen → Identitätsbezugverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Betroffenenrechte- und Datenschutzanfragen → Kontaktinformationenverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Betroffenenrechte- und Datenschutzanfragen → Anfragetypverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Betroffenenrechte- und Datenschutzanfragen → Kommunikationsinhalteverarbeitet Datenart · mittel · Confidence 76
Datenkategorie aus Verarbeitungstätigkeit abgeleitet.
Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen.Betroffenenrechte- und Datenschutzanfragen → interne Datenschutz-/Legal-/Fachbereichsteamsübermittelt an Empfänger · mittel · Confidence 72
Kein Drittlandtransfer ohne eingesetztes Ticket-/Mail-/Portal-System; Betreiber prüfen.
Empfängerrolle, AVV/DPA und Transfergrundlage dokumentieren.Knotentypen
controller1 Knotenprocessing_activity2 Knotendata_category8 Knotenrecipient2 Knoten
Offene Mapping-Fragen
IT/Fachbereich · hochWelche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung? Systemliste je Verarbeitung mit Owner, Datenkategorien, Löschfrist und Zugriffskonzept.Datenschutz/Legal · mittelWelche Anbieter erhalten welche Datenarten und auf welcher Rechts-/Transfergrundlage? Anbieterakte, AVV/DPA, SCC/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag.Datenschutz/IT · mittelWelche Löschfrist gilt je Datenfluss vom Formular/Cookie/Anbieter bis zum internen System? Retention-Matrix je Datenkategorie, System und Empfänger.
Nächste Schritte
AktionTop-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.AktionInterne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.AktionData Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular/Cookie erneut prüfen.
AI Governance
Gibt es KI-, Chatbot- oder automatisierte Entscheidungssignale?
AI-Governance-Readiness 43/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).
Automatisch aus öffentlicher Website-Evidenz abgeleitete AI-Governance-Prüfung. Sichtbare Chat-, Anbieter- oder Textsignale beweisen keine konkrete KI-Nutzung; Betreiber müssen interne Use-Cases und Entscheidungswirkung bestätigen.
43Readiness2Signale0hoch5Kontrollen offen
AI-/Chat-/Assistenz-Anbieter prüfenkein klares Signal · niedrig · Score 42 · Vendor Owner/Legal
Keine klaren AI-/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.
Anbieterrolle, Zweck, Eingabedaten, Auftragsverarbeitung, Trainings-/Opt-out-Regeln und Transfergrundlage dokumentieren.Automatisierte Entscheidungen, Profiling oder Scoring transparent machenSignal erkannt · mittel · Score 64 · Datenschutz/Product
Begriffe in Datenschutzhinweis/RoPA-Evidenz: ai, ki
Prüfen, ob Art. 13/14/22-Informationen, Logik, Tragweite, Rechtsgrundlage und Widerspruchs-/Eingriffsmöglichkeiten beschrieben werden müssen.Personenbezogene Formular- oder Supportdaten vor AI-Nutzung schützenSignal erkannt · mittel · Score 57 · Product/Support/Datenschutz
Formular-/Use-Case-Signale: formular
Vor AI-Analyse von Kontakt-, Support- oder Bewerbungsdaten Datenminimierung, Maskierung, Rechtsgrundlage, Löschfrist und Human Review festlegen.AI-Bezug in risikoreichen Datenflüssen ausschließen oder kontrollierenkein klares Signal · niedrig · Score 34 · Datenschutz/IT
Data Map: 0 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 0.
Für AI-nahe Datenflüsse DPIA-/DSFA-Screening, Empfänger, Drittlandtransfer, TOMs und Betroffenenrisiko verbinden.Use-Cases
nicht eindeutig erkannt · Support-Chat, Chatbot oder Website-AssistentChat-/Kontaktinhalte, IP-/Geräteinformationen, Nutzungsdaten Bot-/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklärennicht eindeutig erkannt · Personalisierung, Segmentierung oder Lead ScoringTracking-, Kampagnen-, Formular- und CRM-Signale Profiling/Scoring verständlich mit Zwecken, Logik und Folgen beschreibenprüfen · Interne AI-Auswertung von Website-AnfragenKontakt-, Bewerbungs-, Newsletter- oder Supportdaten Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind
Kontrollen
offen · hochAI-/Automated-Decisioning-Use-Cases inventarisieren Use-Case, Zweck, Datenkategorien, Anbieter, Modell/Tool, Owner, Rechtsgrundlage und Löschfrist je Einsatz dokumentieren.offen · hochTransparenz zu AI, Profiling und automatisierten Entscheidungen prüfen Datenschutzerklärung um AI-Zwecke, Empfänger, Logik, Tragweite, Rechte und Kontaktweg ergänzen, sofern einschlägig.prüfen · mittelAI-/Chat-Anbieter vertraglich und technisch absichern AVV/DPA, TOMs, Unterauftragsverarbeiter, Trainingsnutzung, Opt-out, Region, SCC/TIA und Löschfristen prüfen.offen · hochMenschliche Prüfung und Beschwerdeweg festlegen Human-in-the-loop, Eskalation, Fehlerkorrektur, Widerspruch und Logging für relevante Entscheidungen operationalisieren.prüfen · mittelDPIA-/DSFA-Bezug und AI-Risiken verbinden AI-nahe Use-Cases mit DPIA-Screening, Data Map, Vendor Due Diligence und Schutzmaßnahmen verknüpfen.
Prüffragen
Product/Fachbereich · hochWerden Website-Anfragen, Chats, Bewerbungen, Leads oder Nutzungsdaten durch KI-Tools analysiert oder zusammengefasst? Use-Case-Liste mit Tool, Datenarten, Zweck, Owner und Speicher-/Trainingsregeln.Legal/Datenschutz · hochHat eine automatisierte Bewertung rechtliche, wirtschaftliche oder ähnlich erhebliche Wirkung für Nutzer? Entscheidungslogik, Human-Review-Regel, Widerspruchsweg und Art.-22-Prüfung.Vendor Owner/Legal · mittelDürfen Anbieter Eingaben oder personenbezogene Daten für Training, Produktverbesserung oder eigene Zwecke verwenden? AVV/DPA, TOMs, Subprocessor-Liste, Opt-out/No-Training-Nachweis, Region und SCC/TIA.
Incident / Breach
Ist der Betreiber auf Datenschutzvorfälle vorbereitet?
Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).
DSGVO: 72-Stunden-Prüfung ab Kenntnisnahme vorbereiten; konkrete Meldepflicht juristisch bewerten.
Automatisch aus Website- und Betreiberartefakten abgeleiteter Incident-Readiness-Entwurf; ersetzt keine rechtliche Meldeentscheidung und keine forensische Analyse.
66Readiness5Szenarien0kritisch3Nachweise offen
Security-Header/TLS-Kontrolllücke mit personenbezogenem Webtraffichoch · Score 60 · IT/Security
4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.
Webserver-Konfiguration einfrieren, Logs sichern, betroffene Endpunkte identifizieren und Header-/TLS-Fix als Sofortmaßnahme planen. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.PII-, URL- oder Referrer-Leakage auf Formular-/Tracking-Pfadenmittel · Score 50 · IT/Datenschutz
0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.
Betroffene URLs/Requests sichern, Formulardaten aus URLs entfernen, Referrer-Policy verschärfen und Drittanbieter auf Formularseiten blockieren. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.Anbieter-/Processor-Vorfall oder Drittlandtransfer unklarmittel · Score 44 · Vendor Owner/Legal
0 Anbieter, 0 AVV-/DPA-Prüfung(en), 0 Transferfrage(n).
Vendor Owner kontaktieren, Anbieterakte öffnen, betroffene Dienste/Datenflüsse aus Data Map markieren und vertragliche Breach-Notification-Fristen prüfen. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.Datenfluss mit hohem Risiko oder unklarem Empfängermittel · Score 38 · Datenschutz/IT
12 Datenfluss-Kanten, 0 hohes Risiko, 0 Transfer-Kante(n).
Top-Datenflüsse isolieren, betroffene Datenkategorien und Empfänger bestimmen, interne Systeme und Löschfristen aus Betreiberakten ergänzen. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.Tracking-/Cookie-Fehlkonfiguration mit möglichem Personenbezugniedrig · Score 34 · Marketing/IT
0 Cookie(s) inventarisiert: 0 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en).
Consent-Zustände reproduzieren, Cookie-/Storage-Werte nicht exportieren, betroffene Anbieter und Zwecke im Cookie-Inventar markieren. 72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab.Playbook
0-4 Stunden · Intake & TriageIncident Lead · Vorfall erfassen, Kenntniszeitpunkt setzen, Systeme/Anbieter markieren und Beweissicherung starten.0-24 Stunden · EindämmungIT/Security · Betroffene Tags, Formulare, Anbieter oder Endpunkte stoppen beziehungsweise isolieren; Logs und Konfigurationen sichern.24-48 Stunden · Risiko für BetroffeneDatenschutz/Legal · Datenarten, Anzahl Betroffener, Empfänger, Schutzmaßnahmen und mögliche Folgen bewerten.bis 72 Stunden · MeldeentscheidungDSB/Legal · Entscheidung zu Aufsichtsbehörde, Betroffeneninformation und Kundenkommunikation dokumentieren.7-30 Tage · NachbereitungProgramm-Owner · Ursache beheben, TOMs/Consent/Data Map/Vendor-Akten aktualisieren und Wiederholungstest planen.
Nachweise
manuell ergänzen · Zeitpunkt der KenntnisnahmeIncident Intake · Startpunkt für 72-Stunden-Prüfung.teilweise vorhanden · Betroffene Datenkategorien und DatenflüsseData Map · Grundlage für Risiko für Betroffene.nicht erkannt · Betroffene Anbieter/Processor und AVV/DPAVendor Due Diligence · Vendor-Fristen und Unterauftragsverarbeiter prüfen.vorhanden · Technische Nachweise und Hash-ManifestAudit Evidence · Beweissicherung und nachvollziehbare Methodik.prüfen · Betroffenen-/DSAR-KontaktkanalPrivacy Rights · Kommunikation mit Betroffenen vorbereiten.fehlt · Monitoring-/Change-AlertMonitoring · Wiederholung und neue Signale erkennen.
Meldefristen
EU/DSGVO · DSB/Legalunverzüglich, möglichst binnen 72 Stunden an Aufsichtsbehörde · Wenn Verletzung voraussichtlich ein Risiko für Rechte und Freiheiten natürlicher Personen darstellt.Betroffene Personen · DSB/Kommunikationunverzüglich · Wenn voraussichtlich hohes Risiko für Betroffene besteht.Processor/Vendor · Vendor Owner/Legalohne unangemessene Verzögerung nach Kenntnis · Wenn Anbieter als Auftragsverarbeiter betroffen ist oder Meldung vom Anbieter kommt.
Programmreife
Wie reif ist das Datenschutzprogramm dieser Website?
Privacy-Program-Maturity 59/100 (Etabliert mit Lücken); 7 Dimension(en) unter 50 Punkten und 3 kritische Lücke(n).
Automatisch abgeleitete Programmreife aus einem Website-Scan. Interne Prozesse, Ressourcen, Schulungen, Verträge und Systeme muss der Betreiber ergänzen.
59Score3Level25Dimensionen3kritisch
Betroffenenrechte / DSARad hoc · 12/100 · Level 1 · Support/Datenschutz
Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.
Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.Privacy Risk Register & Executive Dashboardreaktiv · 36/100 · Level 2 · Programm-Owner/Datenschutz
Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 1 hoch/kritisch, 0 sofort fällig, 1 binnen 7 Tagen und 17 binnen 30 Tagen.
Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.DSAR Workflow Automationreaktiv · 38/100 · Level 2 · Datenschutz/Support/IT
DSAR-Workflow-Readiness 38/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.
Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.Policy & Notice Lifecyclereaktiv · 42/100 · Level 2 · Datenschutz/Legal/Content
Policy-/Notice-Lifecycle-Readiness 42/100; 4/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.
Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.AI Governance & Automated Decisioningreaktiv · 43/100 · Level 2 · Datenschutz/Product/Legal
AI-Governance-Readiness 43/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).
AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.Consent & Cookie Governancereaktiv · 48/100 · Level 2 · Marketing/IT
Consent-, Cookie- und Banner-Signale aus dem Scan.
Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.Vendor Lifecycle & Third-Party Riskreaktiv · 49/100 · Level 2 · Datenschutz/Legal/Procurement
Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.
Vendor Discovery, Privacy Score, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.Privacy Controls Frameworketabliert · 50/100 · Level 3 · Programm-Owner/Compliance
Privacy Controls Framework 50/100; 1/9 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.
Kontrollkatalog mit Testfrequenz, Owner, Evidence, Abnahmekriterium und Betreiber-Nachweisen als Auditprozess betreiben.Dateninventar, RoPA & Data Mapetabliert · 53/100 · Level 3 · Datenschutz/IT
2 Verarbeitungstätigkeiten, 12 Datenfluss-Kanten.
Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.Regulatory Watch & Rechtsänderungsmonitoringetabliert · 58/100 · Level 3 · Datenschutz/Legal/Compliance
Regulatory-Watch-Readiness 58/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.
Offizielle DACH/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.Roadmap
0-30 Tage · hochBetroffenenrechte / DSAR verbessern Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.0-30 Tage · hochPrivacy Risk Register & Executive Dashboard verbessern Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.0-30 Tage · hochDSAR Workflow Automation verbessern Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.0-30 Tage · hochPolicy & Notice Lifecycle verbessern Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.0-30 Tage · hochAI Governance & Automated Decisioning verbessern AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.0-30 Tage · hochConsent & Cookie Governance verbessern Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.
Board-Fragen
FrageWelche drei Datenschutz-Risiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?FrageWelche Owner sind für Consent, Preference Center, Notice Lifecycle, Data Discovery, Scan Configuration, Risk Register, Control Framework, Trust/Audit Response, Trust Documentation Library, Regulatory Watch, RoPA/Data Map, Vendor Lifecycle, DSAR-Workflow, Assessment Automation, Retention/Deletion, DPIA und AI-Governance verbindlich benannt?FrageWelche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?FrageWie wird sichergestellt, dass neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-/Automated-Decisioning-Use-Cases vor Go-live geprüft werden?
Einordnung
Etabliert mit LückenScore ist ein SaferPage-Reifegrad aus öffentlicher Website-Evidenz und Betreiber-Artefakten; er ersetzt kein internes Audit.
Prüfbeleg
Wie wurde dieser Report erstellt?
Prüfbeleg für klausurgutachten.de: kontrollierter HTTP-/Browser-Kurzcheck mit 15 Request(s), 4 Consent-Zustand/Zuständen und 7 Artefakt(en).
84Beleg-Score6Abdeckung7Artefakte5Methodik
Scan-Zeit2026-06-07T12:25:06+00:00Endzielhttps://berlin.klausurgutachten.de/User-AgentSaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests)Rendererplaywright-chromium
Abdeckung
HTTP/DNS/TLSHTTP 200 · DNS ok · TLS okBrowserlauf15 Request(s), 0 Drittanbieter-Domain(s), 0 Browser-Cookie(s).Consent-Zustände4 Zustand/Zustände: Default, Ablehnen, Akzeptieren und GPC soweit verfügbar.Seitenabdeckung0 priorisierte Unterseite(n) im Nachweispack.Drittanbieter-Auszug0 Anbieterzeile(n) im öffentlichen Nachweis.Cookie-Auszug0 Cookie-Zeile(n) im öffentlichen Nachweis.
Artefakte
Öffentlicher Kurzreportverfügbar · https://saferpage.de/klausurgutachten.deJSON-Exportverfügbar · Maschinenlesbarer Report mit Modulen, Nachweisen und Tabellen.CSV-Exportverfügbar · Tabellarische Prüfzeilen für Betreiber, Datenschutz und Technik.100x100 Screenshotverfügbar · /cache/screenshots/klausurgutachten.de-100x100-601b62ecaccbb4ec41.pngCookie-Erklärungprüfen · 2 Cookie-/Storage-Eintrag/Einträge.Empfänger-/Anbieterinventarunauffällig · 0 Anbieterzeile(n), 0 AVV-/Rollenprüfung(en).Barrierefreiheitserklärung-EntwurfTeilweise konform im automatischen Basischeck · 1 bekannte Barrierefreiheits-Punkt(e).
Methodik
PrüfschrittURL normalisieren, DNS/TLS/HTTP abrufen und Weiterleitungsziel dokumentieren.PrüfschrittStartseite mit SaferPage-User-Agent und Headless Chromium aufrufen.PrüfschrittNetzwerk-Requests, Cookies, Web Storage, Screenshot und sichtbare Consent-Controls erfassen.PrüfschrittConsent-Zustände Default, Ablehnen, Akzeptieren und GPC soweit möglich gegenüberstellen.PrüfschrittCookies, Anbieter, Rechtsgrundlagen, Banner-UX, Security-Header, Barrierefreiheit und Betreiberaufgaben ableiten.
Grenzen
GrenzeÖffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.GrenzeDer Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.GrenzeDynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern.
SaferPage Prüfbeleg klausurgutachten.de: 15 Browser-Request(s), 0 Drittanbieter, 2 Cookie-/Storage-Einträge, geprüft am 2026-06-07T12:25:06.
Integritätsmanifest
Welche Nachweise sind gehasht?
Integritätsmanifest für klausurgutachten.de: 9/9 Nachweisbereich(e) mit SHA-256-Hash dokumentiert.
9Hashes9Abschnittesha256Algorithmusbf3a5f37fa92Root-Hash
Root-Hashbf3a5f37fa9287a1b542ad74683a05473c42c1540e785b8c96f8c704411f00d3KanonisierungJSON UTF-8, sort_keys=true, kompakte Separatoren; Screenshot als rohe Datei-Bytes.
Abschnitte
Prüfbelegverfügbar · 5d44fc8bbf2f5107 · Kanonischer JSON-Hash des kompakten Prüfbelegs.Scan-Protokollverfügbar · 5a2b110bfe49fb3a · URL, Endziel, User-Agent, Zeitstempel, HTTP/DNS/TLS und Renderer.Prüfschritteverfügbar · ccd188d809f80911 · Kanonischer JSON-Hash der dokumentierten Prüfstationen.Consent-Zuständeverfügbar · 4c6fd8288209437d · Default-, Ablehnen-, Akzeptieren- und GPC-Nachweise soweit verfügbar.Drittanbieter-Auszugleer · 4f53cda18c2baa0c · Sanitisierte Anbieter-, Kategorie-, Transfer- und Request-Zählwerte.Cookie-Auszugleer · 4f53cda18c2baa0c · Sanitisierte Cookie-Metadaten ohne Cookie-Werte.Request-Samplesleer · 4f53cda18c2baa0c · Sanitisierte Drittanbieter-Samples ohne vollständige Request-URLs.Geprüfte Unterseitenleer · 4f53cda18c2baa0c · Priorisierte Pfade aus Sitemap, Pflichtseiten und interner Linkstruktur.100x100 Screenshot-Dateiverfügbar · e8b5c32856d38d86 · /cache/screenshots/klausurgutachten.de-100x100-601b62ecaccbb4ec41.png
Verifikation
PrüfschrittJSON-Export speichern und den jeweiligen Abschnitt kanonisch mit sortierten Schlüsseln serialisieren.PrüfschrittSHA-256 des kanonischen Abschnitts bilden und mit dem Manifest vergleichen.PrüfschrittScreenshot-Datei separat als rohe Datei-Bytes hashen, falls ein Screenshot-Artefakt vorhanden ist.PrüfschrittBei einem Wiederholungsscan Root-Hash, Zeitstempel und Abschnitts-Hashes getrennt vergleichen.GrenzeDas Manifest schützt die im Report veröffentlichten/sanitisierten Nachweise, nicht verdeckte Cookie-Werte oder vollständige Request-URLs.GrenzeOhne externe qualifizierte Zeitstempelung beweist der Hash Integrität des exportierten Artefakts, aber keine amtliche Zustellung.
Hash-Chain
Ist die Scan-Historie verkettet?
Scan-Historie mit 2 Link(s) per SHA-256 verkettet; 2 Link(s) enthalten ein Integritätsmanifest. Head-Hash 974fb6e9f27e20e7.
2Links2mit Manifestsha256Algorithmus974fb6e9f27e20e7Head-Hash
Head-Hash974fb6e9f27e20e7cac2da5fee1d254a79b8a144a4524c21768b6781b5c6eda3Aktueller Root-Hashbf3a5f37fa9287a1b542ad74683a05473c42c1540e785b8c96f8c704411f00d3KanonisierungJSON UTF-8, sort_keys=true, kompakte Separatoren; jeder Link enthält Scan-ID, Zeitpunkt, Score, Root-Hash und vorherigen Link-Hash.
Aktueller Link 2Scan fd0457ad-ac89-4b · Score 24 · Link 974fb6e9f27e20e7 · Root bf3a5f37fa9287a1Historischer Link 1Scan d81d4a7e-9735-4e · Score 24 · Link 4b9b40a3971abb67 · Root 331868b150ff4b75
Nachweisprotokoll
Welche Belege liegen dem Report zugrunde?
Nachweisprotokoll mit 15 Browser-Request(s), 0 Cookie-Nachweis(en), 0 Drittanbieter-Auszug/auszügen und 4 Consent-Zustand/Zuständen.
15Requests0Drittanbieter0Cookies0Storage-Hinweise200HTTPjaScreenshot
Scan-Zeit2026-06-07T12:25:06+00:00User-AgentSaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests)Rendererplaywright-chromiumEndzielhttps://berlin.klausurgutachten.de/
Prüfschritte
DNSok · 1 Adresse(n) aufgelöst.TLS/HTTPSok · TLSv1.3HTTP-Abrufok · Status 200, Endziel https://berlin.klausurgutachten.de/.Browserlaufok · 15 Request(s), 0 Drittanbieter-Domain(s).Consent-Zuständeunauffällig · Default, Ablehnen, Akzeptieren und GPC werden soweit möglich gegenübergestellt.Exportsverfügbar · PDF/Druck, JSON und CSV enthalten die wesentlichen Prüfnachweise.
Consent-Zustände
ErstaufrufRequests 0 · Datenschutz-Domains 0 · Cookies 0Nach Ablehnen neuRequests 0 · Datenschutz-Domains 0 · Cookies 0Nach Akzeptieren neuRequests 0 · Datenschutz-Domains 0 · Cookies 0GPC-AufrufRequests 0 · Datenschutz-Domains 0 · Cookies 0
Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs. Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe. Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern.
Öffentlicher Status
SaferPage-Badge einbetten
Betreiber können den letzten öffentlichen SaferPage-Check als klickbares Status-Badge auf ihrer Website verlinken. Das Badge zeigt Gesamtscore und Regelwerks-Kurzscores; JSON liefert die Werte maschinenlesbar.
<a href="https://saferpage.de/klausurgutachten.de"><img src="https://saferpage.de/badge/klausurgutachten.de" alt="SaferPage Datenschutz-Check für klausurgutachten.de"></a>Benchmark
Wie steht diese Domain im Vergleich da?
klausurgutachten.de liegt mit 24 Punkten über dem gespeicherten Durchschnitt von 5.2.
9Rang93Vergleichsdomains90Perzentil5.2Durchschnitt
Median0Besser als84 gespeicherte Domain(s)Score 0_3988 Domain(s)Score 40_592 Domain(s)Score 60_793 Domain(s)Score 80_1000 Domain(s)
Neuester gespeicherter SaferPage-Scan je Domain; überwiegend deutschsprachige gespeicherte Checks.
Monitoring
Was hat sich seit dem letzten Scan verändert?
unverändert
Vergleich mit dem vorherigen gespeicherten Scan: Score +0 Punkte, 0 neue und 0 behobene Hinweis(e).
Neue Hinweise 0 · behoben 0 · neue technische Signale 0 · entfernte technische Signale 0
Scan-Verlauf
Aktuell · 2026-06-07 14:25Score 24 · 11 Hinweis(e)Früher · 2026-06-07 13:29Score 24 · 11 Hinweis(e)
Änderungen
Neue und behobene Hinweise
Score vorher: 24 · jetzt: 24 · Delta: +0
Neu
Keine neuen Hinweise gegenüber dem vorherigen Scan.
Behoben
Keine behobenen Hinweise gegenüber dem vorherigen Scan.
Technik-Delta
Neue Cookies, Drittanbieter und Skriptquellen
0 neue und 0 entfernte technische Datenschutz-Signal(e): Cookies, Drittanbieter und externe Skriptquellen.
Neu erkannt
Keine neuen Cookies. Keine neuen Drittanbieter. Keine neuen Skriptquellen.
Entfallen
Keine entfernten Cookies. Keine entfernten Drittanbieter. Keine entfernten Skriptquellen.
Alerts
Welche Änderungen sollten Betreiber aktiv prüfen?
Monitoring-Alert: ruhig. 0 neue Signal(e), 0 behobene/entfernte Signal(e), Score-Delta 0.
Nächsten SaferPage-Scan in 30 Tage durchführen.
Alert-Digest ist ein technischer Monitoring-Hinweis; Versandkanäle müssen Betreiber selbst anbinden.
Alert-Level: ruhig · neue Signale: 0 · hohe Priorität: 0
Alert-Auslöser
Keine konkreten Alert-Auslöser gegenüber dem letzten Scan.
Betreiber-Risiko
Welche Punkte sollte der Website-Betreiber zuerst beheben?
Hoher Betreiber-Handlungsbedarf
Abgeleitet aus dem Datenschutz-Webseiten-Report: Datenschutz, TDDDG/ePrivacy, BSI-Sicherheit, Google-Qualität und Nutzbarkeit werden nach passiven Befunden priorisiert.
BSI/Security-Headermittel · 4 Hinweis(e)Guide öffnenDDG/Anbieterkennzeichnungmittel · 2 Hinweis(e)Guide öffnenSkript-Lieferkettemittel · 1 Hinweis(e)Guide öffnenBarrierefreiheit/Usabilityniedrig · 1 Hinweis(e)Guide öffnen
Regelwerks-Scorecard
DSGVOScore 72/100 · prüfen · 2 Befund(e)Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.Guide öffnenTDDDG/ePrivacyScore 100/100 · keine priorisierten Hinweise · 0 Befund(e)Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.Guide öffnenBFSG/WCAGScore 94/100 · einzelne Hinweise · 1 Befund(e)Barrierefreiheit, Tastatur-/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.Guide öffnenBSI/SecurityScore 62/100 · prüfen · 5 Befund(e)TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.Guide öffnenDDG/BetreibervertrauenScore 86/100 · prüfen · 1 Befund(e)Impressum, Kontakt, Anbieterkennzeichnung und erkennbare Betreiberidentität.Guide öffnen
Regelwerks-Matrix
BSI/Sicherheitmittel · 5 Befund(e) · Score 38Guide öffnenDSGVO Transparenzmittel · 2 Befund(e) · Score 28Guide öffnenBetreibervertrauenmittel · 1 Befund(e) · Score 14Guide öffnenBITV/Usabilityniedrig · 1 Befund(e) · Score 6Guide öffnen
Domainhistorie
Wie lange gibt es die Domain?
RDAP liefert kein klares Registrierungsdatum.
RDAP-Hinweise
Letzte Änderung2026-04-27Statusactive
Datenschutz zuerst
Was sieht ein Nutzer beim ersten Aufruf?
Cookies beim ersten Aufruf: 0 · Tracking-Skripte: 0 · Datenschutzerklärung: nein · Impressum: nein · Ablehnen-Option: nein
Dateneingabe & Zahlung
Welche Daten könnte die Seite abfragen?
Keine Formular- oder Zahlungsabfrage im passiven Startseiten-Sample erkannt. Datenschutzkontext: nein · Betreiberkontext: nein
Erkannte Eingaben
Keine klare Dateneingabe oder Zahlung im passiven Startseiten-Sample erkannt.
PII & Datenlecks
Könnten personenbezogene Werte in URL, Referrer oder Tracking landen?
0 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext. Score: 100 · Hinweise: 0
Leckpfade
Aktuelle URLok · Keine sensiblen Query-Parameter erkannt.Link-Parameterok · Keine sensiblen Link-Querys erkannt.GET-Formulareok · Keine personenbezogenen GET-Formulare erkannt.Externe Formularzieleok · Keine externen Formularziele mit personenbezogenen Feldern erkannt.Tracking neben Dateneingabeok · Keine Kombination aus Dateneingabe und datenschutzrelevanten Drittanbietern erkannt.
Kurzantwort
Kann man der Website vertrauen?
SaferPage prüft passiv und formuliert die wichtigsten Punkte aus Nutzersicht. Technische Details bleiben nachvollziehbar im JSON erhalten.
Browser-Sicht
Was lädt die Seite im Chromium-Browser nach?
Requests: 15 · kontaktierte Domains: 1 · Drittanbieter: 0 · Browser-Cookies: 0 · Storage: 2 (0 Tracking-Hinweis(e)) · Banner: Akzeptieren 0 / Ablehnen 0 / Einstellungen 0 · Ablehnen/Akzeptieren: 0 · Reject-Test: nicht gefunden, neue Cookies 0, neue Tracking-Kontakte 0 · Accept-Test: nicht ausgeführt, neue Cookies 0, neue Tracking-Kontakte 0 · TCF-String: nein, Purposes 0, Vendors 0 · GPC: aktiv, Datenschutz-Domains 0, Drittanbieter-Cookies 0 · CMP: nein · Browser: playwright-chromium
Zwecke
Keine Drittanbieter-Zwecke erkannt.
CMP & Storage
TCF TC-StringneinTCF Purposes0TCF Vendors0Akzeptieren0Ablehnen0Einstellungen0Ablehnen/Akzeptieren0Reject-TestoffenNeue Cookies nach Ablehnen0Tracking-Storage nach Ablehnen0Neue Tracking-Kontakte0Accept-Testnicht ausgeführtNeue Requests nach Akzeptieren0Neue Cookies nach Akzeptieren0Neue Tracking-Kontakte nach Akzeptieren0GPC-SignalaktivGPC Datenschutz-Domains0GPC Drittanbieter-Cookies0GPC Storage-Hinweise0
Drittanbieter
Keine Drittanbieter-Domains aus der Chromium-Browseransicht gespeichert.
Consent-Zustände
Was passiert beim Erstaufruf, nach Ablehnen, nach Akzeptieren und mit GPC?
Consent-State-Evidence: 4 Zustände verglichen, 0 hoch auffällig, 0 mittel auffällig. Score: 100
Zustandsnachweis
ErstaufrufCookies 0 · neu 0 · Tracking-Storage 0 · Datenschutz-Domains 0 · niedrigNach AblehnenCookies 0 · neu 0 · Tracking-Storage 0 · Datenschutz-Domains 0 · niedrigNach AkzeptierenCookies 0 · neu 0 · Tracking-Storage 0 · Datenschutz-Domains 0 · niedrigGPC-AufrufCookies 0 · neu 0 · Tracking-Storage 0 · Datenschutz-Domains 0 · niedrig
Consent-Journey
Welche Anbieter erscheinen im Erstaufruf, nach Ablehnen, nach Akzeptieren und bei GPC?
Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 0 im GPC-Aufruf. Score: 100 · Ablehnen neu: 0 · Akzeptieren neu: 0 · GPC: 0
Zustandsmatrix
Keine Consent-Journey-Matrix aus den Browserzuständen vorhanden.
Drittanbieter-Kontakte
Wer bekommt beim ersten Aufruf technische Kontaktpunkte?
0 Drittanbieter-Domain(s) beim ersten Browseraufruf, davon 0 datenschutzrelevant. Score: 100 · Requests: 0 · datenschutzrelevant: 0
Kontaktmatrix
Keine Drittanbieter-Kontakte aus der Chromium-Browseransicht gespeichert.
Betreiber-Verzeichnis
Welche Empfänger und Auftragsverarbeiter sollte der Betreiber dokumentieren?
0 Empfänger-/Anbieter-Eintrag/Einträge aus Browserkontakten und Cookie-Inventar, 0 datenschutzrelevant, 0 mit AVV-/Rollenprüfung. Score: 100 · hoher Prüfbedarf: 0 · AVV/Rolle prüfen: 0
Automatisch aus technischen SaferPage-Signalen abgeleitet; Rollen, Verträge und Rechtsgrundlagen müssen Betreiber fachlich prüfen.
Anbieterinventar
Kein Empfänger-/Auftragsverarbeiter-Verzeichnis aus Browserkontakten und Cookies abgeleitet.
Transfer-Risiko
Welche Drittanbieter brauchen eine Drittland- oder Jurisdiktionsprüfung?
0 Drittanbieter für Transfer-/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 0 unklar. Score: 100 · hoher Prüfbedarf: 0 · unklar: 0
Anbieter-Prüfliste
Keine Drittanbieter für eine Transfer-/Jurisdiktionsprüfung erkannt.
Externe Inhalte
Laden Videos, Karten, Captchas oder Social-Widgets schon beim Seitenaufruf?
0 externe Embed-/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen. Score: 100 · vorab geladen: 0 · Captcha: 0
Embed-Prüfliste
Keine Video-, Karten-, Captcha- oder Social-Embeds aus HTML und Browserlauf erkannt.
Referrer & URL-Leaks
Werden Seitenpfade oder Suchparameter an Drittanbieter sichtbar?
0 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte. Score: 100 · Domains: 0 · sensible Kontexte: 0
Leak-Prüfliste
Keine Referrer- oder URL-Leak-Hinweise aus den gespeicherten Chromium-Requests erkannt.
Tracking-Pixel & Beacons
Sendet die Seite unsichtbare Pixel, Link-Pings oder Beacon-Telemetrie?
0 Pixel-/Bildtracking-Hinweis(e), 0 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s). Score: 100 · Pixel: 0 · Beacons/Telemetry: 0 · Link-Pings: 0
Signale
Keine Tracking-Pixel, Link-Pings oder Beacon-/Keepalive-Hinweise erkannt.
Fingerprinting & Session-Replay
Liest die Seite Browser-Merkmale oder Interaktionen aus?
0 Fingerprinting-/Session-Replay-Hinweis(e) aus dem Browserlauf. Score: 100 · Hinweise: 0
Browser-API-Check
Canvas-Ausleseok · 0 Pixel-Lesezugriff(e), 0 Export(e).WebGL-Merkmaleok · 0 Parameterzugriff(e), 0 Pixel-Lesezugriff(e).AudioContextok · 0 AudioContext/OfflineAudioContext-Aufruf(e).Session-Replay-Anbieterok · Keine bekannten Anbieter erkannt.Tastatur-/Eingabe-Listenerok · 0 Tastatur-/Input-Listener, 1 Interaktions-Listener, 0 MutationObserver.
Seitenabdeckung
Welche Unterseiten wurden gefunden?
0 interne Linkziele erkannt (0 aus Sitemap), 0 priorisierte Unterseite(n) zusätzlich abgerufen. Score: 50 · wichtige Seiten: · Sitemap-URLs: 0 · gelesene Sitemaps: 1 · Unterseiten mit Tracking: 0 · Formularlücken: 0
Priorisierte Seiten
Keine internen Unterseiten aus der Startseite abgeleitet.
Datenschutzerklärung
Keine Datenschutzerklärung-Inhaltsprüfung aus den priorisierten Unterseiten vorhanden.
Anbieter-Abgleich
Kein Anbieter-Abgleich aus Technik und Datenschutzerklärung vorhanden.
Google Consent Mode
Sind Google-Tags vor Einwilligung begrenzt?
Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet. Score: 100
Nachweis
Google-TagsneinConsent-DefaultneinConsent-UpdateneinGoogle-Domains0
Consent Mode Umsetzung
Wie setzen Betreiber Google Consent Mode sauber um?
Consent-Mode-Implementierung 100/100; 6/6 Schritt(e) bereit, 0 offen.
Technische Umsetzungsvorlage aus öffentlichen Scan-Signalen; Betreiber müssen CMP- und Tag-Konfiguration fachlich freigeben.
100Score6Schritte0offen3Tests
Google-Tags und Zwecke inventarisierenbereit · Marketing/Datenschutz · Planung
Google-Dienste, Tag-IDs, Zwecke, Rechtsgrundlagen und Consent-Kategorien abgleichen.
Nachweis: Google-Tags nicht erkannt, Google-Domains 0.Consent Mode Defaults vor dem ersten Google-Tag setzenbereit · GTM/Webentwicklung · Implementierung
Alle vier Consent-Mode-v2-Signale vor GTM/gtag auf denied setzen.
Nachweis: Default nicht erkannt, granted by default nein.CMP-Kategorien auf Consent Updates mappenbereit · GTM/CMP Owner · Implementierung
CMP-Kategorien fuer Statistik und Marketing auf gtag consent update mappen.
Nachweis: CMP nicht erkannt, Consent Update nicht erkannt.Marketing- und Google-Tags bis zur Einwilligung blockierenbereit · Marketing/IT · Tag-Regeln
GA4, Ads, Remarketing und Pixel mit Consent Checks und Trigger-Regeln freigeben.
Nachweis: Tracking-Cookies vor Consent 0, Datenschutz-Domains nach Ablehnen 0.Ablehnen, Widerruf und GPC testenbereit · Datenschutz/QA · Validierung
Ablehnen, Widerruf, Preference Center und GPC gegen Cookies, Requests und Storage testen.
Nachweis: Ablehnen nicht sichtbar, Consent-Zustaende 4.Nachweis, Re-Test und Release-Gate sichernbereit · Compliance/Release · Nachweis
Vor Livegang Default, Ablehnen, Akzeptieren und GPC dokumentieren; ZIP/XLSX exportieren und nach Tag-Aenderungen erneut scannen.
Nachweis: Consent-Zustaende 4, Consent-Audit-Score 48, Google-Consent-Score 100.Snippets
gtag Default vor GTM/Google-Tagvor dem ersten Google-TagWiderruf/Ablehnen auf deniedCMP-Ablehnen und Preference Center
Validierung
Erstaufruf ohne InteraktionKeine Marketing-/Analytics-Cookies und keine Ads/Remarketing-Requests.Ablehnen/GPCKeine neuen trackingrelevanten Cookies oder Drittanbieter-Requests.AkzeptierenNur erlaubte Kategorien feuern und sind in Cookie-Erklaerung/Anbieterregister dokumentiert.
Consent-Audit
Haelt die Seite Tracking bis zur Einwilligung zurueck?
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. Score: 48 · Cookies vor Einwilligung: 0 · Tracking-Cookies: 0 · Browser-Ablehnen: 0 · Ablehnen/Akzeptieren: 0 · Reject geklickt: nein · neue Cookies nach Ablehnen: 0 · Accept geklickt: nein · neue Cookies nach Akzeptieren: 0 · neue Tracking-Kontakte nach Akzeptieren: 0 · TCF-String: nein · TCF Purposes: 0 · TCF Vendors: 0 · GPC Datenschutz-Domains: 0 · GPC Drittanbieter-Cookies: 0 · Storage-Hinweise: 0 · CMP: nein · datenschutzrelevante Drittanbieter: 0
Pruefpunkte
Cookie-/Consent-Hinweis sichtbarpruefenAblehnen gleichwertig erreichbarpruefenEinstellungen oder Auswahl vorhandenpruefenAblehnen im sichtbaren BannerokEinstellungen im sichtbaren BannerokAblehnen nicht deutlich schwaecher dargestelltokAblehnen technisch klickbarokKeine neuen Cookies nach AblehnenokKein Tracking-Storage nach AblehnenokKeine neuen Tracking-Kontakte nach Ablehnenok
Naechste Schritte
Pre-Consent-Blockierplan prüfen: 2 Blockier-/Consent-Maßnahme(n) abgeleitet: 0 hoch, 2 mittel.BetreiberCookie-Banner oder Datenschutzeinstellungen klar sichtbar anbieten.BetreiberAblehnen auf der ersten Ebene genauso erreichbar machen wie Akzeptieren.BetreiberGranulare Zwecke und Anbieter in einer zweiten Ebene anzeigen.Betreiber
Pre-Consent-Blockierplan
i18nextLngmittel · storage · Unklar · Team CMP/Developer · Google Tag Manager: Tag/Trigger für i18nextLng nur mit Consent Check 'preferences_storage' auslösen; Consent Initialization muss vor allen Tags denied setzen. · Usercentrics: Data Processing Service für localStorage prüfen; i18nextLng als manuell blockiertes Script/Service erst nach Einwilligung laden.ksga-static-contentmittel · storage · Unklar · Team CMP/Developer · Google Tag Manager: Tag/Trigger für ksga-static-content nur mit Consent Check 'preferences_storage' auslösen; Consent Initialization muss vor allen Tags denied setzen. · Usercentrics: Data Processing Service für localStorage prüfen; ksga-static-content als manuell blockiertes Script/Service erst nach Einwilligung laden.
Banner-UX
Wirkt das Consent-Banner fair und gleichwertig bedienbar?
Consent-Banner-UX: 0 auffällige Prüfpunkt(e), davon 0 hoch. Keine klaren Dark-Pattern-Muster aus den Browserdaten abgeleitet. Score: 100 · Akzeptieren: 0 · Ablehnen: 0 · Einstellungen: 0 · Dark-Pattern-Hinweise: 0
Automatisch aus sichtbaren Banner-Controls und Browser-Interaktionen abgeleitet; visuelle Details und Rechtmäßigkeit fachlich prüfen.
UX-Prüfpunkte
Ablehnen auf erster Ebene sichtbarok · niedrig · Sichtbare Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0. · Ablehnen im ersten Banner-Layer genauso leicht erreichbar machen wie Akzeptieren.Einstellungen sichtbar erreichbarok · niedrig · Einstellungs-/Auswahl-Controls im Banner: 0. · Cookie-Auswahl, Zwecke und Anbieter über eine gut sichtbare Einstellungen-Schaltfläche öffnen.Ablehnen und Akzeptieren wirken gleichwertigok · niedrig · Größenverhältnis Ablehnen/Akzeptieren: nicht messbar. Accept-Fläche 0, Reject-Fläche 0. · Ablehnen mit vergleichbarer Größe, Farbe, Position und Textgewicht wie Akzeptieren darstellen.Ablehnen technisch klickbarok · niedrig · Reject-Test: kein Button gefunden. Text: · Ablehnen als echten Button/Link ohne Overlay-Hürden, Scrollzwang oder versteckte zweite Ebene umsetzen.Ablehnen stoppt neue Tracking-Signaleok · niedrig · Nach Ablehnen: 0 neue Cookie(s), 0 Tracking-Storage-Hinweis(e), 0 neue Datenschutz-Domain(s). · Nach Ablehnen keine nicht notwendigen Cookies, Tracking-Storage-Keys oder Tracking-/Werbekontakte auslösen.Akzeptieren-Wirkung nachvollziehbarok · niedrig · Accept-Test: nicht verfügbar; neue Cookies 0, neue Datenschutz-Domains 0. · Nach Akzeptieren geladene Dienste, Cookies und Storage-Einträge in Cookie-Auswahl und Datenschutzerklärung abbilden.GPC-Aufruf ohne neue Tracking-Hinweiseok · niedrig · GPC: Datenschutz-Domains 0, Drittanbieter-Cookies 0, Storage-Hinweise 0. · Global Privacy Control als Opt-out-Signal berücksichtigen und Tracking-/Sharing-Dienste begrenzen.Keine Tracking-Cookies vor Einwilligungok · niedrig · 0 Tracking-Cookie(s) im Erstaufruf. · Analytics-, Marketing- und Profiling-Cookies erst nach aktiver Einwilligung setzen.
TCF-Decoder
Welche IAB-TCF-Zwecke wirken im Erstaufruf erlaubt?
TCF-Decoder: 0 Zweck(e) mit Consent/LI-Signal, 0 Vendor-Consent(s), 0 Vendor-LI-Signal(e). Score: 100 · TC-String: nein · Purposes Consent: 0 · Purposes LI: 0 · Vendor Consent: 0 · Vendor LI: 0
TCF-Zwecke
Keine auswertbaren IAB-TCF-Signale im Browserzustand erkannt.
Quellenmatrix
Welche offiziellen Quellen stützen die Einordnung?
Quellenmatrix: 8 offizielle/operative Quelle(n) mit Befundbezug und Betreibermaßnahme.
Quellen dienen der technischen Einordnung und Betreiber-Dokumentation; sie ersetzen keine Rechtsberatung.
Quellen: 8 · offizielle Links: 4
Referenzen
DSK Orientierungshilfe digitale DiensteTDDDG/ePrivacy · prüfen · 100 · Guide öffnenDSGVO Art. 6DSGVO Rechtsgrundlagen · prüfen · 95 · Guide öffnenBSI TLS-Mindeststandard und IT-Grundschutz Webserver/WebanwendungenBSI/Sicherheit · prüfen · 80 · Guide öffnenWCAG 2.2 / BFIT / European Accessibility ActBarrierefreiheit · prüfen · 70 · Guide öffnenBFSG/WCAGSaferPage Regelwerks-Scorecard · einzelne Hinweise · 40 · Guide öffnenBSI/SecuritySaferPage Regelwerks-Scorecard · prüfen · 40 · Guide öffnenDSGVOSaferPage Regelwerks-Scorecard · prüfen · 40 · Guide öffnenTDDDG/ePrivacySaferPage Regelwerks-Scorecard · keine priorisierten Hinweise · 40 · Guide öffnen
DSGVO & TDDDG
Welche Rechtsgrundlagen sollte der Betreiber prüfen?
Rechtsgrundlagen-Matrix: 3 Verarbeitungsvorgang/-vorgänge, 3 mit Einwilligungsbezug, 0 vor Consent auffällig.
Automatisch aus technischer Scan-Evidenz abgeleitet. Keine Rechtsberatung; Rechtsgrundlagen und TDDDG-Erforderlichkeit fachlich prüfen.
Einwilligungsbezug: 3 · vor Consent auffällig: 0 · unklar/prüfen: 3 · Drittanbieter: 0 · Storage: 2
Prüfmatrix
Consent-NachweisConsent · Nachweis und Widerruf prüfen · hochi18nextLngWeb Storage · unklar, prüfen · mittelksga-static-contentWeb Storage · unklar, prüfen · mittel
Disclosure-Abgleich
Passt die Datenschutzerklärung zur beobachteten Technik?
Disclosure-Abgleich: 1 beobachtete Anbieter, 1 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.
Automatischer Textabgleich gegen technische Beobachtungen; Schreibweisen und dynamische Inhalte können manuelle Prüfung erfordern.
Score: 0 · Anbieter erkannt: 1 · Anbieter fehlen: 1 · Policy-Lücken: 0
Lücken
Eigene Website oder eingebundener Dienstcookie_anbieter · Unklassifiziert · prüfen
Betreiber-Vorlage
Welche Textbausteine gehören in Datenschutz und Cookie-Hinweise?
Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).
Automatisch aus einem passiven technischen Scan abgeleitet. Keine Rechtsberatung; Inhalte vor Veröffentlichung fachlich und rechtlich prüfen.
Cookies und ähnliche Technologien
Beim passiven SaferPage-Erstaufruf von klausurgutachten.de wurden 0 Cookie(s) und 2 Web-Storage-Key(s) dokumentiert. Prüfen Sie, welche Einträge technisch erforderlich sind und welche erst nach Einwilligung gesetzt werden dürfen.
Drittanbieter
Der Chromium-Aufruf kontaktierte 0 Drittanbieter-Domain(s). Nennen Sie Anbieter, Zwecke, Empfänger, Rechtsgrundlage, Drittlandtransfer und Widerrufsmöglichkeit in der Datenschutzerklärung.
Einwilligung und Widerruf
Nicht notwendige Cookies, Tracking, Werbung, Tag Manager und vergleichbare Web-Storage-IDs sollten vor Zustimmung blockiert werden. SaferPage bewertet den Consent-Audit aktuell mit 48 Punkten.
Entwurfsbausteine
LocalStorage und SessionStorage zusätzlich zur Cookie-Tabelle inventarisieren.prüfen
Cookie-Erklärung für Betreiber
Keine Cookie-Zeilen für den Entwurf vorhanden.
Drittanbieter-Erklärung
Keine Drittanbieter-Zeilen für den Entwurf vorhanden.
Web-Storage-Erklärung
i18nextLnglocalStorage · Unklar · unklar, prüfen · dauerhaft bis Löschung durch Nutzer/Browserksga-static-contentlocalStorage · Unklar · unklar, prüfen · dauerhaft bis Löschung durch Nutzer/Browser
Cookie-Inventar
Welche Cookies wurden beim ersten Aufruf gesehen?
0 Cookie(s) inventarisiert: 0 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en). Score: 100 · ohne Secure: 0 · ohne SameSite: 0 · persistent: 0 · langlebiges Tracking: 0 · sehr lang: 0 · Laufzeitrisiko: 0
Cookies
Keine Cookies im HTTP- oder Browser-Erstaufruf inventarisiert.
Cookie-Erklärung
Welche Cookie-Tabelle kann der Betreiber veröffentlichen?
Cookie-Erklärung mit 2 Eintrag/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 2 unklassifiziert. Score: 88 · einwilligungspflichtig: 0 · vor Consent: 0 · unklassifiziert: 2
Automatisch aus SaferPage-Cookie- und Web-Storage-Signalen abgeleitet; Kategorien und Zwecke vor Veröffentlichung fachlich prüfen.
Kategorien und Einträge
Unklassifiziert2 Eintrag/Einträge · Zweck oder Erforderlichkeit aus dem technischen Scan nicht sicher bestimmbar.i18nextLngUnklassifiziert · unklar, prüfen · Anbieter Eigene Website oder eingebundener Dienst · Laufzeit dauerhaft bis Löschung durch Nutzer/Browser · vor Consent gesehenksga-static-contentUnklassifiziert · unklar, prüfen · Anbieter Eigene Website oder eingebundener Dienst · Laufzeit dauerhaft bis Löschung durch Nutzer/Browser · vor Consent gesehen
Barrierefreiheit & Usability
Sind Basis-Signale für Screenreader und Tastatur erkennbar?
0 Bild(er), 0 Formularfeld(er), 0 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft. Score: 92
1 WCAG-/EAA-Prüfpunkt(e) auffällig, davon 0 mit hoher Auswirkung. Automatisch aus HTML-Signalen abgeleitet; ersetzt keine vollständige manuelle WCAG-/BITV-Prüfung.
Nachweis
Bilder ohne alt0Felder ohne Label0Buttons ohne Namen0HTML langjaH10Viewportja
WCAG/EAA-Prüfpunkte
Alternativtexte für BilderWCAG 1.1.1 Non-text Content · ok · Impact niedrig · 0 von 0 Bild(er) ohne alt-Text im HTML-Sample. · Inhaltliche Bilder mit aussagekräftigem alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.Formularfelder beschriftenWCAG 1.3.1 Info and Relationships / 3.3.2 Labels or Instructions · ok · Impact niedrig · 0 von 0 Formularfeld(er) ohne erkennbare Beschriftung. · Jedes Eingabefeld mit sichtbarem label, aria-label oder aria-labelledby verbinden.Buttons mit Namen versehenWCAG 4.1.2 Name, Role, Value · ok · Impact niedrig · 0 von 0 Button(s) ohne erkennbaren Namen. · Buttons mit sichtbarem Text, aria-label oder eindeutigem value auszeichnen.Seitensprache auszeichnenWCAG 3.1.1 Language of Page · ok · Impact niedrig · HTML-lang-Attribut gefunden. · Am html-Element die passende Sprache setzen, zum Beispiel lang="de".ÜberschriftenstrukturWCAG 1.3.1 Info and Relationships / 2.4.6 Headings and Labels · prüfen · Impact mittel · 0 H1 und 0 Überschrift(en) im HTML-Sample. · Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen.Mobile Viewport-BasisWCAG 1.4.10 Reflow · ok · Impact niedrig · Viewport-Meta-Tag gefunden. · meta name="viewport" setzen und Layout auf mobile Reflow-Fähigkeit prüfen.
BFSG/WCAG
Entwurf für eine Barrierefreiheitserklärung
Entwurf mit 1 bekannten Barrierefreiheits-Punkt(en) aus dem Scan. Status: Teilweise konform im automatischen Basischeck
Automatisch aus SaferPage-HTML- und Browser-Signalen abgeleitet; ersetzt keine vollständige BITV-/WCAG-Prüfung und keine Rechtsberatung.
Erklärungsbausteine
Stand der VereinbarkeitDie Website klausurgutachten.de (https://berlin.klausurgutachten.de/) wurde mit einem automatisierten SaferPage-Basischeck geprüft. Ergebnis: Teilweise konform im automatischen Basischeck. Der Check orientiert sich an WCAG 2.2-Basissignalen und typischen BFSG/EAA-Betreiberpflichten.Nicht barrierefreie InhalteIm automatischen Basischeck wurden folgende Punkte als nicht vollständig belegt markiert: Überschriftenstruktur (WCAG 1.3.1 Info and Relationships / 2.4.6 Headings and Labels).Erstellung dieser ErklärungDiese Entwurfsfassung wurde aus einem automatisierten technischen Kurzcheck erstellt. Vor Veröffentlichung sollten Tastaturbedienung, Screenreader-Nutzung, Kontraste, Fokusführung, PDFs und eingebundene Dienste manuell geprüft werden.Feedback und KontaktBitte ergänzen Sie eine barrierefreie Kontaktmöglichkeit, über die Nutzer Barrieren melden und Informationen in zugänglicher Form anfordern können.DurchsetzungsverfahrenBitte ergänzen Sie die zuständige Durchsetzungs-, Marktüberwachungs- oder Schlichtungsstelle für Ihr Angebot und Ihren Sitz.ÜberschriftenstrukturWCAG 1.3.1 Info and Relationships / 2.4.6 Headings and Labels · Impact mittel · 0 H1 und 0 Überschrift(en) im HTML-Sample. · Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen.
DSGVO, Cookies & Tracking
Welche Datenschutz-Signale fallen auf?
Consent-Hinweis: nein · Datenschutz-Hinweis: nein · Cookies: 0
Tracking
Keine bekannten Tracking-Scripts erkannt.
Cookies
Keine Set-Cookie-Header erkannt.
Seiteninhalt & Keywords
Worum geht es auf der Seite?
Klausurgutachten
Web site created using create-react-app
klausurgutachten2site1created1using1create-react-app1need1enable1javascript1
Technologie-Erkennung
Womit wurde die Seite gebaut?
Server: Apache · Powered-by: nicht erkannt · Generator: nicht erkannt
ApacheServer
CVE & Versionsrisiko
Gibt es Hinweise auf bekannte Schwachstellen?
Keine Treffer in der konfigurierten Advisory-Quelle. Erkannte Versionen: 0 · Advisory-Treffer: 0 · Versionsregeln: 0
Ohne sichtbare Versionsnummern ist ein passiver CVE-Abgleich nur eingeschränkt möglich.
Impressum & Betreibertransparenz
Sind rechtliche Hinweise erkennbar?
Impressum: nein · Datenschutz: nein · Ablehnen-Option: nein
Kein Impressum-Link erkanntwarningKeine klare Kontaktmöglichkeit erkanntwarning
Performance / PageSpeed-Basis
Wirkt die Seite schnell und mobil nutzbar?
Score: 100 · Antwortzeit: 44 ms · HTML: 3360 Bytes · Viewport: ja
Keine auffälligen Performance-Muster erkannt.
Infrastruktur & TLS-Vertrauen
Wie professionell wirkt DNS, HTTPS und E-Mail-Schutz?
IPs: 1 · IPv6: nein · Zertifikat: 45 Tage · HSTS: ja · MX/SPF/DMARC: ja/ja/nein
DMARC fehltinfoCAA-Record fehltinfo
Security-Header
Welche Browser-Schutzheader sind gesetzt?
4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden. Score: 70 · vorhanden: 4 · fehlen: 5 · prüfen: 0
Checkliste
HSTSok · max-age=31536000; includeSubDomains; preloadContent-Security-Policyfehlt · Schrittweise CSP mit default-src 'self' und expliziten Drittanbietern einführen.X-Frame-Optionsok · sameoriginX-Content-Type-Optionsok · nosniffReferrer-Policyok · strict-origin-when-cross-originPermissions-Policyfehlt · Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation sperren.Cross-Origin-Opener-Policyfehlt · same-origin oder same-origin-allow-popups nach FunktionsprüfungCross-Origin-Resource-Policyfehlt · same-origin oder same-site nach RessourcenprüfungCross-Origin-Embedder-Policyfehlt · require-corp nur nach Prüfung aller eingebetteten Drittressourcen
Konfigurationsvorschläge
Content-Security-Policydefault-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'Permissions-Policycamera=(), microphone=(), geolocation=()Cross-Origin-Opener-Policysame-originCross-Origin-Resource-Policysame-siteCross-Origin-Embedder-Policyrequire-corp
CSP-Qualität
Keine Content-Security-Policy gefunden.
Skript-Lieferkette
Welche externen Skripte sollten auf SRI, Consent und CSP geprüft werden?
3 externe Skript(e) von 1 Host(s), 3 ohne SRI, 0 Tracking-/Tag-nahe Skript(e). Score: 88 · Hosts: 1 · ohne SRI: 3 · Tracking/Tags: 0
Skriptquellen
berlin.klausurgutachten.deSonstige · berlin.klausurgutachten.de · SRI fehltberlin.klausurgutachten.deSonstige · berlin.klausurgutachten.de · SRI fehltberlin.klausurgutachten.deSonstige · berlin.klausurgutachten.de · SRI fehlt
Zusammenhänge & Servernetzwerk
Welche Domains und IDs wirken verbunden?
Ad-/Tracking-IDs: 0 · gleiche-IP-Nachbarn: 0 · bekannte eingehende Links: 0 · Servernetze: 1
Signale
Keine gemeinsamen IDs, gleiche-IP-Nachbarn oder gespeicherten Backlink-Hinweise erkannt.
Servernetz
188.245.55.19IPv4 · static.19.55.245.188.clients.your-server.de188.245.55.0/24sichtbares Netz
SEO, Verhalten & Cloaking
Gibt es manipulative Signale?
SEO-Risiko: low · Browser-Verhalten: low · Cloaking: low
Keine klaren SEO-, Verhaltens- oder Cloaking-Auffälligkeiten erkannt.
Alle Hinweise
JSON-Report anzeigen
{
"host": "klausurgutachten.de",
"input": "klausurgutachten.de",
"score": 24,
"verdict": {
"color": "red",
"label": "riskant",
"score": 24
},
"evidence": {
"dns": {
"ok": true,
"addresses": [
"188.245.55.19"
],
"duration_ms": 1
},
"tls": {
"ok": true,
"cipher": "TLS_AES_256_GCM_SHA384",
"issuer": [
[
[
"countryName",
"US"
]
],
[
[
"organizationName",
"Let's Encrypt"
]
],
[
[
"commonName",
"E8"
]
]
],
"subject": [
[
[
"commonName",
"berlin.klausurgutachten.de"
]
]
],
"version": "TLSv1.3",
"not_after": "Jul 22 22:37:02 2026 GMT",
"hostname_matches": true,
"days_until_expiry": 45,
"subject_alt_names": [
"berlin.klausurgutachten.de",
"klausurgutachten.de",
"www.klausurgutachten.de"
],
"issuer_common_name": "E8"
},
"http": {
"ok": true,
"status": 200,
"headers": {
"date": "Sun, 07 Jun 2026 12:25:03 GMT",
"etag": "\"d20-649f00a4c1180\"",
"vary": "Accept-Encoding",
"server": "Apache",
"upgrade": "h2",
"connection": "Upgrade, close",
"content-type": "text\/html",
"accept-ranges": "bytes",
"last-modified": "Tue, 03 Feb 2026 18:59:34 GMT",
"content-length": "3360",
"referrer-policy": "strict-origin-when-cross-origin",
"x-frame-options": "sameorigin",
"x-xss-protection": "0",
"x-content-type-options": "nosniff",
"strict-transport-security": "max-age=31536000; includeSubDomains; preload"
},
"body_size": 3360,
"final_url": "https:\/\/berlin.klausurgutachten.de\/",
"duration_ms": 44
},
"scanner": {
"bot_url": "https:\/\/saferpage.de\/bot",
"context": "crawler",
"user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)",
"default_user_agent": "SaferPageBot\/0.2 (+https:\/\/saferpage.de\/bot; passive website safety check; no attack tests)"
},
"domain_records": {
"mx": true,
"caa": false,
"spf": true,
"dmarc": false,
"dnssec": false
},
"googlebot_http": {
"ok": true,
"status": 200,
"headers": {
"date": "Sun, 07 Jun 2026 12:25:03 GMT",
"etag": "\"d20-649f00a4c1180\"",
"vary": "Accept-Encoding",
"server": "Apache",
"upgrade": "h2",
"connection": "Upgrade, close",
"content-type": "text\/html",
"accept-ranges": "bytes",
"last-modified": "Tue, 03 Feb 2026 18:59:34 GMT",
"content-length": "3360",
"referrer-policy": "strict-origin-when-cross-origin",
"x-frame-options": "sameorigin",
"x-xss-protection": "0",
"x-content-type-options": "nosniff",
"strict-transport-security": "max-age=31536000; includeSubDomains; preload"
},
"body_size": 3360,
"final_url": "https:\/\/berlin.klausurgutachten.de\/",
"duration_ms": 14
}
},
"findings": [
{
"id": "imprint_missing",
"title": "Kein Impressum-Link erkannt",
"public": true,
"audience": "nutzer",
"category": "privacy",
"severity": "warning",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_slug": "impressum-und-kontakt-sichtbar-machen",
"guide_label": "Fehler beheben",
"recommendation": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.",
"user_importance": 125,
"importance_label": "Wichtig für Nutzer"
},
{
"id": "operator_contact_missing",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"public": true,
"audience": "nutzer",
"category": "privacy",
"severity": "warning",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_slug": "impressum-und-kontakt-sichtbar-machen",
"guide_label": "Fehler beheben",
"recommendation": "E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken.",
"user_importance": 116,
"importance_label": "Wichtig für Nutzer"
},
{
"id": "important_pages_not_discovered",
"title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden",
"public": true,
"audience": "nutzer",
"category": "crawl",
"severity": "warning",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"guide_slug": "datenschutz-webseiten-pruefkatalog",
"guide_label": "Fehler beheben",
"recommendation": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.",
"user_importance": 88,
"importance_label": "Wichtig für Nutzer"
},
{
"id": "external_script_without_sri",
"count": 3,
"title": "Externe Skripte ohne Subresource Integrity",
"public": true,
"audience": "nutzer",
"category": "security_headers",
"severity": "info",
"guide_url": "\/guides\/externe-skripte-und-sri-absichern",
"guide_slug": "externe-skripte-und-sri-absichern",
"guide_label": "Fehler beheben",
"recommendation": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.",
"user_importance": 84,
"importance_label": "Wichtig für Nutzer"
},
{
"id": "heading_structure_missing",
"title": "Keine Überschriftenstruktur erkannt",
"public": true,
"audience": "betreiber",
"category": "accessibility",
"severity": "info",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"guide_slug": "barrierefreiheit-cookie-banner-formulare",
"guide_label": "Fehler beheben",
"recommendation": "Eine klare H1 und sinnvolle Zwischenüberschriften erleichtern Orientierung und Screenreader-Nutzung.",
"user_importance": 74,
"importance_label": "Technischer Hinweis"
},
{
"id": "missing_csp",
"title": "Content-Security-Policy fehlt",
"public": true,
"audience": "betreiber",
"category": "security_headers",
"severity": "warning",
"guide_url": "\/guides\/security-header-setzen",
"guide_slug": "security-header-setzen",
"guide_label": "Fehler beheben",
"recommendation": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.",
"user_importance": 72,
"importance_label": "Technischer Hinweis"
},
{
"id": "missing_cross_origin_embedder_policy",
"title": "Cross-Origin-Embedder-Policy fehlt",
"public": true,
"audience": "betreiber",
"category": "security_headers",
"severity": "info",
"guide_url": "\/guides\/security-header-setzen",
"guide_slug": "security-header-setzen",
"guide_label": "Fehler beheben",
"recommendation": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
"user_importance": 68,
"importance_label": "Technischer Hinweis"
},
{
"id": "missing_cross_origin_opener_policy",
"title": "Cross-Origin-Opener-Policy fehlt",
"public": true,
"audience": "betreiber",
"category": "security_headers",
"severity": "info",
"guide_url": "\/guides\/security-header-setzen",
"guide_slug": "security-header-setzen",
"guide_label": "Fehler beheben",
"recommendation": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.",
"user_importance": 66,
"importance_label": "Technischer Hinweis"
},
{
"id": "missing_cross_origin_resource_policy",
"title": "Cross-Origin-Resource-Policy fehlt",
"public": true,
"audience": "betreiber",
"category": "security_headers",
"severity": "info",
"guide_url": "\/guides\/security-header-setzen",
"guide_slug": "security-header-setzen",
"guide_label": "Fehler beheben",
"recommendation": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.",
"user_importance": 64,
"importance_label": "Technischer Hinweis"
},
{
"id": "crawl_coverage_limited",
"title": "Wenig interne Seiten auf der Startseite gefunden",
"public": true,
"audience": "betreiber",
"category": "crawl",
"severity": "info",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"guide_slug": "datenschutz-webseiten-pruefkatalog",
"guide_label": "Fehler beheben",
"recommendation": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.",
"user_importance": 62,
"importance_label": "Technischer Hinweis"
},
{
"id": "missing_permissions_policy",
"title": "Permissions-Policy fehlt",
"public": true,
"audience": "betreiber",
"category": "security_headers",
"severity": "info",
"guide_url": "\/guides\/security-header-setzen",
"guide_slug": "security-header-setzen",
"guide_label": "Fehler beheben",
"recommendation": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.",
"user_importance": 40,
"importance_label": "Technischer Hinweis"
}
],
"domain_id": "87fbd7b2-e6ec-4dd6-b23b-82870413d6a2",
"seo_analysis": {
"signals": {
"top_word": "klausurgutachten",
"city_terms": [],
"canonical_url": "",
"top_word_count": 1,
"top_word_ratio": 0.125,
"city_term_count": 0,
"hidden_link_hits": 0,
"hidden_text_hits": 0,
"suspicious_terms": [],
"meta_refresh_hits": 0,
"external_link_count": 0,
"structured_data_types": []
},
"findings": [],
"risk_level": "low"
},
"user_summary": {
"color": "red",
"label": "riskant",
"score": 24,
"checks": [
{
"id": "privacy",
"color": "green",
"score": 100,
"title": "Datenschutz & Tracking",
"status": "unauffällig",
"summary": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 datenschutzrelevante Drittanbieter."
},
{
"id": "transparency",
"color": "red",
"score": 25,
"title": "Betreibertransparenz",
"status": "kritisch",
"summary": "Impressum, Kontakt und Datenschutzerklärung wurden für deutschsprachige Nutzer eingeordnet."
},
{
"id": "data_entry",
"color": "green",
"score": 100,
"title": "Dateneingabe",
"status": "unauffällig",
"summary": "Keine Formular- oder Zahlungsabfrage im passiven Startseiten-Sample erkannt."
},
{
"id": "browser",
"color": "green",
"score": 100,
"title": "Browserkontakte",
"status": "unauffällig",
"summary": "Chromium sah 15 Request(s), 0 Drittanbieter-Domain(s), davon 0 datenschutzrelevant."
},
{
"id": "domain",
"color": "yellow",
"score": 80,
"title": "Domainhistorie",
"status": "prüfen",
"summary": "RDAP liefert kein klares Registrierungsdatum."
},
{
"id": "technical",
"color": "green",
"score": 92,
"title": "Technische Basis",
"status": "unauffällig",
"summary": "HTTPS, DNS, Zertifikat, HTTP-Status und wichtige Sicherheitsheader wurden passiv geprüft."
},
{
"id": "usability",
"color": "green",
"score": 100,
"title": "Nutzbarkeit",
"status": "unauffällig",
"summary": "Antwortzeit, mobile Viewport-Basis und auffällige Browser-Verhaltensmuster wurden eingeordnet."
}
],
"limits": [
"SaferPage ist ein passiver Kurzcheck und ersetzt keine Rechtsberatung.",
"Ein guter technischer Eindruck beweist nicht, dass ein Anbieter seriös ist.",
"Ein schlechter Wert kann auch durch Fehlkonfigurationen entstehen und sollte sachlich geprüft werden."
],
"audience": "Nutzer im deutschsprachigen Raum",
"headline": "Nur mit Vorsicht nutzen",
"action_steps": [
{
"id": "check_operator",
"title": "Betreiber prüfen",
"detail": "Impressum, vollständige Anschrift, Kontaktmöglichkeit und den Domainnamen mit dem Anbieter abgleichen.",
"priority": "hoch"
}
],
"plain_language": "Mehrere deutliche Warnsignale sprechen dafür, vor Eingabe persönlicher Daten, Registrierung oder Zahlung genauer hinzusehen.",
"primary_action": "Keine sensiblen Daten eingeben, bis Impressum, Datenschutz und technische Warnungen plausibel geklärt sind.",
"verdict_reasons": {
"summary": "Die Einordnung ergibt sich aus den stärksten Warnsignalen und den erkannten Vertrauenssignalen.",
"negative": [
{
"type": "negative",
"label": "Auffällig",
"title": "Kein Impressum-Link erkannt",
"detail": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein."
},
{
"type": "negative",
"label": "Auffällig",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"detail": "E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken."
},
{
"type": "negative",
"label": "Auffällig",
"title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden",
"detail": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein."
},
{
"type": "negative",
"label": "Auffällig",
"title": "Content-Security-Policy fehlt",
"detail": "Header `content-security-policy` setzen und nach Deployment erneut prüfen."
}
],
"positive": [
{
"type": "positive",
"label": "Spricht dafür",
"title": "Keine sensible Eingabe erkannt",
"detail": "Im passiven Startseiten-Sample wurden keine Login-, Zahlungs- oder Kontaktfelder erkannt."
},
{
"type": "positive",
"label": "Spricht dafür",
"title": "Wenig datenschutzrelevante Browserkontakte",
"detail": "Der Chromium-Aufruf sah keine oder nur wenige Drittanbieter mit Tracking-\/Werbezweck."
},
{
"type": "positive",
"label": "Spricht dafür",
"title": "Nutzbarkeit wirkt solide",
"detail": "Antwortzeit, mobile Basis und Ressourcenmenge wirken im passiven Kurzcheck unauffällig."
},
{
"type": "positive",
"label": "Spricht dafür",
"title": "Technisches Vertrauenssignal",
"detail": "Moderne TLS-Version aktiv: TLSv1.3."
},
{
"type": "positive",
"label": "Spricht dafür",
"title": "Technisches Vertrauenssignal",
"detail": "HSTS ist aktiv."
}
]
}
},
"audit_modules": [
{
"id": "operator_transparency",
"color": "red",
"score": 25,
"title": "Impressum, Kontakt & Datenschutzerklärung",
"action": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
"source": "Deutschsprachige Betreiber- und Datenschutzhinweis-Erkennung",
"status": "kritisch",
"evidence": "Impressum: nein, Datenschutz: nein, Kontakt: nein.",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "privacy_consent",
"color": "red",
"score": 48,
"title": "Datenschutz, Cookies & Consent",
"action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
"source": "Browser, HTTP-Header, HTML und Consent-\/Cookie-Heuristik",
"status": "kritisch",
"evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "site_coverage",
"color": "orange",
"score": 50,
"title": "Seitenabdeckung & Crawl",
"action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
"source": "Startseiten-Links, Compliance-Links und begrenzter interner Zusatzabruf",
"status": "auffällig",
"evidence": "0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "security_tls",
"color": "orange",
"score": 70,
"title": "Sicherheit, TLS & Header",
"action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
"source": "DNS, TLS, HTTP-Status, Zertifikat und Security-Header",
"status": "auffällig",
"evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 4\/9 vorhanden, 5 fehlen, externe Skript-Hosts: 1.",
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "script_supply_chain",
"color": "yellow",
"score": 88,
"title": "Externe Skripte & SRI",
"action": "Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-\/Tag-Skripte an Consent und CSP koppeln.",
"source": "HTML-Script-Tags, Anbieterklassifikation und SRI-Attribute",
"status": "prüfen",
"evidence": "3 externe Skript(e) von 1 Host(s), 3 ohne SRI, 0 Tracking-\/Tag-nahe Skript(e).",
"guide_url": "\/guides\/externe-skripte-und-sri-absichern",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "accessibility_usability",
"color": "green",
"score": 92,
"title": "Barrierefreiheit & Usability",
"action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
"source": "Passives HTML-Sample: Bilder, Formulare, Buttons, Sprache, Headings und Viewport",
"status": "unauffällig",
"evidence": "0 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "browser_evidence",
"color": "green",
"score": 100,
"title": "Browser-Nachweis",
"action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
"source": "Headless Chromium mit Screenshot- und Request-Telemetrie",
"status": "unauffällig",
"evidence": "15 Request(s), 0 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-\/URL-Leaks: 0, Fingerprinting-\/Replay-Hinweise: 0.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "consent_journey",
"color": "green",
"score": 100,
"title": "Consent-Journey-Matrix",
"action": "Drittanbieter je Consent-Zustand prüfen; nach Ablehnen und bei GPC sollten keine neuen Trackingkontakte entstehen.",
"source": "Chromium-Zustände: Erstaufruf, Reject, Accept und GPC",
"status": "unauffällig",
"evidence": "Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 0 im GPC-Aufruf.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "cookie_inventory",
"color": "green",
"score": 100,
"title": "Cookie-Inventar",
"action": "Cookie-Liste mit Zweck, Anbieter, First-\/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen.",
"source": "HTTP-Set-Cookie und Chromium-Cookies beim ersten Seitenaufruf",
"status": "unauffällig",
"evidence": "0 Cookie(s), 0 Tracking-\/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebig, 0 sehr lang.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "embedded_content",
"color": "green",
"score": 100,
"title": "Externe Inhalte & Widgets",
"action": "Videos, Karten, Captchas und Social-Widgets möglichst erst nach Klick oder Einwilligung laden.",
"source": "HTML-Embeds und Chromium-Drittanbieter-Requests",
"status": "unauffällig",
"evidence": "0 externe Embed-\/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen.",
"guide_url": "\/guides\/externe-inhalte-datenschutzfreundlich-einbinden",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "forms_payments",
"color": "green",
"score": 100,
"title": "Formulare, Login & Zahlung",
"action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
"source": "HTML-Formulare, Eingabefelder, Zahlungsanbieter und Kontextlinks",
"status": "unauffällig",
"evidence": "Keine Formular- oder Zahlungsabfrage im passiven Startseiten-Sample erkannt.",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "google_third_parties",
"color": "green",
"score": 100,
"title": "Google-Dienste & Drittanbieter",
"action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.",
"source": "Chromium-Requests, Anbieterklassifikation und Google Consent Mode Heuristik",
"status": "unauffällig",
"evidence": "Google-Tags: nein, 0 Google-nahe Domain(s), Consent-Default: nicht nötig, Analytics: nein, Werbung: nein, Fonts: nein.",
"guide_url": "\/guides\/google-dienste-datenschutzfreundlich-einbinden",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "pii_exposure",
"color": "green",
"score": 100,
"title": "PII, URL-Parameter & Datenleck-Schutz",
"action": "Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.",
"source": "URL-Parameter, interne Links, HTML-Formulare, Browser-Drittanbieter und Dateneingabe-Kontext",
"status": "unauffällig",
"evidence": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
"guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "performance_mobile",
"color": "green",
"score": 100,
"title": "Performance & mobile Nutzbarkeit",
"action": "Antwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.",
"source": "HTTP-Antwort, HTML-Größe, Komprimierung und mobile Basis",
"status": "unauffällig",
"evidence": "Performance-Score 100, Antwortzeit 44 ms.",
"guide_url": "\/guides\/performance-und-mobile-usability-verbessern",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "referrer_url_leaks",
"color": "green",
"score": 100,
"title": "Referrer & URL-Leaks",
"action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.",
"source": "Chromium-Request-Telemetrie ohne gespeicherte Parameterwerte",
"status": "unauffällig",
"evidence": "0 Drittanbieter-Domain(s) mit Referrer-\/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.",
"guide_url": "\/guides\/referrer-und-url-leaks-vermeiden",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "seo_integrity",
"color": "green",
"score": 100,
"title": "SEO-Integrität & Cloaking",
"action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
"source": "HTML-Inhalt, strukturierte Daten, Links und Googlebot-Vergleich",
"status": "unauffällig",
"evidence": "0 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).",
"guide_url": "\/guides\/seo-spam-und-cloaking-bereinigen",
"guide_label": "Betreiber-Guide öffnen"
},
{
"id": "tracking_pixels_beacons",
"color": "green",
"score": 100,
"title": "Tracking-Pixel & Beacons",
"action": "Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.",
"source": "HTML-Pixel, Link-Ping-Attribute, Chromium-Requests und Browser-API-Instrumentierung",
"status": "unauffällig",
"evidence": "0 Pixel-\/Bildtracking-Hinweis(e), 0 Beacon-\/Telemetry-Hinweis(e), 0 Link-Ping(s).",
"guide_url": "\/guides\/tracking-pixel-und-beacons-begrenzen",
"guide_label": "Betreiber-Guide öffnen"
}
],
"audit_receipt": {
"url": "https:\/\/klausurgutachten.de\/",
"host": "klausurgutachten.de",
"status": "verfügbar",
"bot_url": "https:\/\/saferpage.de\/bot",
"summary": "Prüfbeleg für klausurgutachten.de: kontrollierter HTTP-\/Browser-Kurzcheck mit 15 Request(s), 4 Consent-Zustand\/Zuständen und 7 Artefakt(en).",
"renderer": "playwright-chromium",
"artifacts": [
{
"label": "Öffentlicher Kurzreport",
"detail": "https:\/\/saferpage.de\/klausurgutachten.de",
"status": "verfügbar"
},
{
"label": "JSON-Export",
"detail": "Maschinenlesbarer Report mit Modulen, Nachweisen und Tabellen.",
"status": "verfügbar"
},
{
"label": "CSV-Export",
"detail": "Tabellarische Prüfzeilen für Betreiber, Datenschutz und Technik.",
"status": "verfügbar"
},
{
"label": "100x100 Screenshot",
"detail": "\/cache\/screenshots\/klausurgutachten.de-100x100-601b62ecaccbb4ec41.png",
"status": "verfügbar"
},
{
"label": "Cookie-Erklärung",
"detail": "2 Cookie-\/Storage-Eintrag\/Einträge.",
"status": "prüfen"
},
{
"label": "Empfänger-\/Anbieterinventar",
"detail": "0 Anbieterzeile(n), 0 AVV-\/Rollenprüfung(en).",
"status": "unauffällig"
},
{
"label": "Barrierefreiheitserklärung-Entwurf",
"detail": "1 bekannte Barrierefreiheits-Punkt(e).",
"status": "Teilweise konform im automatischen Basischeck"
}
],
"available": true,
"final_url": "https:\/\/berlin.klausurgutachten.de\/",
"checked_at": "2026-06-07T12:25:06+00:00",
"share_text": "SaferPage Prüfbeleg klausurgutachten.de: 15 Browser-Request(s), 0 Drittanbieter, 2 Cookie-\/Storage-Einträge, geprüft am 2026-06-07T12:25:06.",
"user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)",
"limitations": [
"Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.",
"Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.",
"Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern."
],
"scan_context": "crawler",
"coverage_items": [
{
"label": "HTTP\/DNS\/TLS",
"value": "HTTP 200 · DNS ok · TLS ok"
},
{
"label": "Browserlauf",
"value": "15 Request(s), 0 Drittanbieter-Domain(s), 0 Browser-Cookie(s)."
},
{
"label": "Consent-Zustände",
"value": "4 Zustand\/Zustände: Default, Ablehnen, Akzeptieren und GPC soweit verfügbar."
},
{
"label": "Seitenabdeckung",
"value": "0 priorisierte Unterseite(n) im Nachweispack."
},
{
"label": "Drittanbieter-Auszug",
"value": "0 Anbieterzeile(n) im öffentlichen Nachweis."
},
{
"label": "Cookie-Auszug",
"value": "0 Cookie-Zeile(n) im öffentlichen Nachweis."
}
],
"confidence_score": 84,
"browser_final_url": "https:\/\/berlin.klausurgutachten.de\/",
"methodology_steps": [
"URL normalisieren, DNS\/TLS\/HTTP abrufen und Weiterleitungsziel dokumentieren.",
"Startseite mit SaferPage-User-Agent und Headless Chromium aufrufen.",
"Netzwerk-Requests, Cookies, Web Storage, Screenshot und sichtbare Consent-Controls erfassen.",
"Consent-Zustände Default, Ablehnen, Akzeptieren und GPC soweit möglich gegenüberstellen.",
"Cookies, Anbieter, Rechtsgrundlagen, Banner-UX, Security-Header, Barrierefreiheit und Betreiberaufgaben ableiten."
]
},
"consent_audit": {
"color": "red",
"score": 48,
"checks": [
{
"id": "banner_visible",
"ok": false,
"fix": "Cookie-Banner oder Datenschutzeinstellungen klar sichtbar anbieten.",
"label": "Cookie-\/Consent-Hinweis sichtbar",
"detail": "Ein Hinweis mit Cookie-\/Einwilligungsbezug wurde im sichtbaren Text erkannt."
},
{
"id": "reject_visible",
"ok": false,
"fix": "Ablehnen auf der ersten Ebene genauso erreichbar machen wie Akzeptieren.",
"label": "Ablehnen gleichwertig erreichbar",
"detail": "Ablehnen oder nur notwendige Cookies wurde im Text oder Browser erkannt. Browser-Buttons: 0."
},
{
"id": "settings_visible",
"ok": false,
"fix": "Granulare Zwecke und Anbieter in einer zweiten Ebene anzeigen.",
"label": "Einstellungen oder Auswahl vorhanden",
"detail": "Eine Einstellungs- oder Auswahlmoeglichkeit wurde im Text oder Browser erkannt. Browser-Buttons: 0."
},
{
"id": "browser_reject_visible",
"ok": true,
"fix": "Ablehnen im ersten Banner-Layer sichtbar und genauso leicht erreichbar platzieren.",
"label": "Ablehnen im sichtbaren Banner",
"detail": "Sichtbare Banner-Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0."
},
{
"id": "browser_settings_visible",
"ok": true,
"fix": "Eine gut sichtbare Schaltflaeche fuer Cookie-Auswahl oder Datenschutz-Einstellungen anbieten.",
"label": "Einstellungen im sichtbaren Banner",
"detail": "Sichtbare Banner-Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0."
},
{
"id": "reject_equally_prominent",
"ok": true,
"fix": "Ablehnen in vergleichbarer Groesse und Sichtbarkeit wie Akzeptieren darstellen.",
"label": "Ablehnen nicht deutlich schwaecher dargestellt",
"detail": "Groessen-Verhältnis Ablehnen\/Akzeptieren: nicht messbar."
},
{
"id": "reject_button_clickable",
"ok": true,
"fix": "Ablehnen-Button als echten Button\/Link umsetzen und ohne verdeckte Huerden ausloesen.",
"label": "Ablehnen technisch klickbar",
"detail": "Wenn ein Ablehnen-Button sichtbar ist, klickt SaferPage ihn im Chromium-Browser einmal an."
},
{
"id": "no_new_cookies_after_reject",
"ok": true,
"fix": "Nach Ablehnen nur technisch notwendige Cookies setzen und nicht notwendige Eintraege blockieren.",
"label": "Keine neuen Cookies nach Ablehnen",
"detail": "0 neue Cookie(s) nach dem Ablehnen-Klick."
},
{
"id": "no_tracking_storage_after_reject",
"ok": true,
"fix": "LocalStorage\/SessionStorage nach Ablehnen bereinigen und Tracking-IDs erst nach Zustimmung setzen.",
"label": "Kein Tracking-Storage nach Ablehnen",
"detail": "0 Tracking-Hinweis(e) im Web Storage nach Ablehnen."
},
{
"id": "no_privacy_domains_after_reject",
"ok": true,
"fix": "Tag Manager, Analytics und Werbung nach Ablehnen deaktiviert lassen.",
"label": "Keine neuen Tracking-Kontakte nach Ablehnen",
"detail": "0 neue datenschutzrelevante Domain(s) nach Ablehnen."
},
{
"id": "gpc_signal_respected",
"ok": true,
"fix": "Global Privacy Control als Opt-out-Signal technisch berücksichtigen und Tracking-\/Sharing-Dienste entsprechend begrenzen.",
"label": "GPC-Signal ohne Tracking-Hinweise",
"detail": "GPC-Aufruf: 0 datenschutzrelevante Domain(s), 0 Drittanbieter-Cookie(s), 0 Storage-Hinweis(e)."
},
{
"id": "no_tracking_cookies_before_consent",
"ok": true,
"fix": "Analytics-\/Werbe-Cookies erst nach aktiver Zustimmung setzen.",
"label": "Keine Tracking-Cookies vor Einwilligung",
"detail": "0 Tracking-Cookie(s) im Erstaufruf."
},
{
"id": "no_nonessential_cookies_before_consent",
"ok": true,
"fix": "Nicht notwendige Cookies blockieren oder als technisch notwendig begruenden.",
"label": "Keine nicht notwendigen Cookies vor Einwilligung",
"detail": "0 moeglicherweise nicht notwendige Cookie(s) im Erstaufruf."
},
{
"id": "google_default_restrictive",
"ok": true,
"fix": "ad_storage, analytics_storage, ad_user_data und ad_personalization vorab auf denied setzen.",
"label": "Google Consent Default restriktiv",
"detail": "Google-Tags brauchen vor dem ersten Laden restriktive Consent-Defaults."
},
{
"id": "third_parties_explained",
"ok": true,
"fix": "Drittanbieter reduzieren, lokal hosten oder in Consent und Datenschutzerklaerung konkret benennen.",
"label": "Drittanbieter begrenzt und erklaerbar",
"detail": "0 datenschutzrelevante Drittanbieter-Domain(s), 0 Drittanbieter insgesamt."
},
{
"id": "storage_without_tracking_hints",
"ok": true,
"fix": "LocalStorage und SessionStorage wie Cookies inventarisieren und an Consent koppeln.",
"label": "Web Storage ohne Tracking-Hinweise",
"detail": "2 Storage-Key(s), 0 Tracking-Hinweis(e)."
},
{
"id": "cmp_api_detected_when_needed",
"ok": true,
"fix": "Consent technisch nachvollziehbar machen und Widerruf\/Status sauber dokumentieren.",
"label": "CMP-\/TCF-Signal bei Tracking erkennbar",
"detail": "Gängige CMP-\/TCF-Indikatoren: __tcfapi, __cmp, Cookiebot, OneTrust oder Usercentrics."
},
{
"id": "accept_click_documented",
"ok": true,
"fix": "Akzeptieren muss technisch klickbar sein; danach geladene Dienste in Cookie-Auswahl und Datenschutzerklärung abbilden.",
"label": "Akzeptieren-Klick nachvollziehbar",
"detail": "Accept-Test: nicht ausgefuehrt, neue Requests 0, neue Cookies 0, neue Datenschutz-Domains 0."
},
{
"id": "cmp_state_readable",
"ok": true,
"fix": "CMP-Status, TCF-String und Consent-APIs technisch nachvollziehbar bereitstellen.",
"label": "CMP-\/TCF-Zustand auslesbar",
"detail": "TCF TC-String: nein, Cookiebot: nein, OneTrust: nein, Usercentrics: nein."
},
{
"id": "cmp_default_restrictive",
"ok": true,
"fix": "TCF-\/CMP-Defaults vor Nutzerentscheidung restriktiv setzen; Statistik, Marketing und Vendors erst nach Einwilligung erlauben.",
"label": "CMP-Default wirkt restriktiv",
"detail": "TCF Purposes erlaubt: 0, TCF Vendors erlaubt: 0, Cookiebot Statistik\/Marketing: nein."
}
],
"status": "kritisch",
"summary": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
"evidence": [
"0 Cookie(s) beim ersten Aufruf aus HTTP-Headern und Chromium",
"0 Tracking-Script(s) im HTML",
"0 datenschutzrelevante Drittanbieter-Domain(s)",
"2 Storage-Key(s), 0 Tracking-Hinweis(e)",
"Consent-Banner-Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0",
"Ablehnen\/Akzeptieren-Prominenz: nicht messbar",
"Reject-Test: nicht ausgefuehrt, neue Cookies 0, Tracking-Storage 0, neue Datenschutz-Domains 0",
"Accept-Test: nicht ausgefuehrt, neue Requests 0, neue Cookies 0, neue Datenschutz-Domains 0, Drittanbieter-Cookies 0",
"CMP-State: TCF-String nein, TCF Purposes 0, TCF Vendors 0, Cookiebot nein, OneTrust-Gruppen 0, Usercentrics-Services 0",
"GPC-Test: aktiv, Datenschutz-Domains 0, Drittanbieter-Cookies 0, Storage-Hinweise 0",
"CMP-\/TCF-Signal: nein",
"Google Consent Default: nein"
],
"gpc_enabled": true,
"cmp_detected": false,
"blocking_plan": {
"items": [
{
"kind": "storage",
"level": "mittel",
"source": "localStorage",
"target": "i18nextLng",
"recipes": [
{
"tool": "Google Tag Manager",
"owner": "GTM Manager",
"steps": "Tag\/Trigger für i18nextLng nur mit Consent Check 'preferences_storage' auslösen; Consent Initialization muss vor allen Tags denied setzen."
},
{
"tool": "Usercentrics",
"owner": "CMP\/Developer",
"steps": "Data Processing Service für localStorage prüfen; i18nextLng als manuell blockiertes Script\/Service erst nach Einwilligung laden."
},
{
"tool": "Developer-Fallback",
"owner": "Developer",
"steps": "Laden von i18nextLng server-\/frontendseitig an Consent-State koppeln; vor Consent keine Request-, Cookie- oder Storage-Auslösung."
}
],
"category": "unknown",
"evidence": "localStorage · Unklar · dauerhaft bis Löschung durch Nutzer\/Browser",
"owner_team": "CMP\/Developer",
"category_label": "Unklar",
"recommended_action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen."
},
{
"kind": "storage",
"level": "mittel",
"source": "localStorage",
"target": "ksga-static-content",
"recipes": [
{
"tool": "Google Tag Manager",
"owner": "GTM Manager",
"steps": "Tag\/Trigger für ksga-static-content nur mit Consent Check 'preferences_storage' auslösen; Consent Initialization muss vor allen Tags denied setzen."
},
{
"tool": "Usercentrics",
"owner": "CMP\/Developer",
"steps": "Data Processing Service für localStorage prüfen; ksga-static-content als manuell blockiertes Script\/Service erst nach Einwilligung laden."
},
{
"tool": "Developer-Fallback",
"owner": "Developer",
"steps": "Laden von ksga-static-content server-\/frontendseitig an Consent-State koppeln; vor Consent keine Request-, Cookie- oder Storage-Auslösung."
}
],
"category": "unknown",
"evidence": "localStorage · Unklar · dauerhaft bis Löschung durch Nutzer\/Browser",
"owner_team": "CMP\/Developer",
"category_label": "Unklar",
"recommended_action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen."
}
],
"summary": "2 Blockier-\/Consent-Maßnahme(n) abgeleitet: 0 hoch, 2 mittel.",
"available": true,
"high_count": 0,
"total_count": 2,
"type_counts": {
"storage": 2
},
"medium_count": 2
},
"tcf_api_found": false,
"priority_fixes": [
"Pre-Consent-Blockierplan prüfen: 2 Blockier-\/Consent-Maßnahme(n) abgeleitet: 0 hoch, 2 mittel.",
"Cookie-Banner oder Datenschutzeinstellungen klar sichtbar anbieten.",
"Ablehnen auf der ersten Ebene genauso erreichbar machen wie Akzeptieren.",
"Granulare Zwecke und Anbieter in einer zweiten Ebene anzeigen."
],
"cookiebot_found": false,
"accept_test_enabled": false,
"browser_cookie_count": 0,
"accept_button_clicked": false,
"browser_storage_count": 2,
"reject_button_clicked": false,
"reject_less_prominent": false,
"tcf_tc_string_present": false,
"tracking_script_count": 0,
"accept_button_available": false,
"reject_button_available": false,
"reject_prominence_ratio": 0,
"pre_consent_cookie_count": 0,
"pre_consent_cookie_names": [],
"tcf_vendor_consent_count": 0,
"third_party_domain_count": 0,
"tcf_purpose_consent_count": 0,
"onetrust_active_group_count": 0,
"usercentrics_services_count": 0,
"browser_accept_control_count": 0,
"browser_cookie_context_found": true,
"browser_reject_control_count": 0,
"gpc_third_party_cookie_count": 0,
"post_accept_new_cookie_count": 0,
"post_reject_new_cookie_count": 0,
"post_accept_new_request_count": 0,
"browser_settings_control_count": 0,
"gpc_storage_tracking_hint_count": 0,
"cookiebot_marketing_or_statistics": false,
"gpc_privacy_relevant_domain_count": 0,
"pre_consent_tracking_cookie_count": 0,
"pre_consent_tracking_cookie_names": [],
"privacy_relevant_third_party_count": 0,
"browser_storage_tracking_hint_count": 0,
"post_accept_third_party_cookie_count": 0,
"pre_consent_nonessential_cookie_count": 0,
"pre_consent_nonessential_cookie_names": [],
"post_accept_storage_tracking_hint_count": 0,
"post_reject_storage_tracking_hint_count": 0,
"post_accept_privacy_relevant_domain_count": 0,
"post_reject_privacy_relevant_domain_count": 0
},
"data_flow_map": {
"edges": [
{
"type": "controller_activity",
"label": "verantwortet",
"source": "controller:klausurgutachten-de",
"target": "activity:cookies-storage",
"edge_id": "controller:klausurgutachten-de->activity:cookies-storage:verantwortet",
"evidence": "2 Cookie-\/Storage-Eintrag\/Einträge, 0 mit Einwilligungs-\/Klärungsbedarf.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"confidence": 80,
"risk_level": "mittel",
"source_label": "klausurgutachten.de",
"target_label": "Cookies, Web Storage und Consent",
"operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:cookies-storage",
"target": "data:cookie-id",
"edge_id": "activity:cookies-storage->data:cookie-id:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Cookies, Web Storage und Consent",
"target_label": "Cookie-ID",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:cookies-storage",
"target": "data:consent-status",
"edge_id": "activity:cookies-storage->data:consent-status:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Cookies, Web Storage und Consent",
"target_label": "Consent-Status",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:cookies-storage",
"target": "data:ger-te-browserinformationen",
"edge_id": "activity:cookies-storage->data:ger-te-browserinformationen:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Cookies, Web Storage und Consent",
"target_label": "Geräte-\/Browserinformationen",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:cookies-storage",
"target": "data:storage-key-metadaten",
"edge_id": "activity:cookies-storage->data:storage-key-metadaten:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Cookies, Web Storage und Consent",
"target_label": "Storage-Key-Metadaten",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_recipient",
"label": "übermittelt an Empfänger",
"source": "activity:cookies-storage",
"target": "recipient:eigene-website-oder-eingebundener-dienst",
"edge_id": "activity:cookies-storage->recipient:eigene-website-oder-eingebundener-dienst:bermittelt-an-empf-nger",
"evidence": "Drittlandtransfer je Cookie-\/Tag-Anbieter prüfen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"confidence": 72,
"risk_level": "mittel",
"source_label": "Cookies, Web Storage und Consent",
"target_label": "Eigene Website oder eingebundener Dienst",
"operator_action": "Empfängerrolle, AVV\/DPA und Transfergrundlage dokumentieren."
},
{
"type": "controller_activity",
"label": "verantwortet",
"source": "controller:klausurgutachten-de",
"target": "activity:privacy-rights-requests",
"edge_id": "controller:klausurgutachten-de->activity:privacy-rights-requests:verantwortet",
"evidence": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"confidence": 80,
"risk_level": "mittel",
"source_label": "klausurgutachten.de",
"target_label": "Betroffenenrechte- und Datenschutzanfragen",
"operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:privacy-rights-requests",
"target": "data:identit-tsbezug",
"edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Betroffenenrechte- und Datenschutzanfragen",
"target_label": "Identitätsbezug",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:privacy-rights-requests",
"target": "data:kontaktinformationen",
"edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Betroffenenrechte- und Datenschutzanfragen",
"target_label": "Kontaktinformationen",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:privacy-rights-requests",
"target": "data:anfragetyp",
"edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Betroffenenrechte- und Datenschutzanfragen",
"target_label": "Anfragetyp",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_data",
"label": "verarbeitet Datenart",
"source": "activity:privacy-rights-requests",
"target": "data:kommunikationsinhalte",
"edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart",
"evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"confidence": 76,
"risk_level": "mittel",
"source_label": "Betroffenenrechte- und Datenschutzanfragen",
"target_label": "Kommunikationsinhalte",
"operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
},
{
"type": "activity_recipient",
"label": "übermittelt an Empfänger",
"source": "activity:privacy-rights-requests",
"target": "recipient:interne-datenschutz-legal-fachbereichsteams",
"edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger",
"evidence": "Kein Drittlandtransfer ohne eingesetztes Ticket-\/Mail-\/Portal-System; Betreiber prüfen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"confidence": 72,
"risk_level": "mittel",
"source_label": "Betroffenenrechte- und Datenschutzanfragen",
"target_label": "interne Datenschutz-\/Legal-\/Fachbereichsteams",
"operator_action": "Empfängerrolle, AVV\/DPA und Transfergrundlage dokumentieren."
}
],
"nodes": [
{
"type": "controller",
"label": "klausurgutachten.de",
"detail": "Verantwortlicher aus geprüfter Domain abgeleitet.",
"node_id": "controller:klausurgutachten-de",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "processing_activity",
"label": "Cookies, Web Storage und Consent",
"detail": "Bereitstellung der Website, Consent-Verwaltung, Statistik\/Tracking oder Komfortfunktionen je Kategorie.",
"node_id": "activity:cookies-storage",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"risk_level": "mittel"
},
{
"type": "data_category",
"label": "Cookie-ID",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:cookie-id",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "data_category",
"label": "Consent-Status",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:consent-status",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "data_category",
"label": "Geräte-\/Browserinformationen",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:ger-te-browserinformationen",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "data_category",
"label": "Storage-Key-Metadaten",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:storage-key-metadaten",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "recipient",
"label": "Eigene Website oder eingebundener Dienst",
"detail": "Empfänger aus RoPA-Entwurf.",
"node_id": "recipient:eigene-website-oder-eingebundener-dienst",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "mittel"
},
{
"type": "processing_activity",
"label": "Betroffenenrechte- und Datenschutzanfragen",
"detail": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.",
"node_id": "activity:privacy-rights-requests",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"risk_level": "mittel"
},
{
"type": "data_category",
"label": "Identitätsbezug",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:identit-tsbezug",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "data_category",
"label": "Kontaktinformationen",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:kontaktinformationen",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "data_category",
"label": "Anfragetyp",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:anfragetyp",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "data_category",
"label": "Kommunikationsinhalte",
"detail": "Datenkategorie aus RoPA-Entwurf.",
"node_id": "data:kommunikationsinhalte",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "prüfen"
},
{
"type": "recipient",
"label": "interne Datenschutz-\/Legal-\/Fachbereichsteams",
"detail": "Empfänger aus RoPA-Entwurf.",
"node_id": "recipient:interne-datenschutz-legal-fachbereichsteams",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "mittel"
}
],
"status": "prüfen",
"summary": "Data Map mit 13 Knoten und 12 Datenfluss-Kanten; 0 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.",
"available": true,
"disclaimer": "Automatisch aus öffentlicher Website-Evidenz, RoPA-Entwurf und Vendor-Due-Diligence abgeleitete Data Map; interne Systeme und verbindliche Rechtsgrundlagen muss der Betreiber ergänzen.",
"edge_count": 12,
"node_count": 13,
"open_questions": [
{
"id": "activity_system_mapping",
"why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Ticketsysteme oder Mailboxen.",
"owner": "IT\/Fachbereich",
"priority": "hoch",
"question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?",
"expected_evidence": "Systemliste je Verarbeitung mit Owner, Datenkategorien, Löschfrist und Zugriffskonzept."
},
{
"id": "vendor_flow_validation",
"why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.",
"owner": "Datenschutz\/Legal",
"priority": "mittel",
"question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-\/Transfergrundlage?",
"expected_evidence": "Anbieterakte, AVV\/DPA, SCC\/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag."
},
{
"id": "retention_link",
"why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.",
"owner": "Datenschutz\/IT",
"priority": "mittel",
"question": "Welche Löschfrist gilt je Datenfluss vom Formular\/Cookie\/Anbieter bis zum internen System?",
"expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger."
}
],
"priority_actions": [
"Top-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.",
"Interne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.",
"Data Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular\/Cookie erneut prüfen."
],
"missing_link_count": 0,
"open_question_count": 3,
"transfer_edge_count": 0,
"high_risk_edge_count": 0
},
"page_analysis": {
"h1": [],
"h2": [],
"title": "Klausurgutachten",
"keywords": [
[
"klausurgutachten",
2
],
[
"site",
1
],
[
"created",
1
],
[
"using",
1
],
[
"create-react-app",
1
],
[
"need",
1
],
[
"enable",
1
],
[
"javascript",
1
],
[
"this",
1
]
],
"language": "de",
"description": "Web site created using create-react-app",
"favicon_url": "https:\/\/berlin.klausurgutachten.de\/images\/icons\/apple-icon-180x180.png",
"link_counts": {
"external": 0,
"internal": 0
},
"preview_image": "\/cache\/screenshots\/klausurgutachten.de-100x100-601b62ecaccbb4ec41.png",
"screenshot_url": "\/cache\/screenshots\/klausurgutachten.de-100x100-601b62ecaccbb4ec41.png",
"external_scripts": [],
"browser_final_url": "https:\/\/berlin.klausurgutachten.de\/",
"meta_preview_image": "",
"screenshot_renderer": "playwright-chromium",
"external_link_targets": []
},
"domain_history": {
"status": [
"active"
],
"summary": "RDAP liefert kein klares Registrierungsdatum.",
"age_days": null,
"findings": [],
"available": true,
"registrar": "",
"expires_at": "",
"risk_level": "unknown",
"registered_at": "",
"expires_in_days": null,
"last_changed_at": "2026-04-27T07:32:08+00:00"
},
"dpia_screening": {
"status": "nicht_naheliegend",
"summary": "DPIA\/DSFA-Screening: nicht_naheliegend, Risiko-Score 0\/100, 0 ausgelöste Risikofaktor(en), 0 hoch.",
"decision": "Nach aktuellem öffentlichen Scan ist keine DPIA-Pflicht naheliegend; bei Projektänderungen erneut prüfen.",
"available": true,
"disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-\/DSFA-Entscheidung muss fachlich\/rechtlich dokumentiert werden.",
"risk_score": 0,
"risk_factors": [
{
"id": "personal_data_collection",
"label": "Personenbezogene Dateneingabe",
"action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.",
"weight": 18,
"evidence": "0 Formular(e), Datenarten: keine klaren Datenarten",
"severity": "info",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
"triggered": false
},
{
"id": "form_context_gaps",
"label": "Formulare ohne ausreichenden Datenschutzkontext",
"action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.",
"weight": 14,
"evidence": "0 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext fehlt.",
"severity": "hoch",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
"triggered": false
},
{
"id": "tracking_or_profiling",
"label": "Tracking, Profiling oder Consent-Zustandsrisiken",
"action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.",
"weight": 18,
"evidence": "0 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.",
"severity": "hoch",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"triggered": false
},
{
"id": "third_party_processors",
"label": "Viele Drittanbieter oder Processor",
"action": "Rollen, AVV\/DPA, Zwecke und Empfänger je Anbieter dokumentieren.",
"weight": 10,
"evidence": "0 Anbieterregister-Eintrag\/Einträge, 0 Drittanbieter-Domain(s).",
"severity": "mittel",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"triggered": false
},
{
"id": "international_transfer",
"label": "Drittland-\/Transferprüfung",
"action": "Transfergrundlage, SCC\/TIA, Anbieterregion und Alternativen prüfen.",
"weight": 12,
"evidence": "Transfer hoch 0, unklar 0.",
"severity": "mittel",
"guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
"triggered": false
},
{
"id": "pii_leakage",
"label": "PII-, Referrer- oder URL-Leakage",
"action": "Formulardaten nicht in URLs\/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.",
"weight": 12,
"evidence": "PII-Risiko unklar, Referrer-betroffene Domains 0.",
"severity": "hoch",
"guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
"triggered": false
},
{
"id": "public_authority_or_sensitive_context",
"label": "Öffentliche Stelle oder sensibler Nutzungskontext",
"action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.",
"weight": 8,
"evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.",
"severity": "mittel",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"triggered": false
},
{
"id": "external_embeds",
"label": "Externe Inhalte vor Einwilligung",
"action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.",
"weight": 6,
"evidence": "0 externe Embed-\/Widget-Element(e) vorab geladen.",
"severity": "mittel",
"guide_url": "\/guides\/externe-inhalte-datenschutzfreundlich-einbinden",
"triggered": false
},
{
"id": "gpc_or_optout_gap",
"label": "GPC\/Opt-out-Lücke",
"action": "GPC\/Opt-out-Signale respektieren und technisch nachweisen.",
"weight": 6,
"evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).",
"severity": "mittel",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"triggered": false
}
],
"high_risk_count": 0,
"triggered_count": 0,
"recommended_actions": [
"Offene Remediation-Tickets vor DPIA-Freigabe priorisieren."
],
"assessment_questions": [
{
"id": "purpose",
"why": "DPIA braucht einen klaren Scope.",
"owner": "Website-Betrieb",
"priority": "hoch",
"question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?"
},
{
"id": "data_categories",
"why": "Datenart und Betroffenengruppe bestimmen das Risiko.",
"owner": "Datenschutz",
"priority": "hoch",
"question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?"
},
{
"id": "scale",
"why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.",
"owner": "Fachbereich",
"priority": "mittel",
"question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?"
},
{
"id": "vendors",
"why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.",
"owner": "Legal\/Datenschutz",
"priority": "hoch",
"question": "Welche Anbieter\/Processor und Transfers sind notwendig?"
},
{
"id": "controls",
"why": "Rest-Risiko muss nach Maßnahmen bewertet werden.",
"owner": "Developer\/Ops",
"priority": "hoch",
"question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?"
},
{
"id": "approval",
"why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.",
"owner": "Datenschutz",
"priority": "mittel",
"question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?"
}
],
"recommended_safeguards": [
"Privacy by Design: Datenminimierung und Zweckbindung je Formular\/Tag dokumentieren.",
"Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.",
"Transferkontrolle: Drittlandtransfer, SCC\/TIA und Anbieterrollen prüfen.",
"Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.",
"Governance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen."
],
"linked_workflow_ticket_count": 8
},
"normalized_url": "https:\/\/klausurgutachten.de\/",
"browser_analysis": {
"cookies": {
"items": [],
"total": 0,
"third_party": 0
},
"storage": {
"total": 2,
"local_storage_keys": [
"i18nextLng",
"ksga-static-content"
],
"tracking_key_hints": [],
"local_storage_total": 2,
"session_storage_keys": [],
"session_storage_total": 0
},
"findings": [],
"renderer": "playwright-chromium",
"final_url": "https:\/\/berlin.klausurgutachten.de\/",
"consent_ui": {
"accept_controls": [],
"accept_max_area": 0,
"reject_controls": [],
"reject_max_area": 0,
"settings_controls": [],
"first_layer_summary": "Akzeptieren 0 \/ Ablehnen 0 \/ Einstellungen 0",
"cookie_context_found": true,
"reject_less_prominent": false,
"visible_control_count": 2,
"reject_prominence_ratio": 0
},
"gpc_signal": {
"error": "",
"enabled": true,
"storage": {
"total": 2,
"tracking_key_hints": [],
"local_storage_total": 2,
"session_storage_total": 0
},
"cookie_count": 0,
"request_count": 15,
"sec_gpc_header": true,
"navigator_value": true,
"contacted_domains": [
{
"host": "berlin.klausurgutachten.de",
"count": 15,
"category": "other",
"provider": "berlin.klausurgutachten.de",
"third_party": false,
"category_label": "Sonstige",
"resource_types": {
"font": 2,
"fetch": 3,
"image": 1,
"script": 7,
"document": 1,
"stylesheet": 1
}
}
],
"contacted_domain_count": 1,
"privacy_relevant_domains": [],
"third_party_cookie_count": 0,
"third_party_domain_count": 0,
"privacy_relevant_domain_count": 0
},
"consent_apis": {
"cmpapi": false,
"tcfapi": false,
"onetrust": false,
"cookiebot": false,
"data_layer": false,
"cmp_detected": false,
"usercentrics": false,
"google_tag_data": false
},
"accept_signal": {
"error": "",
"enabled": false,
"storage": {
"total": 0,
"tracking_key_hints": [],
"local_storage_total": 0,
"session_storage_total": 0
},
"clicked_text": "",
"accept_clicked": false,
"accept_available": false,
"contacted_domains": [],
"contacted_domain_count": 0,
"new_domains_after_accept": [],
"privacy_relevant_domains": [],
"third_party_domain_count": 0,
"cookie_count_after_accept": 0,
"cookie_count_before_accept": 0,
"request_count_after_accept": 0,
"storage_count_after_accept": 0,
"request_count_before_accept": 0,
"new_cookie_count_after_accept": 0,
"privacy_relevant_domain_count": 0,
"new_request_count_after_accept": 0,
"third_party_cookie_count_after_accept": 0,
"storage_tracking_hint_count_after_accept": 0,
"new_privacy_relevant_domains_after_accept": [],
"new_privacy_relevant_domain_count_after_accept": 0
},
"request_count": 15,
"top_providers": [],
"request_samples": [],
"cmp_consent_state": {
"tcf": {
"api_found": false,
"vendor_li": [],
"cmp_loaded": false,
"cmp_status": "",
"purpose_li": [],
"event_status": "",
"gdpr_applies": null,
"ping_success": false,
"policy_version": "",
"vendor_consents": [],
"vendor_li_count": 0,
"purpose_consents": [],
"purpose_li_count": 0,
"tc_string_length": 0,
"tc_string_present": false,
"vendor_consent_count": 0,
"purpose_consent_count": 0
},
"onetrust": {
"found": false,
"active_groups": [],
"active_group_count": 0
},
"cookiebot": {
"found": false,
"declined": false,
"consented": false,
"has_response": false,
"consent_marketing": null,
"consent_statistics": null,
"consent_preferences": null
},
"usercentrics": {
"found": false,
"has_response": false,
"services_count": 0,
"accepted_services_count": 0
}
},
"contacted_domains": [
{
"host": "berlin.klausurgutachten.de",
"count": 15,
"category": "other",
"provider": "berlin.klausurgutachten.de",
"third_party": false,
"category_label": "Sonstige",
"resource_types": {
"font": 2,
"fetch": 3,
"image": 1,
"script": 7,
"document": 1,
"stylesheet": 1
}
}
],
"consent_interaction": {
"clicked_text": "",
"reject_clicked": false,
"reject_available": false,
"new_domains_after_reject": [],
"cookie_count_after_reject": 0,
"request_count_after_reject": 0,
"storage_count_after_reject": 2,
"new_cookie_count_after_reject": 0,
"new_request_count_after_reject": 0,
"privacy_relevant_domains_after_reject": [],
"storage_tracking_hint_count_after_reject": 0,
"privacy_relevant_domain_count_after_reject": 0
},
"privacy_api_metrics": {
"api_calls": {
"session_interaction_listener_count": 1
},
"beacon_count": 0,
"webgl_read_count": 0,
"canvas_read_count": 0,
"audio_context_count": 0,
"canvas_export_count": 0,
"fetch_keepalive_count": 0,
"webgl_parameter_count": 0,
"mutation_observer_count": 0,
"keyboard_input_listener_count": 0,
"session_interaction_listener_count": 1
},
"tcf_consent_analysis": {
"color": "green",
"score": 100,
"status": "unauffällig",
"summary": "TCF-Decoder: 0 Zweck(e) mit Consent\/LI-Signal, 0 Vendor-Consent(s), 0 Vendor-LI-Signal(e).",
"findings": [],
"api_found": false,
"available": false,
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"cmp_loaded": false,
"cmp_status": "",
"event_status": "",
"gdpr_applies": null,
"ping_success": false,
"purpose_rows": [
{
"id": 1,
"label": "Informationen auf einem Gerät speichern und\/oder abrufen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 2,
"label": "Einfache Anzeigen auswählen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 3,
"label": "Personalisiertes Anzeigen-Profil erstellen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 4,
"label": "Personalisierte Anzeigen auswählen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 5,
"label": "Personalisiertes Inhalts-Profil erstellen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 6,
"label": "Personalisierte Inhalte auswählen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 7,
"label": "Anzeigen-Leistung messen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 8,
"label": "Inhalte-Leistung messen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 9,
"label": "Marktforschung zur Generierung von Erkenntnissen nutzen",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 10,
"label": "Produkte entwickeln und verbessern",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
},
{
"id": 11,
"label": "Begrenzte Daten zur Anzeigen-Auswahl verwenden",
"action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
"status": "nicht_erlaubt",
"risk_level": "niedrig",
"consent_granted": false,
"legitimate_interest_granted": false
}
],
"vendor_li_ids": [],
"policy_version": "",
"priority_fixes": [],
"vendor_li_count": 0,
"purpose_li_count": 0,
"tc_string_length": 0,
"tc_string_present": false,
"vendor_consent_ids": [],
"granted_purpose_rows": [],
"vendor_consent_count": 0,
"purpose_consent_count": 0,
"high_risk_purpose_count": 0,
"medium_risk_purpose_count": 0
},
"consent_journey_matrix": {
"color": "green",
"items": [],
"score": 100,
"states": [
{
"id": "default",
"label": "Erstaufruf",
"description": "Kontakte ohne Nutzeraktion",
"domain_count": 0,
"request_count": 0,
"privacy_relevant_domain_count": 0
},
{
"id": "reject_new",
"label": "Nach Ablehnen neu",
"description": "Neue Kontakte nach Ablehnen-Klick",
"domain_count": 0,
"request_count": 0,
"privacy_relevant_domain_count": 0
},
{
"id": "accept_new",
"label": "Nach Akzeptieren neu",
"description": "Neue Kontakte nach Akzeptieren-Klick",
"domain_count": 0,
"request_count": 0,
"privacy_relevant_domain_count": 0
},
{
"id": "gpc",
"label": "GPC-Aufruf",
"description": "Kontakte bei Global Privacy Control",
"domain_count": 0,
"request_count": 0,
"privacy_relevant_domain_count": 0
}
],
"status": "unauffällig",
"summary": "Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 0 im GPC-Aufruf.",
"gpc_privacy_relevant_domain_count": 0,
"accept_privacy_relevant_domain_count": 0,
"reject_privacy_relevant_domain_count": 0
},
"consent_state_evidence": {
"rows": [
{
"id": "default",
"label": "Erstaufruf",
"action": "Nicht notwendige Cookies, Tracking-Storage und Datenschutz-Drittanbieter vor Einwilligung blockieren oder begründen.",
"status": "ohne Nutzeraktion",
"evidence": "Baseline aus erstem Chromium-Aufruf ohne Banner-Interaktion.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"risk_level": "niedrig",
"cookie_count": 0,
"domain_count": 1,
"request_count": 15,
"storage_total": 2,
"new_cookie_count": 0,
"third_party_cookie_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
{
"id": "reject",
"label": "Nach Ablehnen",
"action": "Nach Ablehnen keine neuen nicht notwendigen Cookies, Tracking-Storage-Keys oder Tracking-\/Werbekontakte auslösen.",
"status": "nicht verfügbar",
"evidence": "",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"risk_level": "niedrig",
"cookie_count": 0,
"domain_count": 0,
"request_count": 0,
"storage_total": 2,
"new_cookie_count": 0,
"third_party_cookie_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
{
"id": "accept",
"label": "Nach Akzeptieren",
"action": "Nach Akzeptieren geladene Cookies, Anbieter und Storage-Einträge in Consent-Auswahl und Datenschutzerklärung abbilden.",
"status": "nicht ausgeführt",
"evidence": "",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"risk_level": "niedrig",
"cookie_count": 0,
"domain_count": 0,
"request_count": 0,
"storage_total": 0,
"new_cookie_count": 0,
"third_party_cookie_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
{
"id": "gpc",
"label": "GPC-Aufruf",
"action": "Global Privacy Control als Opt-out-Signal berücksichtigen und Tracking-\/Sharing-Dienste besonders begrenzen.",
"status": "aktiv",
"evidence": "Navigator-GPC und Sec-GPC wurden im gesonderten Browserlauf gesetzt.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"risk_level": "niedrig",
"cookie_count": 0,
"domain_count": 1,
"request_count": 15,
"storage_total": 2,
"new_cookie_count": 0,
"third_party_cookie_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
}
],
"color": "green",
"score": 100,
"status": "unauffällig",
"summary": "Consent-State-Evidence: 4 Zustände verglichen, 0 hoch auffällig, 0 mittel auffällig.",
"findings": [],
"available": true,
"high_count": 0,
"medium_count": 0,
"priority_fixes": []
},
"contacted_domain_count": 1,
"fingerprinting_analysis": {
"color": "green",
"score": 100,
"checks": [
{
"id": "canvas",
"ok": true,
"count": 0,
"label": "Canvas-Auslese",
"detail": "0 Pixel-Lesezugriff(e), 0 Export(e)."
},
{
"id": "webgl",
"ok": true,
"count": 0,
"label": "WebGL-Merkmale",
"detail": "0 Parameterzugriff(e), 0 Pixel-Lesezugriff(e)."
},
{
"id": "audio",
"ok": true,
"count": 0,
"label": "AudioContext",
"detail": "0 AudioContext\/OfflineAudioContext-Aufruf(e)."
},
{
"id": "session_replay",
"ok": true,
"count": 0,
"label": "Session-Replay-Anbieter",
"detail": "Keine bekannten Anbieter erkannt."
},
{
"id": "input_listeners",
"ok": true,
"count": 0,
"label": "Tastatur-\/Eingabe-Listener",
"detail": "0 Tastatur-\/Input-Listener, 1 Interaktions-Listener, 0 MutationObserver."
}
],
"status": "unauffällig",
"metrics": {
"webgl_read_count": 0,
"canvas_read_count": 0,
"audio_context_count": 0,
"canvas_export_count": 0,
"webgl_parameter_count": 0,
"mutation_observer_count": 0,
"keyboard_input_listener_count": 0,
"session_interaction_listener_count": 1
},
"summary": "0 Fingerprinting-\/Session-Replay-Hinweis(e) aus dem Browserlauf.",
"findings": [],
"finding_count": 0,
"priority_fixes": [],
"session_replay_domains": []
},
"privacy_relevant_domains": [],
"provider_category_counts": [],
"provider_category_labels": [],
"third_party_domain_count": 0,
"embedded_content_analysis": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 externe Embed-\/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen.",
"findings": [],
"map_count": 0,
"total_count": 0,
"video_count": 0,
"captcha_count": 0,
"priority_fixes": [],
"category_counts": [],
"social_widget_count": 0,
"loaded_pre_consent_count": 0,
"request_count_by_provider": []
},
"referrer_leakage_analysis": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 Drittanbieter-Domain(s) mit Referrer-\/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.",
"findings": [],
"sample_count": 0,
"priority_fixes": [],
"full_referrer_count": 0,
"page_url_param_count": 0,
"affected_domain_count": 0,
"sensitive_query_count": 0
},
"third_party_contact_matrix": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 Drittanbieter-Domain(s) beim ersten Browseraufruf, davon 0 datenschutzrelevant.",
"priority_fixes": [],
"category_counts": [],
"total_domain_count": 0,
"total_request_count": 0,
"privacy_relevant_count": 0,
"transfer_risk_analysis": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 Drittanbieter für Transfer-\/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 0 unklar.",
"findings": [],
"unknown_count": 0,
"priority_fixes": [],
"high_risk_count": 0,
"total_vendor_count": 0,
"third_country_count": 0
}
},
"privacy_relevant_domain_count": 0,
"tracking_pixel_beacon_analysis": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 Pixel-\/Bildtracking-Hinweis(e), 0 Beacon-\/Telemetry-Hinweis(e), 0 Link-Ping(s).",
"findings": [],
"pixel_count": 0,
"priority_fixes": [],
"link_ping_count": 0,
"telemetry_count": 0,
"beacon_api_count": 0,
"third_party_count": 0,
"fetch_keepalive_count": 0,
"privacy_relevant_count": 0,
"beacon_code_reference_count": 0,
"fetch_keepalive_reference_count": 0
}
},
"cookie_inventory": {
"color": "green",
"items": [],
"score": 100,
"total": 0,
"status": "unauffällig",
"summary": "0 Cookie(s) inventarisiert: 0 Tracking-\/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en).",
"findings": [],
"categories": [],
"priority_fixes": [],
"tracking_count": 0,
"category_labels": {
"consent": "Consent",
"payment": "Zahlung",
"unknown": "Unklar",
"security": "Sicherheit",
"analytics": "Analytics",
"necessary": "Notwendig",
"functional": "Funktional",
"advertising": "Werbung"
},
"long_lived_count": 0,
"persistent_count": 0,
"first_party_count": 0,
"pre_consent_count": 0,
"retention_classes": [],
"third_party_count": 0,
"missing_secure_count": 0,
"retention_risk_count": 0,
"retention_risk_items": [],
"very_long_lived_count": 0,
"missing_samesite_count": 0,
"persistent_unknown_count": 0,
"long_lived_tracking_count": 0
},
"privacy_analysis": {
"cookies": {
"items": [],
"total": 0,
"tracking": [],
"pre_consent": [],
"missing_secure": [],
"missing_samesite": [],
"pre_consent_tracking": [],
"pre_consent_nonessential": []
},
"findings": [],
"tracking_ids": [],
"tracking_scripts": [],
"consent_hint_found": false,
"privacy_policy_hint_found": false
},
"behavior_analysis": {
"signals": {
"popstate_handlers": 0,
"window_open_count": 0,
"set_interval_count": 0,
"beforeunload_handlers": 0,
"clipboard_write_count": 0,
"history_pushstate_count": 0,
"history_replace_state_count": 0,
"notification_permission_count": 0
},
"findings": [],
"risk_level": "low"
},
"cloaking_analysis": {
"signals": {
"checked": true,
"status_mismatch": false,
"redirect_mismatch": false,
"content_similarity": 1
},
"findings": [],
"risk_level": "low"
},
"language_analysis": {
"method": "html_lang",
"html_lang": "de",
"is_german": true,
"confidence": 1,
"detected_language": "de"
},
"benchmark_analysis": {
"host": "klausurgutachten.de",
"rank": 9,
"score": 24,
"status": "über_durchschnitt",
"summary": "klausurgutachten.de liegt mit 24 Punkten über dem gespeicherten Durchschnitt von 5.2.",
"available": true,
"peer_count": 93,
"percentile": 90,
"distribution": {
"0_39": 88,
"40_59": 2,
"60_79": 3,
"80_100": 0
},
"median_score": 0,
"average_score": 5.2,
"comparison_basis": "Neuester gespeicherter SaferPage-Scan je Domain; überwiegend deutschsprachige gespeicherte Checks.",
"same_score_count": 1,
"better_than_count": 84
},
"compliance_profile": {
"host": "klausurgutachten.de",
"rows": [
{
"area": "DSGVO\/TDDDG",
"action": "Consent, Datenschutztext, Cookie-Erklärung und Drittanbieterinventar zusammen prüfen.",
"reason": "Betreiber- oder Zielgruppenbezug im deutschen\/EU-Raum; Cookies, Storage und Drittanbieter müssen zweck- und einwilligungsbezogen eingeordnet werden.",
"source": "Profil: Betreiber-\/Zielregion",
"applies": true,
"priority": "hoch",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
},
{
"area": "BFSG\/WCAG",
"action": "Alt-Texte, Button-Namen, Formularlabels, Überschriften und Cookie-Banner-Bedienbarkeit prüfen.",
"reason": "Je nach Angebot können Barrierefreiheitsanforderungen besonders sichtbar werden; SaferPage markiert Basis-WCAG-Signale.",
"source": "Profil: Website-Typ und WCAG-Signale",
"applies": true,
"priority": "hoch",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
},
{
"area": "DDG\/Anbieterkennzeichnung",
"action": "Impressum, Kontaktweg, verantwortliche Stelle und Datenschutzlink von zentralen Seiten aus sichtbar verlinken.",
"reason": "Öffentlich erreichbare Angebote brauchen leicht auffindbare Anbieter-, Kontakt- und Verantwortlichkeitsangaben.",
"source": "Profil: öffentliches Webangebot",
"applies": true,
"priority": "hoch",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen"
},
{
"area": "Sensible Daten",
"action": "Formulare minimieren, Datenschutzkontext direkt am Formular zeigen und PII in URLs oder Drittanbieter-Requests vermeiden.",
"reason": "Der gewählte Website-Typ oder die Zielgruppe kann besondere Risiken bei Formularen, Tracking und URL-Parametern auslösen.",
"source": "Profil: Website-Typ\/Zielgruppe",
"applies": false,
"priority": "hoch",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern"
},
{
"area": "Drittanbieter und internationale Transfers",
"action": "Vendor-Register, AVV-\/Rollenstatus und Datenschutztext gegen beobachtete Drittanbieter abgleichen.",
"reason": "Komplexere Angebote nutzen häufig mehr externe Dienste; Empfänger, Rollen und Transfergrundlagen sollten dokumentiert werden.",
"source": "Profil: Angebotskomplexität",
"applies": true,
"priority": "prüfen",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren"
}
],
"status": "deutschland_eu",
"summary": "Prüfprofil Deutschland -> DACH: Allgemeine Website, Zielgruppe Gemischte Zielgruppe. 4 Schwerpunkt(e) für Betreiber priorisiert.",
"available": true,
"site_type": "general",
"disclaimer": "Das Profil priorisiert technische Prüfpunkte für Betreiber; es ersetzt keine rechtliche Einzelfallprüfung.",
"audience_type": "mixed",
"site_type_note": "Standardprofil für Unternehmens-, Vereins- oder Informationsseiten.",
"audience_region": "dach",
"operator_region": "de",
"site_type_label": "Allgemeine Website",
"is_german_language": true,
"audience_type_label": "Gemischte Zielgruppe",
"audience_region_label": "DACH",
"operator_region_label": "Deutschland"
},
"legal_basis_matrix": {
"rows": [
{
"area": "Consent",
"item": "Consent-Nachweis",
"kind": "consent",
"action": "Banner, Defaultzustand, Ablehnen, Widerruf und Protokollierung technisch nachweisen.",
"purpose": "Einwilligung einholen, speichern, ablehnen und widerrufen",
"evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
"provider": "CMP\/Banner",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"risk_level": "hoch",
"tdddg_hint": "TDDDG\/DSGVO: nicht notwendige Zugriffe erst nach wirksamer Einwilligung, Ablehnen ohne Nachteil ermöglichen.",
"legal_basis_hint": "Einwilligung muss freiwillig, informiert, aktiv, widerrufbar und dokumentierbar sein.",
"consent_requirement": "Nachweis und Widerruf prüfen"
},
{
"area": "Web Storage",
"item": "i18nextLng",
"kind": "storage",
"action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen.",
"purpose": "Zweck aus dem Keynamen nicht sicher bestimmbar.",
"evidence": "localStorage · dauerhaft bis Löschung durch Nutzer\/Browser",
"provider": "Browser Storage",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"risk_level": "mittel",
"tdddg_hint": "TDDDG: Zweck, Speicherdauer und Erforderlichkeit prüfen.",
"legal_basis_hint": "Zweck, Speicherdauer und Einwilligungsbedarf klären.",
"consent_requirement": "unklar, prüfen"
},
{
"area": "Web Storage",
"item": "ksga-static-content",
"kind": "storage",
"action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen.",
"purpose": "Zweck aus dem Keynamen nicht sicher bestimmbar.",
"evidence": "localStorage · dauerhaft bis Löschung durch Nutzer\/Browser",
"provider": "Browser Storage",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"risk_level": "mittel",
"tdddg_hint": "TDDDG: Zweck, Speicherdauer und Erforderlichkeit prüfen.",
"legal_basis_hint": "Zweck, Speicherdauer und Einwilligungsbedarf klären.",
"consent_requirement": "unklar, prüfen"
}
],
"status": "prüfen",
"summary": "Rechtsgrundlagen-Matrix: 3 Verarbeitungsvorgang\/-vorgänge, 3 mit Einwilligungsbezug, 0 vor Consent auffällig.",
"available": true,
"row_count": 3,
"disclaimer": "Automatisch aus technischer Scan-Evidenz abgeleitet. Keine Rechtsberatung; Rechtsgrundlagen und TDDDG-Erforderlichkeit fachlich prüfen.",
"risk_counts": {
"hoch": 1,
"mittel": 2
},
"type_counts": {
"consent": 1,
"storage": 2
},
"storage_count": 2,
"unclear_count": 3,
"third_party_count": 0,
"form_data_type_count": 0,
"consent_required_count": 3,
"pre_consent_consent_required_count": 0
},
"audit_evidence_pack": {
"status": "verfügbar",
"summary": "Nachweisprotokoll mit 15 Browser-Request(s), 0 Cookie-Nachweis(en), 0 Drittanbieter-Auszug\/auszügen und 4 Consent-Zustand\/Zuständen.",
"protocol": {
"host": "klausurgutachten.de",
"dns_ok": true,
"tls_ok": true,
"bot_url": "https:\/\/saferpage.de\/bot",
"renderer": "playwright-chromium",
"final_url": "https:\/\/berlin.klausurgutachten.de\/",
"input_url": "https:\/\/klausurgutachten.de\/",
"checked_at": "2026-06-07T12:25:06+00:00",
"user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)",
"http_status": 200,
"scan_context": "crawler",
"screenshot_url": "\/cache\/screenshots\/klausurgutachten.de-100x100-601b62ecaccbb4ec41.png",
"googlebot_status": 200,
"browser_final_url": "https:\/\/berlin.klausurgutachten.de\/",
"dns_address_count": 1
},
"checkpoints": [
{
"label": "DNS",
"detail": "1 Adresse(n) aufgelöst.",
"status": "ok"
},
{
"label": "TLS\/HTTPS",
"detail": "TLSv1.3",
"status": "ok"
},
{
"label": "HTTP-Abruf",
"detail": "Status 200, Endziel https:\/\/berlin.klausurgutachten.de\/.",
"status": "ok"
},
{
"label": "Browserlauf",
"detail": "15 Request(s), 0 Drittanbieter-Domain(s).",
"status": "ok"
},
{
"label": "Consent-Zustände",
"detail": "Default, Ablehnen, Akzeptieren und GPC werden soweit möglich gegenübergestellt.",
"status": "unauffällig"
},
{
"label": "Exports",
"detail": "PDF\/Druck, JSON und CSV enthalten die wesentlichen Prüfnachweise.",
"status": "verfügbar"
}
],
"limitations": [
"Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.",
"Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.",
"Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern."
],
"checked_pages": [],
"cookie_evidence": [],
"browser_evidence": {
"gpc_enabled": true,
"request_count": 15,
"storage_total": 2,
"accept_clicked": false,
"reject_clicked": false,
"browser_cookie_count": 0,
"contacted_domain_count": 1,
"third_party_domain_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
"storage_evidence": {
"tracking_key_hints": [],
"local_storage_total": 2,
"session_storage_total": 0
},
"third_party_evidence": [],
"external_script_count": 3,
"consent_state_evidence": [
{
"label": "Erstaufruf",
"cookie_count": 0,
"domain_count": 0,
"request_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
{
"label": "Nach Ablehnen neu",
"cookie_count": 0,
"domain_count": 0,
"request_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
{
"label": "Nach Akzeptieren neu",
"cookie_count": 0,
"domain_count": 0,
"request_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
},
{
"label": "GPC-Aufruf",
"cookie_count": 0,
"domain_count": 0,
"request_count": 0,
"storage_tracking_hint_count": 0,
"privacy_relevant_domain_count": 0
}
],
"request_sample_evidence": []
},
"compliance_analysis": {
"consent": {
"accept_option_found": false,
"reject_option_found": false,
"cookie_context_found": false,
"settings_option_found": false
},
"contact": {
"email_found": false,
"phone_found": false
},
"imprint": {
"links": [],
"link_found": false,
"address_hint_found": false,
"company_hint_found": false
},
"findings": [
{
"id": "imprint_missing",
"title": "Kein Impressum-Link erkannt",
"public": true,
"category": "privacy",
"severity": "warning",
"recommendation": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein."
},
{
"id": "operator_contact_missing",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"public": true,
"category": "privacy",
"severity": "warning",
"recommendation": "E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken."
}
],
"risk_level": "high",
"checked_pages": [],
"privacy_policy": {
"links": [],
"too_thin": false,
"term_hits": [],
"link_found": false
}
},
"data_entry_analysis": {
"forms": [],
"score": 100,
"summary": "Keine Formular- oder Zahlungsabfrage im passiven Startseiten-Sample erkannt.",
"findings": [],
"form_count": 0,
"risk_level": "low",
"field_count": 0,
"asks_for_data": false,
"payment_providers": [],
"detected_data_types": [],
"privacy_context_found": false,
"operator_context_found": false
},
"technology_analysis": {
"signals": {
"generator": "",
"asset_hosts": [],
"script_count": 3,
"x_powered_by": "",
"server_header": "Apache",
"stylesheet_count": 4
},
"categories": {
"server": [
{
"name": "Apache",
"version": "",
"category": "server",
"evidence": [
"Server-Header: Apache"
],
"confidence": "medium"
}
]
},
"technologies": [
{
"name": "Apache",
"version": "",
"category": "server",
"evidence": [
"Server-Header: Apache"
],
"confidence": "medium"
}
]
},
"operator_action_plan": {
"tasks": [
{
"why": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"area": "Skript-Lieferkette",
"owner": "Technik",
"title": "Externe Skripte ohne Subresource Integrity",
"action": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"effort": "niedrig",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "innerhalb von 30 Tagen",
"due_days": 30,
"priority": "mittel",
"guide_url": "\/guides\/externe-skripte-und-sri-absichern",
"source_id": "external_script_without_sri",
"team_route": "Developer\/Ops",
"effort_score": 1,
"impact_score": 61,
"priority_score": 61,
"implementation_phase": "3 Monatsplan"
},
{
"why": "Content-Security-Policy schrittweise einführen.",
"area": "BSI\/Security-Header",
"owner": "Technik",
"title": "Content-Security-Policy fehlt",
"action": "Content-Security-Policy schrittweise einführen.",
"effort": "mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "innerhalb von 30 Tagen",
"due_days": 30,
"priority": "mittel",
"guide_url": "\/guides\/security-header-setzen",
"source_id": "missing_csp",
"team_route": "Developer\/Ops",
"effort_score": 3,
"impact_score": 61,
"priority_score": 53,
"implementation_phase": "3 Monatsplan"
},
{
"why": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"area": "DDG\/Anbieterkennzeichnung",
"owner": "Recht\/Content",
"title": "Kein Impressum-Link erkannt",
"action": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"effort": "niedrig bis mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "innerhalb von 30 Tagen",
"due_days": 30,
"priority": "mittel",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"source_id": "imprint_missing",
"team_route": "Content\/UX",
"effort_score": 3,
"impact_score": 61,
"priority_score": 53,
"implementation_phase": "3 Monatsplan"
},
{
"why": "Klare Kontaktmöglichkeit ergänzen.",
"area": "DDG\/Anbieterkennzeichnung",
"owner": "Recht\/Content",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"action": "Klare Kontaktmöglichkeit ergänzen.",
"effort": "niedrig bis mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "innerhalb von 30 Tagen",
"due_days": 30,
"priority": "mittel",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"source_id": "operator_contact_missing",
"team_route": "Content\/UX",
"effort_score": 3,
"impact_score": 61,
"priority_score": 53,
"implementation_phase": "3 Monatsplan"
},
{
"why": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"area": "BSI\/Security-Header",
"owner": "Technik",
"title": "Cross-Origin-Embedder-Policy fehlt",
"action": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"effort": "mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "Backlog",
"due_days": 90,
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"source_id": "missing_cross_origin_embedder_policy",
"team_route": "Developer\/Ops",
"effort_score": 3,
"impact_score": 32,
"priority_score": 24,
"implementation_phase": "4 Backlog"
},
{
"why": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"area": "BSI\/Security-Header",
"owner": "Technik",
"title": "Cross-Origin-Opener-Policy fehlt",
"action": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"effort": "mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "Backlog",
"due_days": 90,
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"source_id": "missing_cross_origin_opener_policy",
"team_route": "Developer\/Ops",
"effort_score": 3,
"impact_score": 32,
"priority_score": 24,
"implementation_phase": "4 Backlog"
},
{
"why": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"area": "BSI\/Security-Header",
"owner": "Technik",
"title": "Cross-Origin-Resource-Policy fehlt",
"action": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"effort": "mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "Backlog",
"due_days": 90,
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"source_id": "missing_cross_origin_resource_policy",
"team_route": "Developer\/Ops",
"effort_score": 3,
"impact_score": 32,
"priority_score": 24,
"implementation_phase": "4 Backlog"
},
{
"why": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.",
"area": "BSI\/Security-Header",
"owner": "Technik",
"title": "Permissions-Policy fehlt",
"action": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.",
"effort": "mittel",
"source": "betreiber_risiko",
"status": "offen",
"deadline": "Backlog",
"due_days": 90,
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"source_id": "missing_permissions_policy",
"team_route": "Developer\/Ops",
"effort_score": 3,
"impact_score": 32,
"priority_score": 24,
"implementation_phase": "4 Backlog"
}
],
"source": "operator_risk_analysis und audit_modules",
"status": "handlungsbedarf",
"summary": "8 Betreiber-Aufgabe(n): 0 sofort, 0 bis 7 Tage, 4 bis 30 Tage. Team-Routing: Content\/UX 2, Developer\/Ops 6",
"due_counts": {
"7_tage": 0,
"sofort": 0,
"30_tage": 4,
"backlog": 4
},
"team_counts": {
"Content\/UX": 2,
"Developer\/Ops": 6
},
"phase_counts": {
"4 Backlog": 4,
"3 Monatsplan": 4
}
},
"performance_analysis": {
"score": 100,
"signals": {
"compressed": false,
"duration_ms": 44,
"image_count": 0,
"script_count": 3,
"cache_control": "",
"content_length": 3360,
"viewport_found": true,
"stylesheet_count": 1
},
"findings": [],
"risk_level": "low"
},
"privacy_notice_draft": {
"storage": {
"local_storage_keys": [
"i18nextLng",
"ksga-static-content"
],
"tracking_key_hints": [],
"local_storage_total": 2,
"session_storage_keys": [],
"session_storage_total": 0
},
"summary": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).",
"purposes": [],
"available": true,
"data_types": [],
"disclaimer": "Automatisch aus einem passiven technischen Scan abgeleitet. Keine Rechtsberatung; Inhalte vor Veröffentlichung fachlich und rechtlich prüfen.",
"cookie_rows": [],
"text_blocks": [
{
"text": "Beim passiven SaferPage-Erstaufruf von klausurgutachten.de wurden 0 Cookie(s) und 2 Web-Storage-Key(s) dokumentiert. Prüfen Sie, welche Einträge technisch erforderlich sind und welche erst nach Einwilligung gesetzt werden dürfen.",
"title": "Cookies und ähnliche Technologien"
},
{
"text": "Der Chromium-Aufruf kontaktierte 0 Drittanbieter-Domain(s). Nennen Sie Anbieter, Zwecke, Empfänger, Rechtsgrundlage, Drittlandtransfer und Widerrufsmöglichkeit in der Datenschutzerklärung.",
"title": "Drittanbieter"
},
{
"text": "Nicht notwendige Cookies, Tracking, Werbung, Tag Manager und vergleichbare Web-Storage-IDs sollten vor Zustimmung blockiert werden. SaferPage bewertet den Consent-Audit aktuell mit 48 Punkten.",
"title": "Einwilligung und Widerruf"
}
],
"missing_items": [
"LocalStorage und SessionStorage zusätzlich zur Cookie-Tabelle inventarisieren."
],
"third_parties": [],
"cookie_declaration_rows": [],
"storage_declaration_rows": [
{
"key": "i18nextLng",
"purpose": "Unklar",
"category": "unknown",
"purpose_text": "Zweck aus dem Keynamen nicht sicher bestimmbar.",
"storage_type": "localStorage",
"tracking_hint": false,
"consent_status": "unklar_pruefen",
"retention_hint": "dauerhaft bis Löschung durch Nutzer\/Browser",
"legal_basis_hint": "Zweck, Speicherdauer und Einwilligungsbedarf klären.",
"recommended_action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen.",
"consent_requirement": "unklar, prüfen"
},
{
"key": "ksga-static-content",
"purpose": "Unklar",
"category": "unknown",
"purpose_text": "Zweck aus dem Keynamen nicht sicher bestimmbar.",
"storage_type": "localStorage",
"tracking_hint": false,
"consent_status": "unklar_pruefen",
"retention_hint": "dauerhaft bis Löschung durch Nutzer\/Browser",
"legal_basis_hint": "Zweck, Speicherdauer und Einwilligungsbedarf klären.",
"recommended_action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen.",
"consent_requirement": "unklar, prüfen"
}
],
"cookie_declaration_summary": {
"row_count": 0,
"unknown_count": 0,
"consent_required_count": 0,
"pre_consent_consent_required_count": 0
},
"storage_declaration_summary": {
"row_count": 2,
"unknown_count": 2,
"local_storage_count": 2,
"tracking_hint_count": 0,
"session_storage_count": 0
},
"third_party_declaration_rows": [],
"third_party_declaration_summary": {
"row_count": 0,
"privacy_relevant_count": 0,
"unknown_transfer_count": 0,
"high_transfer_risk_count": 0
}
},
"remediation_workflow": {
"status": "aktiv",
"summary": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"tickets": [
{
"sla": "30_tage",
"area": "Skript-Lieferkette",
"team": "Developer\/Ops",
"owner": "Technik",
"title": "Externe Skripte ohne Subresource Integrity",
"source": "operator_task",
"status": "einplanen",
"evidence": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"priority": "mittel",
"guide_url": "\/guides\/externe-skripte-und-sri-absichern",
"next_step": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"source_id": "external_script_without_sri",
"ticket_id": "SP-001",
"fix_action": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"priority_score": 61,
"acceptance_criterion": "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet."
},
{
"sla": "30_tage",
"area": "BSI\/Security-Header",
"team": "Developer\/Ops",
"owner": "Technik",
"title": "Content-Security-Policy fehlt",
"source": "operator_task",
"status": "einplanen",
"evidence": "Content-Security-Policy schrittweise einführen.",
"priority": "mittel",
"guide_url": "\/guides\/security-header-setzen",
"next_step": "Content-Security-Policy schrittweise einführen.",
"source_id": "missing_csp",
"ticket_id": "SP-002",
"fix_action": "Content-Security-Policy schrittweise einführen.",
"priority_score": 53,
"acceptance_criterion": "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund."
},
{
"sla": "30_tage",
"area": "DDG\/Anbieterkennzeichnung",
"team": "Content\/UX",
"owner": "Recht\/Content",
"title": "Kein Impressum-Link erkannt",
"source": "operator_task",
"status": "einplanen",
"evidence": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"priority": "mittel",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"next_step": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"source_id": "imprint_missing",
"ticket_id": "SP-003",
"fix_action": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"priority_score": 53,
"acceptance_criterion": "Drittanbieter ist dokumentiert, rechtlich bewertet und im Scan als erwarteter Dienst nachvollziehbar."
},
{
"sla": "30_tage",
"area": "DDG\/Anbieterkennzeichnung",
"team": "Content\/UX",
"owner": "Recht\/Content",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"source": "operator_task",
"status": "einplanen",
"evidence": "Klare Kontaktmöglichkeit ergänzen.",
"priority": "mittel",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"next_step": "Klare Kontaktmöglichkeit ergänzen.",
"source_id": "operator_contact_missing",
"ticket_id": "SP-004",
"fix_action": "Klare Kontaktmöglichkeit ergänzen.",
"priority_score": 53,
"acceptance_criterion": "Drittanbieter ist dokumentiert, rechtlich bewertet und im Scan als erwarteter Dienst nachvollziehbar."
},
{
"sla": "Backlog",
"area": "BSI\/Security-Header",
"team": "Developer\/Ops",
"owner": "Technik",
"title": "Cross-Origin-Embedder-Policy fehlt",
"source": "operator_task",
"status": "backlog",
"evidence": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"next_step": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"source_id": "missing_cross_origin_embedder_policy",
"ticket_id": "SP-005",
"fix_action": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"priority_score": 24,
"acceptance_criterion": "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund."
},
{
"sla": "Backlog",
"area": "BSI\/Security-Header",
"team": "Developer\/Ops",
"owner": "Technik",
"title": "Cross-Origin-Opener-Policy fehlt",
"source": "operator_task",
"status": "backlog",
"evidence": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"next_step": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"source_id": "missing_cross_origin_opener_policy",
"ticket_id": "SP-006",
"fix_action": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"priority_score": 24,
"acceptance_criterion": "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund."
},
{
"sla": "Backlog",
"area": "BSI\/Security-Header",
"team": "Developer\/Ops",
"owner": "Technik",
"title": "Cross-Origin-Resource-Policy fehlt",
"source": "operator_task",
"status": "backlog",
"evidence": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"next_step": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"source_id": "missing_cross_origin_resource_policy",
"ticket_id": "SP-007",
"fix_action": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"priority_score": 24,
"acceptance_criterion": "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund."
},
{
"sla": "Backlog",
"area": "BSI\/Security-Header",
"team": "Developer\/Ops",
"owner": "Technik",
"title": "Permissions-Policy fehlt",
"source": "operator_task",
"status": "backlog",
"evidence": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.",
"priority": "niedrig",
"guide_url": "\/guides\/security-header-setzen",
"next_step": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.",
"source_id": "missing_permissions_policy",
"ticket_id": "SP-008",
"fix_action": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.",
"priority_score": 24,
"acceptance_criterion": "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund."
}
],
"available": true,
"disclaimer": "Workflow-Tickets sind technische Betreiberhinweise und müssen fachlich\/rechtlich freigegeben werden.",
"open_count": 4,
"team_counts": {
"Content\/UX": 2,
"Developer\/Ops": 6
},
"ticket_count": 8,
"status_counts": {
"backlog": 4,
"einplanen": 4,
"sofort_starten": 0
},
"recommended_cadence": "Nach jeder Umsetzung erneut scannen; bei hoher Priorität innerhalb von 7 Tagen."
},
"vendor_due_diligence": {
"status": "keine Anbieter erkannt",
"summary": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
"vendors": [],
"available": false,
"disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleitete Vendor-Due-Diligence. Verträge, TOMs und interne Anbieterakten muss der Betreiber ergänzen.",
"vendor_count": 0,
"questionnaire": [
{
"id": "role_and_dpa",
"why": "0 Anbieter benötigen eine Vertrags- oder Rollenprüfung.",
"owner": "Legal\/Datenschutz",
"priority": "mittel",
"question": "Sind Rolle, Vertragstyp und AVV\/DPA für jeden sichtbaren Anbieter dokumentiert?",
"expected_evidence": "Anbieterakte mit Rolle, Vertrag, AVV\/DPA, TOMs und Review-Datum."
},
{
"id": "transfer_impact",
"why": "0 Anbieter haben Transfer- oder Jurisdiktions-Klärungsbedarf.",
"owner": "Datenschutz\/IT",
"priority": "mittel",
"question": "Sind Drittlandtransfer, SCCs und Transfer Impact Assessment je Anbieter geprüft?",
"expected_evidence": "Region, Hostingland, Transfergrundlage, SCC\/TIA oder EU-Alternative."
},
{
"id": "consent_and_blocking",
"why": "Consent- und Transparenzpflichten hängen vom realen Ladeverhalten ab.",
"owner": "Marketing\/IT",
"priority": "mittel",
"question": "Sind nicht notwendige Anbieter vor Einwilligung blockiert und in CMP\/Cookie-Erklärung beschrieben?",
"expected_evidence": "CMP-Regel, Consent-State-Test, Cookie-\/Storage-Inventar und Datenschutzerklärungseintrag."
},
{
"id": "retention_and_subprocessors",
"why": "Diese Angaben fehlen in öffentlichen Website-Signalen fast immer und müssen vom Betreiber ergänzt werden.",
"owner": "Vendor Owner",
"priority": "mittel",
"question": "Sind Speicherfristen, Löschung und Unterauftragsverarbeiter je Anbieter bekannt?",
"expected_evidence": "Retention-Angaben, Löschprozess, Subprocessor-Liste und Änderungsbenachrichtigung."
}
],
"question_count": 4,
"dpa_check_count": 0,
"high_risk_count": 0,
"priority_actions": [
"Top-Anbieter nach Risiko priorisieren und Anbieterakte mit Rolle, AVV\/DPA, TOMs und Review-Datum anlegen.",
"Drittlandtransfer und Unterauftragsverarbeiter je Anbieter dokumentieren oder datensparsame Alternativen prüfen.",
"CMP-Regeln, Datenschutzerklärung und Cookie-\/Anbieterregister gegen das tatsächliche Ladeverhalten abgleichen."
],
"transfer_check_count": 0
},
"pii_exposure_analysis": {
"color": "green",
"score": 100,
"checks": [
{
"id": "current_url",
"ok": true,
"count": 0,
"label": "Aktuelle URL",
"detail": "Keine sensiblen Query-Parameter erkannt."
},
{
"id": "link_queries",
"ok": true,
"count": 0,
"label": "Link-Parameter",
"detail": "Keine sensiblen Link-Querys erkannt."
},
{
"id": "get_forms",
"ok": true,
"count": 0,
"label": "GET-Formulare",
"detail": "Keine personenbezogenen GET-Formulare erkannt."
},
{
"id": "external_forms",
"ok": true,
"count": 0,
"label": "Externe Formularziele",
"detail": "Keine externen Formularziele mit personenbezogenen Feldern erkannt."
},
{
"id": "tracking_context",
"ok": true,
"count": 0,
"label": "Tracking neben Dateneingabe",
"detail": "Keine Kombination aus Dateneingabe und datenschutzrelevanten Drittanbietern erkannt."
}
],
"status": "unauffällig",
"summary": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
"findings": [],
"link_hits": [],
"finding_count": 0,
"priority_fixes": [],
"current_url_hits": [],
"tracking_context": false,
"sensitive_get_forms": [],
"external_form_actions": []
},
"relationship_analysis": {
"limits": [
"Backlinks werden nur aus bereits gespeicherten SaferPage-Scans erkannt; es ist kein vollstaendiger Linkindex.",
"Gleiche IP kann Shared Hosting, CDN oder Reverse Proxy bedeuten und ist allein kein Betreiberbeweis.",
"Gemeinsame Ad-\/Analytics-IDs sind starke technische Beziehungssignale, koennen aber auch Agentur- oder Dienstleister-Setups abbilden."
],
"signals": {
"network_count": 1,
"ip_address_count": 1,
"tracking_id_count": 0,
"same_ip_neighbor_count": 0,
"known_incoming_link_count": 0,
"external_link_domain_count": 0,
"strong_outgoing_link_count": 0,
"shared_identifier_neighbor_count": 0
},
"findings": [],
"adtech_ids": [],
"risk_level": "low",
"server_network": {
"limits": [
"Netzpraefixe sind Heuristiken aus sichtbaren IPs (\/24 bei IPv4, \/64 bei IPv6).",
"ASN, Hosting-Anbieter und Organisation brauchen RDAP\/Whois-Daten und werden hier noch nicht behauptet."
],
"signals": {
"ptr_count": 1,
"ipv4_count": 1,
"ipv6_count": 0,
"address_count": 1,
"network_count": 1
},
"networks": [
"188.245.55.0\/24"
],
"addresses": [
{
"ip": "188.245.55.19",
"ptr": "static.19.55.245.188.clients.your-server.de",
"family": "IPv4",
"network": "188.245.55.0\/24",
"is_global": true,
"is_private": false,
"heuristic_prefix": "\/24"
}
]
},
"same_ip_neighbors": [],
"known_incoming_links": [],
"strong_outgoing_links": [],
"shared_identifier_neighbors": []
},
"scan_history_analysis": {
"available": true,
"summary": "Vergleich mit dem vorherigen gespeicherten Scan: Score +0 Punkte, 0 neue und 0 behobene Hinweis(e).",
"trend": "unverändert",
"score_delta": 0,
"previous_score": 24,
"current_score": 24,
"previous_scan_id": "d81d4a7e-9735-4eb1-9b20-66df6124dd5f",
"previous_created_at": "2026-06-07 13:29:36.79532+02",
"new_findings": [],
"resolved_findings": [],
"technical_changes": {
"available": true,
"summary": "0 neue und 0 entfernte technische Datenschutz-Signal(e): Cookies, Drittanbieter und externe Skriptquellen.",
"new_cookie_count": 0,
"removed_cookie_count": 0,
"new_third_party_count": 0,
"removed_third_party_count": 0,
"new_script_source_count": 0,
"removed_script_source_count": 0,
"new_cookies": [],
"removed_cookies": [],
"new_third_parties": [],
"removed_third_parties": [],
"new_script_sources": [],
"removed_script_sources": []
},
"history": [
{
"scan_id": "fd0457ad-ac89-4b77-9e7e-e23395e1ae0b",
"created_at": "2026-06-07 14:25:06.487583+02",
"score": 24,
"verdict": "riskant",
"finding_count": 11,
"integrity_root_hash": "bf3a5f37fa9287a1b542ad74683a05473c42c1540e785b8c96f8c704411f00d3",
"integrity_available_hash_count": 9,
"current": true
},
{
"scan_id": "d81d4a7e-9735-4eb1-9b20-66df6124dd5f",
"created_at": "2026-06-07 13:29:36.79532+02",
"score": 24,
"verdict": "riskant",
"finding_count": 11,
"integrity_root_hash": "331868b150ff4b7508dda4bbb33242ea9c0830c66f24385f94b4e605c9a2068f",
"integrity_available_hash_count": 9,
"current": false
}
]
},
"vendor_lifecycle_risk": {
"rows": [
{
"id": "vendor_discovery",
"label": "Automatische Vendor Discovery aus Tags, Cookies und Datenflüssen",
"owner": "Datenschutz\/IT",
"action": "Tags, Cookies, Requests, Formulare und Data-Map-Empfänger automatisch in ein zentrales Vendor Register übernehmen.",
"passed": false,
"status": "fehlt",
"weight": 14,
"evidence": "0 Anbieterregister-Eintrag\/Einträge, 0 Drittanbieter-Domain(s), 15 Browser-Request(s).",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "privacy_risk_scoring",
"label": "Privacy-spezifisches Vendor Scoring",
"owner": "Datenschutz\/Vendor Owner",
"action": "Vendor-Score aus Zweck, Datenkategorien, Tracking, Transfer, DPA\/AVV, Incident-Relevanz und Retention-Risiken bilden.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "dpa_contracting",
"label": "AVV\/DPA und Vertragsstatus steuerbar",
"owner": "Legal\/Vendor Owner",
"action": "AVV\/DPA, TOMs, Subprozessor-Klauseln, Audit-\/Informationsrechte und Renewal-Fristen je Anbieter pflegen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "0 AVV-\/DPA-Prüfung(en), 0 Anbieter.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "transfer_subprocessor",
"label": "Transfer- und Subprozessor-Risiken überwacht",
"owner": "Legal\/Datenschutz",
"action": "Drittlandtransfer, SCC\/TIA, Anbieterregion, Subprozessoren und Transferänderungen als Review-Trigger führen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "Transferfragen 0, hohe Risiken 0, unbekannte Transfers 0.",
"guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
"manual_review": false
},
{
"id": "vendor_assessment_workflow",
"label": "Vendor-Assessment mit Vorlagen und Vorbefüllung",
"owner": "Datenschutz\/Procurement",
"action": "Vendor-Fragebogen mit Auto-Antworten aus Cookie-\/Request-\/Data-Map-\/DPA-Evidenz, Risikoentscheid und Maßnahmen führen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "ongoing_monitoring",
"label": "Kontinuierliches Vendor Monitoring",
"owner": "Datenschutz\/Compliance",
"action": "Policy-Änderungen, neue Tags, neue Subprozessoren, Breaches, Lawsuits und Rechtsänderungen als Vendor-Alerts routen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Alerts 0, Regulatory-Pflichten 8.",
"guide_url": "\/monitoring",
"manual_review": false
},
{
"id": "incident_breach_link",
"label": "Vendor-Incident und Breach Response verbunden",
"owner": "Legal\/IT\/Security",
"action": "Vendor-Breach-Szenarien, 72h-Meldeprüfung, Beweissicherung und Betroffenenkommunikation mit Anbieterakten verbinden.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "Incident-\/Breach-Readiness 66\/100; 5 Szenario(s), 0 kritisch, 1 hoch\/kritisch und 3 offene Nachweisposition(en).",
"guide_url": "\/guides\/security-header-setzen",
"manual_review": false
},
{
"id": "retention_offboarding",
"label": "Offboarding, Rückgabe und Löschung dokumentiert",
"owner": "Vendor Owner\/Legal",
"action": "Vendor-Offboarding, Datenrückgabe, Löschbestätigung, Backup-Fristen und Subprozessor-Löschung nachhalten.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "Retention-\/Deletion-Readiness 58\/100; 6\/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "collaboration_owners",
"label": "Owner, Procurement und Fachbereich abgestimmt",
"owner": "Programm-Owner",
"action": "Procurement, Fachbereich, IT, Datenschutz, Legal und Vendor Owner mit SLA, Entscheidung und Eskalation im Workflow verbinden.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "evidence_repository",
"label": "Vendor Evidence Repository",
"owner": "Compliance\/IT",
"action": "DPA, TOMs, TIA, Assessment, Cookie-\/Request-Evidenz, Löschbestätigung und Incident-Nachweise versioniert exportieren.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "external_vendor_score",
"label": "Externe Vendor-Score-\/Lawsuit-\/Policy-Feeds",
"owner": "Datenschutz\/Procurement",
"action": "Optional externe Vendor-Risikodaten, Policy-Änderungen, Klagen, Breaches und Subprozessor-Feeds anbinden.",
"passed": false,
"status": "prüfen",
"weight": 6,
"evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": true
}
],
"score": 49,
"status": "Vendor-Risk aufbauen",
"summary": "Vendor-Lifecycle-Readiness 49\/100; 6\/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 5,
"disclaimer": "Automatisch aus Website-, Browser- und SaferPage-Artefakten abgeleitete Vendor-Lifecycle-Readiness. Externe Vendor Scores, Vertragsakten, Subprozessorlisten und echte Procurement-Freigaben muss der Betreiber ergänzen.",
"check_count": 11,
"passed_count": 6,
"vendor_count": 0,
"vendor_scores": [],
"lifecycle_steps": [
{
"id": "discover",
"owner": "IT\/Datenschutz",
"phase": "Discovery",
"action": "Neue Drittanbieter aus Cookies, Requests, Scripts, Data Map und Formularen ins Register übernehmen.",
"timebox": "laufend",
"evidence": "Vendor Register, Request-Samples, Cookie-Liste."
},
{
"id": "classify",
"owner": "Datenschutz\/Vendor Owner",
"phase": "Klassifizieren & Scoren",
"action": "Zweck, Datenkategorien, Rolle, Risiko, Transfer und Consent-Erfordernis bewerten.",
"timebox": "0-7 Tage",
"evidence": "Vendor Score, Risikogrund, Datenkategorien."
},
{
"id": "assess_contract",
"owner": "Legal\/Procurement",
"phase": "Assessment & Vertrag",
"action": "Vendor Assessment, AVV\/DPA, TOMs, TIA\/SCC, Subprozessoren und Freigabe prüfen.",
"timebox": "7-21 Tage",
"evidence": "Assessment, DPA, TOMs, TIA, Sign-off."
},
{
"id": "monitor",
"owner": "Compliance",
"phase": "Monitoring",
"action": "Policy-, Subprozessor-, Breach-, Tag- und Rechtsänderungen überwachen und Tickets erzeugen.",
"timebox": "monatlich\/bei Änderung",
"evidence": "Alert, Review-Entscheidung, Ticket."
},
{
"id": "offboard",
"owner": "Vendor Owner\/IT",
"phase": "Offboarding",
"action": "Zugriffe entfernen, Datenrückgabe\/Löschung bestätigen, Backups und Subprozessoren nachhalten.",
"timebox": "Vertragsende\/Zweckende",
"evidence": "Löschbestätigung, Access-Review, Abschlussnotiz."
}
],
"priority_actions": [
"Tags, Cookies, Requests, Formulare und Data-Map-Empfänger automatisch in ein zentrales Vendor Register übernehmen.",
"Vendor-Score aus Zweck, Datenkategorien, Tracking, Transfer, DPA\/AVV, Incident-Relevanz und Retention-Risiken bilden.",
"AVV\/DPA, TOMs, Subprozessor-Klauseln, Audit-\/Informationsrechte und Renewal-Fristen je Anbieter pflegen.",
"Drittlandtransfer, SCC\/TIA, Anbieterregion, Subprozessoren und Transferänderungen als Review-Trigger führen.",
"Optional externe Vendor-Risikodaten, Policy-Änderungen, Klagen, Breaches und Subprozessor-Feeds anbinden."
],
"source_artifacts": [
"vendor_processor_register",
"vendor_due_diligence",
"third_party_contact_matrix",
"privacy_assessment_automation",
"retention_deletion_readiness",
"incident_breach_readiness",
"monitoring_alert_digest",
"audit_evidence_pack"
],
"lifecycle_step_count": 5,
"privacy_vendor_count": 0,
"evidence_requirements": [
{
"id": "vendor_file",
"label": "Vendor-Akte",
"owner": "Vendor Owner",
"status": "aufbauen",
"expected_evidence": "Zweck, Rolle, Datenarten, Systeme, Owner, Risiko, Freigabe, Review-Datum."
},
{
"id": "contract_pack",
"label": "DPA\/AVV\/TOM\/TIA-Paket",
"owner": "Legal",
"status": "aufbauen",
"expected_evidence": "AVV\/DPA, TOMs, SCC\/TIA, Subprozessoren, Audit-\/Informationsrechte."
},
{
"id": "monitoring_log",
"label": "Vendor-Monitoring-Log",
"owner": "Compliance",
"status": "aufbauen",
"expected_evidence": "Policy-Änderung, Breach, Lawsuit, neuer Subprozessor, neue Tags, Review-Entscheidung."
},
{
"id": "offboarding_certificate",
"label": "Offboarding-\/Löschbestätigung",
"owner": "Vendor Owner\/IT",
"status": "Betreiber-Nachweis",
"expected_evidence": "Datenrückgabe, Löschung, Backup-Frist, Access-Entzug, Subprozessor-Bestätigung."
}
],
"high_risk_vendor_count": 0
},
"accessibility_analysis": {
"color": "green",
"score": 92,
"status": "unauffällig",
"signals": {
"h1_count": 0,
"image_count": 0,
"button_count": 0,
"heading_count": 0,
"viewport_found": true,
"html_lang_found": true,
"form_field_count": 0,
"image_missing_alt_count": 0,
"buttons_without_name_count": 0,
"form_fields_without_label_count": 0
},
"summary": "0 Bild(er), 0 Formularfeld(er), 0 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.",
"findings": [
{
"id": "heading_structure_missing",
"title": "Keine Überschriftenstruktur erkannt",
"public": true,
"category": "accessibility",
"severity": "info",
"recommendation": "Eine klare H1 und sinnvolle Zwischenüberschriften erleichtern Orientierung und Screenreader-Nutzung."
}
],
"wcag_matrix": {
"rows": [
{
"id": "wcag_non_text_content",
"ok": true,
"fix": "Inhaltliche Bilder mit aussagekräftigem alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
"wcag": "WCAG 1.1.1 Non-text Content",
"title": "Alternativtexte für Bilder",
"impact": "niedrig",
"status": "ok",
"evidence": "0 von 0 Bild(er) ohne alt-Text im HTML-Sample.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"eaa_relevance": "EAA\/BFSG-Relevanz: Inhalte müssen auch ohne Bildwahrnehmung verständlich sein."
},
{
"id": "wcag_form_labels",
"ok": true,
"fix": "Jedes Eingabefeld mit sichtbarem label, aria-label oder aria-labelledby verbinden.",
"wcag": "WCAG 1.3.1 Info and Relationships \/ 3.3.2 Labels or Instructions",
"title": "Formularfelder beschriften",
"impact": "niedrig",
"status": "ok",
"evidence": "0 von 0 Formularfeld(er) ohne erkennbare Beschriftung.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"eaa_relevance": "EAA\/BFSG-Relevanz: Formulare müssen mit Tastatur und Screenreader bedienbar sein."
},
{
"id": "wcag_button_names",
"ok": true,
"fix": "Buttons mit sichtbarem Text, aria-label oder eindeutigem value auszeichnen.",
"wcag": "WCAG 4.1.2 Name, Role, Value",
"title": "Buttons mit Namen versehen",
"impact": "niedrig",
"status": "ok",
"evidence": "0 von 0 Button(s) ohne erkennbaren Namen.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"eaa_relevance": "EAA\/BFSG-Relevanz: Schaltflächen müssen technisch und sichtbar verständlich sein."
},
{
"id": "wcag_page_language",
"ok": true,
"fix": "Am html-Element die passende Sprache setzen, zum Beispiel lang=\"de\".",
"wcag": "WCAG 3.1.1 Language of Page",
"title": "Seitensprache auszeichnen",
"impact": "niedrig",
"status": "ok",
"evidence": "HTML-lang-Attribut gefunden.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"eaa_relevance": "EAA\/BFSG-Relevanz: Screenreader brauchen die korrekte Sprache für Aussprache und Navigation."
},
{
"id": "wcag_heading_structure",
"ok": false,
"fix": "Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen.",
"wcag": "WCAG 1.3.1 Info and Relationships \/ 2.4.6 Headings and Labels",
"title": "Überschriftenstruktur",
"impact": "mittel",
"status": "prüfen",
"evidence": "0 H1 und 0 Überschrift(en) im HTML-Sample.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"eaa_relevance": "EAA\/BFSG-Relevanz: Klare Überschriften erleichtern Orientierung und Bedienung."
},
{
"id": "wcag_mobile_reflow",
"ok": true,
"fix": "meta name=\"viewport\" setzen und Layout auf mobile Reflow-Fähigkeit prüfen.",
"wcag": "WCAG 1.4.10 Reflow",
"title": "Mobile Viewport-Basis",
"impact": "niedrig",
"status": "ok",
"evidence": "Viewport-Meta-Tag gefunden.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"eaa_relevance": "EAA\/BFSG-Relevanz: Inhalte müssen auf kleinen Bildschirmen ohne horizontales Scrollen nutzbar bleiben."
}
],
"summary": "1 WCAG-\/EAA-Prüfpunkt(e) auffällig, davon 0 mit hoher Auswirkung.",
"standard": "WCAG 2.2 orientierte Basisprüfung",
"available": true,
"disclaimer": "Automatisch aus HTML-Signalen abgeleitet; ersetzt keine vollständige manuelle WCAG-\/BITV-Prüfung.",
"issue_count": 1,
"priority_fixes": [
"Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen."
],
"high_impact_count": 0
},
"priority_fixes": [
"Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen."
]
},
"operator_risk_analysis": {
"areas": [
{
"area": "BSI\/Security-Header",
"score": 38,
"guides": [
"\/guides\/security-header-setzen"
],
"findings": [
{
"id": "missing_csp",
"level": "mittel",
"title": "Content-Security-Policy fehlt",
"reason": "Content-Security-Policy schrittweise einführen.",
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "missing_cross_origin_embedder_policy",
"level": "niedrig",
"title": "Cross-Origin-Embedder-Policy fehlt",
"reason": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "missing_cross_origin_opener_policy",
"level": "niedrig",
"title": "Cross-Origin-Opener-Policy fehlt",
"reason": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "missing_cross_origin_resource_policy",
"level": "niedrig",
"title": "Cross-Origin-Resource-Policy fehlt",
"reason": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
}
],
"highest_level": "mittel"
},
{
"area": "DDG\/Anbieterkennzeichnung",
"score": 28,
"guides": [
"\/guides\/impressum-und-kontakt-sichtbar-machen"
],
"findings": [
{
"id": "imprint_missing",
"level": "mittel",
"title": "Kein Impressum-Link erkannt",
"reason": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_label": "Fehler beheben"
},
{
"id": "operator_contact_missing",
"level": "mittel",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"reason": "Klare Kontaktmöglichkeit ergänzen.",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_label": "Fehler beheben"
}
],
"highest_level": "mittel"
},
{
"area": "Skript-Lieferkette",
"score": 14,
"guides": [
"\/guides\/externe-skripte-und-sri-absichern"
],
"findings": [
{
"id": "external_script_without_sri",
"level": "mittel",
"title": "Externe Skripte ohne Subresource Integrity",
"reason": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"guide_url": "\/guides\/externe-skripte-und-sri-absichern",
"guide_label": "Fehler beheben"
}
],
"highest_level": "mittel"
},
{
"area": "Barrierefreiheit\/Usability",
"score": 6,
"guides": [
"\/guides\/barrierefreiheit-cookie-banner-formulare"
],
"findings": [
{
"id": "heading_structure_missing",
"level": "niedrig",
"title": "Keine Überschriftenstruktur erkannt",
"reason": "Eine erkennbare Überschriftenstruktur erleichtert Orientierung.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"guide_label": "Fehler beheben"
}
],
"highest_level": "niedrig"
}
],
"label": "Hoher Betreiber-Handlungsbedarf",
"level": "hoch",
"score": 86,
"source": "datenschutz-webseiten-report",
"summary": "Abgeleitet aus dem Datenschutz-Webseiten-Report: Datenschutz, TDDDG\/ePrivacy, BSI-Sicherheit, Google-Qualität und Nutzbarkeit werden nach passiven Befunden priorisiert.",
"top_items": [
{
"id": "missing_csp",
"area": "BSI\/Security-Header",
"level": "mittel",
"title": "Content-Security-Policy fehlt",
"reason": "Content-Security-Policy schrittweise einführen.",
"weight": 14,
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "imprint_missing",
"area": "DDG\/Anbieterkennzeichnung",
"level": "mittel",
"title": "Kein Impressum-Link erkannt",
"reason": "Impressum beziehungsweise Anbieterkennzeichnung sichtbar verlinken.",
"weight": 14,
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_label": "Fehler beheben"
},
{
"id": "operator_contact_missing",
"area": "DDG\/Anbieterkennzeichnung",
"level": "mittel",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"reason": "Klare Kontaktmöglichkeit ergänzen.",
"weight": 14,
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"guide_label": "Fehler beheben"
},
{
"id": "external_script_without_sri",
"area": "Skript-Lieferkette",
"level": "mittel",
"title": "Externe Skripte ohne Subresource Integrity",
"reason": "Externe Skripte auf Notwendigkeit, SRI und lokale Auslieferung prüfen.",
"weight": 14,
"guide_url": "\/guides\/externe-skripte-und-sri-absichern",
"guide_label": "Fehler beheben"
},
{
"id": "missing_cross_origin_embedder_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Cross-Origin-Embedder-Policy fehlt",
"reason": "Cross-Origin-Embedder-Policy nur nach Staging-Test setzen, weil eingebettete Drittressourcen kompatibel sein müssen.",
"weight": 6,
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "missing_cross_origin_opener_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Cross-Origin-Opener-Policy fehlt",
"reason": "Cross-Origin-Opener-Policy vorsichtig prüfen und nach Funktionstest setzen.",
"weight": 6,
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "missing_cross_origin_resource_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Cross-Origin-Resource-Policy fehlt",
"reason": "Cross-Origin-Resource-Policy nach Ressourcenprüfung setzen, damit fremde Einbettungen begrenzt werden.",
"weight": 6,
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
},
{
"id": "missing_permissions_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Permissions-Policy fehlt",
"reason": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation per Header begrenzen.",
"weight": 6,
"guide_url": "\/guides\/security-header-setzen",
"guide_label": "Fehler beheben"
}
],
"regulatory_matrix": {
"areas": [
{
"id": "bsi_security",
"label": "BSI\/Sicherheit",
"score": 38,
"findings": [
{
"id": "missing_csp",
"area": "BSI\/Security-Header",
"level": "mittel",
"title": "Content-Security-Policy fehlt",
"guide_url": "\/guides\/security-header-setzen"
},
{
"id": "missing_cross_origin_embedder_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Cross-Origin-Embedder-Policy fehlt",
"guide_url": "\/guides\/security-header-setzen"
},
{
"id": "missing_cross_origin_opener_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Cross-Origin-Opener-Policy fehlt",
"guide_url": "\/guides\/security-header-setzen"
},
{
"id": "missing_cross_origin_resource_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Cross-Origin-Resource-Policy fehlt",
"guide_url": "\/guides\/security-header-setzen"
},
{
"id": "missing_permissions_policy",
"area": "BSI\/Security-Header",
"level": "niedrig",
"title": "Permissions-Policy fehlt",
"guide_url": "\/guides\/security-header-setzen"
}
],
"guide_url": "\/guides\/security-header-setzen",
"finding_count": 5,
"highest_level": "mittel",
"recommended_action": "TLS, Security-Header, CSP, Patchstand und Cookie-Sicherheitsattribute härten."
},
{
"id": "gdpr_transparency",
"label": "DSGVO Transparenz",
"score": 28,
"findings": [
{
"id": "imprint_missing",
"area": "DDG\/Anbieterkennzeichnung",
"level": "mittel",
"title": "Kein Impressum-Link erkannt",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen"
},
{
"id": "operator_contact_missing",
"area": "DDG\/Anbieterkennzeichnung",
"level": "mittel",
"title": "Keine klare Kontaktmöglichkeit erkannt",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen"
}
],
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"finding_count": 2,
"highest_level": "mittel",
"recommended_action": "Datenschutzerklärung, Anbieter, Zwecke, Rechtsgrundlagen und Empfänger gegen Technik abgleichen."
},
{
"id": "operator_trust",
"label": "Betreibervertrauen",
"score": 14,
"findings": [
{
"id": "external_script_without_sri",
"area": "Skript-Lieferkette",
"level": "mittel",
"title": "Externe Skripte ohne Subresource Integrity",
"guide_url": "\/guides\/externe-skripte-und-sri-absichern"
}
],
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"finding_count": 1,
"highest_level": "mittel",
"recommended_action": "Befund fachlich prüfen und im Betreiber-Maßnahmenplan priorisieren."
},
{
"id": "accessibility_usability",
"label": "BITV\/Usability",
"score": 6,
"findings": [
{
"id": "heading_structure_missing",
"area": "Barrierefreiheit\/Usability",
"level": "niedrig",
"title": "Keine Überschriftenstruktur erkannt",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
}
],
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"finding_count": 1,
"highest_level": "niedrig",
"recommended_action": "Barrierefreiheit, verständliche Bedienung und Formular-\/Banner-Nutzbarkeit prüfen."
}
],
"score": 86,
"status": "hoher Prüfbedarf",
"summary": "4 Regelwerksbereich(e) mit Befunden: BSI\/Sicherheit, DSGVO Transparenz, Betreibervertrauen, BITV\/Usability",
"scorecards": [
{
"id": "gdpr",
"areas": [
"DSGVO Transparenz"
],
"label": "DSGVO",
"scope": "Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.",
"score": 72,
"status": "prüfen",
"summary": "DSGVO: Score 72\/100, 2 priorisierte Befund(e).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"risk_points": 28,
"finding_count": 2,
"highest_level": "mittel"
},
{
"id": "tdddg_eprivacy",
"areas": [],
"label": "TDDDG\/ePrivacy",
"scope": "Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.",
"score": 100,
"status": "keine priorisierten Hinweise",
"summary": "TDDDG\/ePrivacy: Score 100\/100, 0 priorisierte Befund(e).",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"risk_points": 0,
"finding_count": 0,
"highest_level": "unauffällig"
},
{
"id": "bfsg_wcag",
"areas": [
"BITV\/Usability"
],
"label": "BFSG\/WCAG",
"scope": "Barrierefreiheit, Tastatur-\/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.",
"score": 94,
"status": "einzelne Hinweise",
"summary": "BFSG\/WCAG: Score 94\/100, 1 priorisierte Befund(e).",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"risk_points": 6,
"finding_count": 1,
"highest_level": "niedrig"
},
{
"id": "bsi_security",
"areas": [
"BSI\/Sicherheit"
],
"label": "BSI\/Security",
"scope": "TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.",
"score": 62,
"status": "prüfen",
"summary": "BSI\/Security: Score 62\/100, 5 priorisierte Befund(e).",
"guide_url": "\/guides\/security-header-setzen",
"risk_points": 38,
"finding_count": 5,
"highest_level": "mittel"
},
{
"id": "operator_trust",
"areas": [
"Betreibervertrauen"
],
"label": "DDG\/Betreibervertrauen",
"scope": "Impressum, Kontakt, Anbieterkennzeichnung und erkennbare Betreiberidentität.",
"score": 86,
"status": "prüfen",
"summary": "DDG\/Betreibervertrauen: Score 86\/100, 1 priorisierte Befund(e).",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"risk_points": 14,
"finding_count": 1,
"highest_level": "mittel"
}
]
}
},
"site_coverage_analysis": {
"color": "orange",
"pages": [],
"score": 50,
"status": "auffällig",
"summary": "0 interne Linkziele erkannt (0 aus Sitemap), 0 priorisierte Unterseite(n) zusätzlich abgerufen.",
"findings": [
{
"id": "crawl_coverage_limited",
"title": "Wenig interne Seiten auf der Startseite gefunden",
"public": true,
"category": "crawl",
"severity": "info",
"recommendation": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken."
},
{
"id": "important_pages_not_discovered",
"title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden",
"public": true,
"category": "crawl",
"severity": "warning",
"recommendation": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein."
}
],
"categories": [],
"sample_limit": 4,
"sampled_count": 0,
"sampled_pages": [],
"sitemap_sources": [
"https:\/\/berlin.klausurgutachten.de\/sitemap.xml"
],
"sitemap_available": true,
"sitemap_url_count": 0,
"homepage_link_count": 0,
"internal_link_count": 0,
"privacy_policy_audit": [],
"sitemap_source_count": 1,
"provider_disclosure_audit": {
"found": [],
"checks": [],
"reason": "no_detected_services",
"missing": [],
"available": false
},
"important_categories_found": [],
"sampled_tracking_page_count": 0,
"sampled_form_privacy_gap_count": 0
},
"trust_center_readiness": {
"rows": [
{
"id": "privacy_notice",
"label": "Datenschutzerklärung \/ Privacy Notice",
"action": "Datenschutzerklärung aus Technik, Cookies, Anbietern und Datenarten pflegen.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"public_path": "\/klausurgutachten.de#datenschutzerklaerung"
},
{
"id": "cookie_disclosure",
"label": "Cookie- und Storage-Erklärung",
"action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Erfordernis und Quelle veröffentlichen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Cookie-Erklärung mit 2 Eintrag\/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 2 unklassifiziert.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"public_path": "\/klausurgutachten.de#cookies"
},
{
"id": "vendor_register",
"label": "Drittanbieter- und Processor-Register",
"action": "Anbieter, Rollen, Zwecke, Transferstatus und DPA-\/AVV-Status zentral dokumentieren.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "0 Empfänger-\/Anbieter-Eintrag\/Einträge aus Browserkontakten und Cookie-Inventar, 0 datenschutzrelevant, 0 mit AVV-\/Rollenprüfung.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"public_path": "\/klausurgutachten.de#drittanbieter"
},
{
"id": "privacy_rights",
"label": "Betroffenenrechte \/ Anfrageprozess",
"action": "Anfragekanal, Intake-Felder, Fristen, Identitätsprüfung und sichere Antwortwege veröffentlichen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"public_path": "\/klausurgutachten.de#betroffenenrechte"
},
{
"id": "dsar_workflow",
"label": "DSAR Workflow \/ Betroffenenrechte-Automation",
"action": "Intake, Identitätsprüfung, Fristen, Data Discovery, Vendor-Tasking, Redaction und sichere Zustellung als Trust-Baustein dokumentieren.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "DSAR-Workflow-Readiness 38\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"public_path": "\/klausurgutachten.de#dsar-workflow"
},
{
"id": "privacy_assessment_automation",
"label": "Assessment Automation \/ PIA-DPIA-TIA",
"action": "PIA\/DPIA\/TIA\/Vendor\/AI-Vorlagen, Vorbefüllung, Evidence Library, Freigabe und Mitigation-Workflow als PrivacyOps-Baustein dokumentieren.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"public_path": "\/klausurgutachten.de#assessment-automation"
},
{
"id": "retention_deletion",
"label": "Retention & Deletion Governance",
"action": "Speicherfristen, Löschtrigger, Vendor-Löschung, Backups\/Legal Hold und Löschprotokolle als Accountability-Baustein dokumentieren.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "Retention-\/Deletion-Readiness 58\/100; 6\/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"public_path": "\/klausurgutachten.de#retention-deletion"
},
{
"id": "vendor_lifecycle_risk",
"label": "Vendor Lifecycle \/ Third-Party Risk",
"action": "Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als PrivacyOps-Baustein führen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Vendor-Lifecycle-Readiness 49\/100; 6\/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"public_path": "\/klausurgutachten.de#vendor-lifecycle"
},
{
"id": "notice_policy_lifecycle",
"label": "Policy & Notice Lifecycle",
"action": "Datenschutzhinweise versionieren, Cookie-\/Vendor-\/Rechtsgrundlagen-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Lifecycle führen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Policy-\/Notice-Lifecycle-Readiness 42\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"public_path": "\/klausurgutachten.de#notice-lifecycle"
},
{
"id": "data_discovery_classification",
"label": "Data Discovery & Classification",
"action": "Personenbezogene Datenarten, Feld-\/Signal-Klassifizierung, PII-Risiken, Data Map, Vendor Stores und DSAR-Suchscope als Discovery-Baustein führen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Data-Discovery-\/Classification-Readiness 64\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"public_path": "\/klausurgutachten.de#data-discovery"
},
{
"id": "scan_configuration_monitoring",
"label": "Scan Configuration & Monitoring",
"action": "User-Agent, Bot-Transparenz, Crawl-Scope, Sitemap, Recrawl, Monitoring-Feeds, Performance-Grenzen und Betreiberfreigaben als Trust-Baustein dokumentieren.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "Scan-Configuration-\/Monitoring-Readiness 73\/100; 8\/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.",
"guide_url": "\/methodik",
"public_path": "\/klausurgutachten.de#scan-configuration"
},
{
"id": "preference_center",
"label": "Preference Center \/ Consent Ledger",
"action": "Dauerhaften Präferenzzugang, Widerruf, Consent-Nachweise und Sync in nachgelagerte Systeme als Trust-Baustein veröffentlichen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Preference-Center-Readiness 60\/100; 5\/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"public_path": "\/klausurgutachten.de#preference-center"
},
{
"id": "accessibility_statement",
"label": "Barrierefreiheitserklärung",
"action": "Barrierefreiheitserklärung, Feedback-Kanal und bekannte Einschränkungen ergänzen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Entwurf mit 1 bekannten Barrierefreiheits-Punkt(en) aus dem Scan.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"public_path": "\/klausurgutachten.de#barrierefreiheit"
},
{
"id": "regulatory_watch",
"label": "Regulatory Watch \/ Quellenmonitoring",
"action": "Offizielle Quellen, Review-Kadenz, Rechtsänderungs-Digest und Umsetzungstickets als Trust-Baustein führen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/datenschutz-webseiten-report\/",
"public_path": "\/klausurgutachten.de#regulatory-watch"
},
{
"id": "security_and_evidence",
"label": "Prüfbeleg und Integritätsnachweis",
"action": "Prüfbeleg, Hash-Manifest und Exportpaket für Audits auffindbar halten.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/methodik",
"public_path": "\/klausurgutachten.de#nachweise"
},
{
"id": "public_badge",
"label": "Öffentlicher Status-Badge",
"action": "Badge und Kurzreport im Trust Center verlinken.",
"passed": true,
"status": "vorhanden",
"weight": 6,
"evidence": "Badge-URL: \/badge\/klausurgutachten.de",
"guide_url": "\/methodik",
"public_path": "\/badge\/klausurgutachten.de"
},
{
"id": "monitoring",
"label": "Monitoring und Änderungshinweise",
"action": "Regelmäßige Scans, Alert-Digest und Änderungshistorie im Betriebsprozess verankern.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Monitoring-Alert: ruhig. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta 0.",
"guide_url": "\/monitoring",
"public_path": "\/monitoring\/klausurgutachten.de"
},
{
"id": "remediation",
"label": "Remediation-Workflow",
"action": "Offene Tickets mit SLA, Owner und Abnahmekriterium aus dem Trust Center heraus steuerbar machen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"public_path": "\/klausurgutachten.de#workflow"
},
{
"id": "regulatory_sources",
"label": "Quellen- und Regelwerksbezug",
"action": "Relevante Quellen und Methodik transparent aufführen.",
"passed": true,
"status": "vorhanden",
"weight": 5,
"evidence": "Quellenmatrix: 8 offizielle\/operative Quelle(n) mit Befundbezug und Betreibermaßnahme.",
"guide_url": "\/datenschutz-webseiten-report\/",
"public_path": "\/datenschutz-webseiten-report\/"
},
{
"id": "policy_consistency",
"label": "Policy-\/Technik-Konsistenz",
"action": "Trust-Center-Inhalte regelmäßig gegen beobachtete Technik, Cookies und Anbieter abgleichen.",
"passed": false,
"status": "fehlt",
"weight": 5,
"evidence": "Disclosure-Abgleich: 1 beobachtete Anbieter, 1 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"public_path": "\/klausurgutachten.de#disclosure"
},
{
"id": "security_basics",
"label": "Sicherheitsbasis für Vertrauen",
"action": "Security-Header, TLS, Referrer-Policy und Cookie-Sicherheitsattribute verbessern.",
"passed": true,
"status": "vorhanden",
"weight": 5,
"evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.",
"guide_url": "\/guides\/security-header-setzen",
"public_path": "\/klausurgutachten.de#security"
}
],
"score": 69,
"status": "aufbauen",
"summary": "Trust-Center-Readiness: 69\/100 Punkte. 15\/21 Baustein(e) sind aus dem Scan heraus belegbar.",
"available": true,
"disclaimer": "Readiness für einen öffentlichen Privacy-\/Trust-Hub aus SaferPage-Nachweisen; ersetzt keine redaktionelle Freigabe durch Datenschutz, Legal und Security.",
"public_links": [
{
"url": "https:\/\/saferpage.de\/klausurgutachten.de",
"label": "Kurzreport"
},
{
"url": "https:\/\/saferpage.de\/badge\/klausurgutachten.de",
"label": "Status-Badge"
},
{
"url": "https:\/\/saferpage.de\/methodik",
"label": "Methodik"
},
{
"url": "https:\/\/saferpage.de\/datenschutz-webseiten-report\/",
"label": "Datenschutz-Webseiten-Report"
}
],
"missing_count": 6,
"section_count": 21,
"launch_checklist": [
"Öffentliche Trust-Center-Seite mit Datenschutzerklärung, Cookie-Liste, Anbieterregister und Betroffenenrechte-Kanal anlegen.",
"Badge, Methodik, Prüfbeleg, Exportpaket und letzten Scan verlinken.",
"Privacy-Team als Inhaltsverantwortliche festlegen; technische Änderungen über Monitoring prüfen.",
"Jede Trust-Center-Aktualisierung mit Datum, Version und SaferPage-Wiederholungsscan dokumentieren.",
"Offene Remediation-Tickets vor Veröffentlichung priorisieren oder transparent als bekannte Einschränkung führen."
],
"priority_actions": [
"Anbieter, Rollen, Zwecke, Transferstatus und DPA-\/AVV-Status zentral dokumentieren.",
"Anfragekanal, Intake-Felder, Fristen, Identitätsprüfung und sichere Antwortwege veröffentlichen.",
"Intake, Identitätsprüfung, Fristen, Data Discovery, Vendor-Tasking, Redaction und sichere Zustellung als Trust-Baustein dokumentieren.",
"Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als PrivacyOps-Baustein führen.",
"Datenschutzhinweise versionieren, Cookie-\/Vendor-\/Rechtsgrundlagen-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Lifecycle führen.",
"Trust-Center-Inhalte regelmäßig gegen beobachtete Technik, Cookies und Anbieter abgleichen."
]
},
"vulnerability_analysis": {
"limits": [
"Passive Erkennung sieht nur Header, HTML und Asset-Namen.",
"Ohne gepflegte Advisory-Quelle wird kein CVE als bestätigt ausgegeben.",
"Bei Distributionen mit Backports kann ein alter Header trotzdem gepatcht sein; dann muss der Paketstand serverseitig verifiziert werden.",
"Versteckte oder serverseitige Software kann passiv unerkannt bleiben."
],
"findings": [],
"cve_status": "no_match_in_configured_source",
"risk_level": "low",
"matched_advisories": [],
"version_policy_matches": [],
"versioned_technologies": [],
"advisory_source_configured": true,
"version_policy_source_configured": true
},
"ai_governance_readiness": {
"status": "Governance vorbereiten",
"signals": [
{
"id": "ai_chat_assistant_vendor",
"label": "AI-\/Chat-\/Assistenz-Anbieter prüfen",
"owner": "Vendor Owner\/Legal",
"action": "Anbieterrolle, Zweck, Eingabedaten, Auftragsverarbeitung, Trainings-\/Opt-out-Regeln und Transfergrundlage dokumentieren.",
"detected": false,
"evidence": "Keine klaren AI-\/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"risk_level": "niedrig",
"risk_score": 42
},
{
"id": "automated_decisioning_notice",
"label": "Automatisierte Entscheidungen, Profiling oder Scoring transparent machen",
"owner": "Datenschutz\/Product",
"action": "Prüfen, ob Art. 13\/14\/22-Informationen, Logik, Tragweite, Rechtsgrundlage und Widerspruchs-\/Eingriffsmöglichkeiten beschrieben werden müssen.",
"detected": true,
"evidence": "Begriffe in Datenschutzhinweis\/RoPA-Evidenz: ai, ki",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "mittel",
"risk_score": 64
},
{
"id": "personal_data_ai_input",
"label": "Personenbezogene Formular- oder Supportdaten vor AI-Nutzung schützen",
"owner": "Product\/Support\/Datenschutz",
"action": "Vor AI-Analyse von Kontakt-, Support- oder Bewerbungsdaten Datenminimierung, Maskierung, Rechtsgrundlage, Löschfrist und Human Review festlegen.",
"detected": true,
"evidence": "Formular-\/Use-Case-Signale: formular",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "mittel",
"risk_score": 57
},
{
"id": "high_risk_ai_flow",
"label": "AI-Bezug in risikoreichen Datenflüssen ausschließen oder kontrollieren",
"owner": "Datenschutz\/IT",
"action": "Für AI-nahe Datenflüsse DPIA-\/DSFA-Screening, Empfänger, Drittlandtransfer, TOMs und Betroffenenrisiko verbinden.",
"detected": false,
"evidence": "Data Map: 0 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 0.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"risk_level": "niedrig",
"risk_score": 34
}
],
"summary": "AI-Governance-Readiness 43\/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
"available": true,
"disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleitete AI-Governance-Prüfung. Sichtbare Chat-, Anbieter- oder Textsignale beweisen keine konkrete KI-Nutzung; Betreiber müssen interne Use-Cases und Entscheidungswirkung bestätigen.",
"signal_count": 4,
"readiness_score": 43,
"priority_actions": [
"AI-\/Chat-\/Profiling-Use-Cases als Inventar mit Zweck, Datenarten, Anbieter, Rechtsgrundlage, Owner und Löschfrist anlegen.",
"Datenschutzerklärung, Consent-Regeln und Vendor-Akten gegen reale AI-Nutzung abgleichen.",
"Human Review, Eskalationsweg, Logging und DPIA-\/DSFA-Screening für relevante Entscheidungen dokumentieren."
],
"control_checklist": [
{
"id": "ai_use_case_inventory",
"label": "AI-\/Automated-Decisioning-Use-Cases inventarisieren",
"owner": "Datenschutz\/Product",
"action": "Use-Case, Zweck, Datenkategorien, Anbieter, Modell\/Tool, Owner, Rechtsgrundlage und Löschfrist je Einsatz dokumentieren.",
"status": "offen",
"evidence": "2 erkannte Prüf-Signal(e).",
"priority": "hoch",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
},
{
"id": "ai_transparency_notice",
"label": "Transparenz zu AI, Profiling und automatisierten Entscheidungen prüfen",
"owner": "Datenschutz\/Content",
"action": "Datenschutzerklärung um AI-Zwecke, Empfänger, Logik, Tragweite, Rechte und Kontaktweg ergänzen, sofern einschlägig.",
"status": "offen",
"evidence": "Begriffe in Datenschutzhinweis\/RoPA-Evidenz: ai, ki",
"priority": "hoch",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern"
},
{
"id": "ai_vendor_contracts",
"label": "AI-\/Chat-Anbieter vertraglich und technisch absichern",
"owner": "Legal\/Vendor Owner",
"action": "AVV\/DPA, TOMs, Unterauftragsverarbeiter, Trainingsnutzung, Opt-out, Region, SCC\/TIA und Löschfristen prüfen.",
"status": "prüfen",
"evidence": "Keine klaren AI-\/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.",
"priority": "mittel",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren"
},
{
"id": "human_review_and_redress",
"label": "Menschliche Prüfung und Beschwerdeweg festlegen",
"owner": "Product\/Support\/Legal",
"action": "Human-in-the-loop, Eskalation, Fehlerkorrektur, Widerspruch und Logging für relevante Entscheidungen operationalisieren.",
"status": "offen",
"evidence": "Automatisierte Entscheidungen sind aus öffentlichen Signalen nicht abschließend beweisbar; Betreiber muss reale Entscheidungswirkung bestätigen.",
"priority": "hoch",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
},
{
"id": "ai_dpia_link",
"label": "DPIA-\/DSFA-Bezug und AI-Risiken verbinden",
"owner": "Datenschutz\/IT",
"action": "AI-nahe Use-Cases mit DPIA-Screening, Data Map, Vendor Due Diligence und Schutzmaßnahmen verknüpfen.",
"status": "prüfen",
"evidence": "Data Map: 0 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 0.",
"priority": "mittel",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
}
],
"open_control_count": 5,
"use_case_inventory": [
{
"name": "Support-Chat, Chatbot oder Website-Assistent",
"owner": "Support\/Product",
"status": "nicht eindeutig erkannt",
"evidence": "Keine klaren AI-\/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.",
"data_inputs": "Chat-\/Kontaktinhalte, IP-\/Geräteinformationen, Nutzungsdaten",
"use_case_id": "support_chat_or_assistant",
"human_review": "Fallback zu menschlichem Support und Eskalationskriterien dokumentieren",
"decision_impact": "mittel, wenn Antworten oder Weiterleitungen Nutzerverhalten beeinflussen",
"legal_basis_hint": "Einwilligung oder berechtigtes Interesse je Zweck; AVV\/DPA und Transfer prüfen",
"transparency_requirement": "Bot-\/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklären"
},
{
"name": "Personalisierung, Segmentierung oder Lead Scoring",
"owner": "Marketing\/Datenschutz",
"status": "nicht eindeutig erkannt",
"evidence": "Begriffe in Datenschutzhinweis\/RoPA-Evidenz: ai, ki",
"data_inputs": "Tracking-, Kampagnen-, Formular- und CRM-Signale",
"use_case_id": "marketing_personalization_scoring",
"human_review": "Manuelle Kontrolle bei relevanten Entscheidungen festlegen",
"decision_impact": "mittel bis hoch bei Segmentierung, Ausschluss oder Preis-\/Angebotslogik",
"legal_basis_hint": "Consent-Regeln und Art. 22-Relevanz prüfen",
"transparency_requirement": "Profiling\/Scoring verständlich mit Zwecken, Logik und Folgen beschreiben"
},
{
"name": "Interne AI-Auswertung von Website-Anfragen",
"owner": "Fachbereich\/Datenschutz",
"status": "prüfen",
"evidence": "Formular-\/Use-Case-Signale: formular",
"data_inputs": "Kontakt-, Bewerbungs-, Newsletter- oder Supportdaten",
"use_case_id": "internal_ai_review",
"human_review": "Keine alleinige Entscheidung ohne dokumentierte Prüfung zulassen",
"decision_impact": "abhängig von Weiterverarbeitung; intern nicht öffentlich vollständig erkennbar",
"legal_basis_hint": "Zweckbindung, Datenminimierung und Löschfrist je Verarbeitungstätigkeit dokumentieren",
"transparency_requirement": "Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind"
}
],
"assessment_questions": [
{
"id": "ai_actual_use",
"why": "Öffentliche Signale können nur Tools und Hinweise erkennen, nicht jede interne AI-Nutzung.",
"owner": "Product\/Fachbereich",
"priority": "hoch",
"question": "Werden Website-Anfragen, Chats, Bewerbungen, Leads oder Nutzungsdaten durch KI-Tools analysiert oder zusammengefasst?",
"expected_evidence": "Use-Case-Liste mit Tool, Datenarten, Zweck, Owner und Speicher-\/Trainingsregeln."
},
{
"id": "ai_decision_impact",
"why": "Automatisierte Entscheidungen und Profiling erfordern besondere Transparenz und Schutzmaßnahmen.",
"owner": "Legal\/Datenschutz",
"priority": "hoch",
"question": "Hat eine automatisierte Bewertung rechtliche, wirtschaftliche oder ähnlich erhebliche Wirkung für Nutzer?",
"expected_evidence": "Entscheidungslogik, Human-Review-Regel, Widerspruchsweg und Art.-22-Prüfung."
},
{
"id": "ai_vendor_training",
"why": "AI-\/Chat-Anbieter benötigen klare Zweckbindung, Löschung, TOMs und Transferbewertung.",
"owner": "Vendor Owner\/Legal",
"priority": "mittel",
"question": "Dürfen Anbieter Eingaben oder personenbezogene Daten für Training, Produktverbesserung oder eigene Zwecke verwenden?",
"expected_evidence": "AVV\/DPA, TOMs, Subprocessor-Liste, Opt-out\/No-Training-Nachweis, Region und SCC\/TIA."
}
],
"detected_signal_count": 2,
"high_risk_signal_count": 0
},
"dsar_workflow_readiness": {
"rows": [
{
"id": "public_intake",
"label": "Öffentlicher Anfrageweg und Intake-Felder",
"owner": "Support\/Datenschutz",
"action": "DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "identity_verification",
"label": "Risikobasierte Identitätsprüfung",
"owner": "Support\/Legal",
"action": "E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.",
"passed": false,
"status": "prüfen",
"weight": 10,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": true
},
{
"id": "deadline_management",
"label": "Fristen und Eskalationen steuerbar",
"owner": "Datenschutz\/Programm-Owner",
"action": "DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Regulatory-Watch 58\/100, Rights-Lücken 7.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
},
{
"id": "data_discovery_scope",
"label": "Datenquellen aus RoPA\/Data Map ableitbar",
"owner": "Datenschutz\/IT",
"action": "Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA\/Data Map ableiten.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"evidence": "2 Verarbeitungstätigkeiten, 13 Data-Map-Knoten, 12 Kanten.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "vendor_tasking",
"label": "Vendor-\/Processor-Aufgaben ableitbar",
"owner": "Vendor Owner\/Legal",
"action": "Processor-Fristen, Auskunfts-\/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "0 Anbieter, 0 AVV-\/DPA-Prüfungen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "preference_optout_link",
"label": "Widerspruch\/Opt-out mit Präferenzen verknüpft",
"owner": "Marketing\/Datenschutz",
"action": "Widerspruch, Newsletter-Abmeldung, Profiling-\/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Preference-Center-Readiness 60\/100; 5\/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "redaction_exemptions",
"label": "Redaction, Drittpersonen und Ausnahmen prüfbar",
"owner": "Legal\/Datenschutz",
"action": "Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.",
"passed": false,
"status": "prüfen",
"weight": 10,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": true
},
{
"id": "secure_delivery",
"label": "Sichere Zustellung und Antwortpaket",
"owner": "IT\/Support",
"action": "Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.",
"passed": false,
"status": "prüfen",
"weight": 10,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": true
},
{
"id": "audit_trail",
"label": "Audit-Trail und Integritätsnachweis",
"owner": "Compliance\/IT",
"action": "Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "workflow_metrics",
"label": "Workflow-Kennzahlen und Backlog steuerbar",
"owner": "Programm-Owner",
"action": "Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.",
"passed": true,
"status": "vorhanden",
"weight": 6,
"evidence": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
}
],
"score": 38,
"status": "DSAR-Workflow aufbauen",
"summary": "DSAR-Workflow-Readiness 38\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
"available": true,
"gap_count": 6,
"disclaimer": "Automatisch aus SaferPage-Website-Evidenz abgeleiteter DSAR-Workflow-Entwurf. Er ersetzt kein echtes Betroffenenrechte-Portal, keine Identitätsprüfung und keine rechtliche Einzelfallentscheidung.",
"check_count": 10,
"passed_count": 4,
"request_types": [
{
"id": "access",
"label": "Auskunft",
"owner": "Datenschutz\/IT",
"deadline": "1 Monat",
"evidence": "Suchprotokoll, Export, Redaction-Log, Antwortnachweis.",
"fulfillment": "Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen.",
"intake_fields": "Identität, Suchumfang, relevante Dienste, Antwortkanal"
},
{
"id": "erasure",
"label": "Löschung",
"owner": "Fachbereich\/IT\/Vendor Owner",
"deadline": "1 Monat",
"evidence": "Löschprotokoll, Sperrvermerk, Ausnahmenbegründung.",
"fulfillment": "Löschfähigkeit je System prüfen, Aufbewahrung\/Legal Hold ausnehmen, Vendor-Aufgaben auslösen.",
"intake_fields": "Betroffene Dienste, Konto\/E-Mail, Rechtsgrund der Löschung"
},
{
"id": "rectification",
"label": "Berichtigung",
"owner": "Support\/Fachbereich",
"deadline": "1 Monat",
"evidence": "Änderungsprotokoll und Bestätigung.",
"fulfillment": "System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen.",
"intake_fields": "Korrekturwert, Nachweis, betroffene Systeme"
},
{
"id": "objection_optout",
"label": "Widerspruch \/ Opt-out",
"owner": "Marketing\/Datenschutz",
"deadline": "1 Monat",
"evidence": "Preference-Log, Suppression-List, Consent-State-Test.",
"fulfillment": "Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren.",
"intake_fields": "Zweck, Kanal, Profiling\/Marketing\/Tracking-Bezug"
},
{
"id": "portability",
"label": "Datenübertragbarkeit",
"owner": "Datenschutz\/IT",
"deadline": "1 Monat",
"evidence": "Exportdatei, Formatbeschreibung, Zustellnachweis.",
"fulfillment": "Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen.",
"intake_fields": "Datenbereich, Ziel, Format"
}
],
"workflow_steps": [
{
"id": "intake",
"owner": "Support\/Datenschutz",
"phase": "Intake",
"action": "Anfrage klassifizieren, Frist starten, Eingangsbestätigung senden.",
"timebox": "Tag 0-1",
"evidence": "DSAR-Ticket, Zeitstempel, Anfragetyp."
},
{
"id": "verify",
"owner": "Support\/Legal",
"phase": "Identität & Umfang",
"action": "Identität risikobasiert prüfen, Umfang klären, missbräuchliche oder unklare Anfragen eskalieren.",
"timebox": "Tag 1-7",
"evidence": "Verifikationsnachweis, Klärungsfragen, Entscheidung."
},
{
"id": "discover",
"owner": "IT\/Fachbereiche\/Vendor Owner",
"phase": "Data Discovery",
"action": "RoPA\/Data Map\/Vendor-Akten durchsuchen und System-Owner-Aufgaben starten.",
"timebox": "Tag 3-14",
"evidence": "Suchliste, Systemantworten, Vendor-Rückmeldungen."
},
{
"id": "review",
"owner": "Legal\/Datenschutz",
"phase": "Review & Redaction",
"action": "Ausnahmen, Drittpersonendaten, Legal Hold und Antwortumfang prüfen.",
"timebox": "Tag 10-24",
"evidence": "Redaction-Log, Teilablehnung, Rechtsgrund."
},
{
"id": "respond",
"owner": "Datenschutz\/Support",
"phase": "Sichere Antwort",
"action": "Antwortpaket sicher zustellen, Ticket schließen und Kennzahlen aktualisieren.",
"timebox": "bis Tag 30",
"evidence": "Zustellnachweis, Antwortkopie, Abschlussnotiz."
}
],
"priority_actions": [
"DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.",
"E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.",
"DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.",
"Processor-Fristen, Auskunfts-\/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.",
"Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen."
],
"source_artifacts": [
"privacy_rights_readiness",
"processing_activity_record",
"data_flow_map",
"vendor_due_diligence",
"preference_center_readiness",
"audit_receipt"
],
"request_type_count": 5,
"response_templates": [
{
"id": "receipt",
"when": "direkt nach Intake",
"title": "Eingangsbestätigung",
"content": "Anfragetyp, Friststart, Identitätsprüfung, Rückfragenkanal und erwartete nächste Schritte nennen."
},
{
"id": "clarification",
"when": "bei unklarer Anfrage",
"title": "Klärungs-\/Identitätsnachfrage",
"content": "Nur notwendige Zusatzangaben abfragen und Frist-\/Bearbeitungsstatus erklären."
},
{
"id": "extension",
"when": "bei komplexer Anfrage",
"title": "Fristverlängerung",
"content": "Grund, neue Zielzeit, Umfang und bisherige Schritte dokumentieren."
},
{
"id": "completion",
"when": "bei Erfüllung\/Teilablehnung",
"title": "Abschlussantwort",
"content": "Ergebnis, Datenquellen, Ausnahmen, Beschwerderechte und Kontaktweg nennen."
}
],
"workflow_step_count": 5,
"evidence_requirements": [
{
"id": "request_log",
"label": "Request-Log",
"owner": "Compliance",
"status": "Betreiber-Nachweis",
"expected_evidence": "Ticket-ID, Eingang, Frist, Anfragetyp, Identitätsstatus, Owner, Status, Abschluss."
},
{
"id": "search_manifest",
"label": "Suchmanifest",
"owner": "IT\/Datenschutz",
"status": "aus RoPA\/Data Map ableitbar",
"expected_evidence": "Systeme, Datenkategorien, Suchparameter, negative Suchergebnisse, Vendor-Antworten."
},
{
"id": "response_package",
"label": "Antwortpaket",
"owner": "Datenschutz\/Legal",
"status": "Betreiber-Nachweis",
"expected_evidence": "Deckblatt, Datenexport, Redaction-Log, Ausnahmenbegründung, Zustellnachweis."
}
],
"evidence_requirement_count": 3
},
"google_consent_analysis": {
"color": "green",
"score": 100,
"status": "unauffällig",
"summary": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.",
"findings": [],
"denied_keys": [],
"granted_keys": [],
"google_id_count": 0,
"google_tag_present": false,
"google_domain_count": 0,
"consent_update_found": false,
"consent_default_found": false,
"visible_consent_context": false,
"google_tracking_script_count": 0
},
"infrastructure_analysis": {
"signals": {
"caa": false,
"dnssec": false,
"final_https": true,
"tls_version": "TLSv1.3",
"hsts_enabled": true,
"address_count": 1,
"ipv6_available": false,
"email_protection": {
"mx": true,
"spf": true,
"dmarc": false
},
"certificate_valid": true,
"certificate_issuer": "E8",
"certificate_alt_names": [
"berlin.klausurgutachten.de",
"klausurgutachten.de",
"www.klausurgutachten.de"
],
"multiple_ip_addresses": false,
"certificate_expires_at": "Jul 22 22:37:02 2026 GMT",
"certificate_days_remaining": 45,
"certificate_hostname_matches": true
},
"findings": [
{
"id": "dmarc_missing",
"title": "DMARC fehlt",
"public": true,
"category": "email",
"severity": "info",
"recommendation": "DMARC setzen, damit E-Mail-Spoofing der Domain besser eingeschränkt wird."
},
{
"id": "caa_missing",
"title": "CAA-Record fehlt",
"public": true,
"category": "dns",
"severity": "info",
"recommendation": "Optional CAA setzen, um erlaubte Zertifikatsaussteller festzulegen."
}
],
"risk_level": "low",
"positive_signals": [
"Moderne TLS-Version aktiv: TLSv1.3.",
"HSTS ist aktiv."
]
},
"monitoring_alert_digest": {
"rows": [],
"status": "ruhig",
"summary": "Monitoring-Alert: ruhig. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta 0.",
"available": true,
"row_count": 0,
"disclaimer": "Alert-Digest ist ein technischer Monitoring-Hinweis; Versandkanäle müssen Betreiber selbst anbinden.",
"score_delta": 0,
"team_counts": [],
"current_score": 24,
"previous_score": 24,
"new_signal_count": 0,
"high_priority_count": 0,
"recommended_channels": [
"Report-Link",
"JSON\/ZIP-Nachweispaket"
],
"resolved_signal_count": 0,
"recommended_recipients": [
"Website-Betrieb"
],
"next_check_recommendation": "Nächsten SaferPage-Scan in 30 Tage durchführen."
},
"notice_policy_lifecycle": {
"rows": [
{
"id": "notice_inventory",
"label": "Datenschutzhinweis als verwaltetes Artefakt",
"owner": "Datenschutz\/Content",
"action": "Datenschutzhinweis als versioniertes Artefakt mit Owner, Gültigkeit, Sprache, Markt und Veröffentlichungsort pflegen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "active_version_history",
"label": "Aktive Version und Historie nachvollziehbar",
"owner": "Compliance\/IT",
"action": "Aktive Notice-Version, Vorversionen, Änderungsgrund, Freigabe und Hash-\/Exportnachweis versionieren.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "disclosure_sync",
"label": "Notice passt zu Cookies, Skripten und Drittanbietern",
"owner": "Datenschutz\/Marketing\/IT",
"action": "Beobachtete Cookies, Anbieter, Zwecke, Datenarten und Transfers regelmäßig mit der Notice synchronisieren.",
"passed": false,
"status": "fehlt",
"weight": 14,
"evidence": "Disclosure-Abgleich: 1 beobachtete Anbieter, 1 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "cookie_vendor_sections",
"label": "Cookie- und Vendor-Abschnitte publizierbar",
"owner": "Datenschutz\/Content",
"action": "Cookie-Liste, Anbieterregister, Empfänger, Zweck, Laufzeit, Rechtsgrundlage und Transferhinweis in Notice\/TrustHub übernehmen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "2 Cookie-\/Storage-Zeile(n), 0 Anbieter\/Processor.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"manual_review": false
},
{
"id": "legal_basis_mapping",
"label": "Rechtsgrundlagen und Zwecke je Abschnitt verknüpft",
"owner": "Datenschutz\/Legal",
"action": "Notice-Abschnitte mit Zweck, Rechtsgrundlage, Datenkategorie, Empfänger, Speicherfrist und Betroffenenrechten mappen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "3 Rechtsgrundlagenzeile(n), 0 Datenart(en).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "regulatory_update_trigger",
"label": "Regulatory-Update-Trigger für Notice-Änderungen",
"owner": "Datenschutz\/Legal",
"action": "EDPB\/DSK\/BfDI\/Landesbehörden, TTDSG\/TDDDG, BFSG und relevante Gesetze als Notice-Update-Trigger pflegen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
},
{
"id": "change_monitoring",
"label": "Website-Änderungen lösen Notice-Review aus",
"owner": "Datenschutz\/IT",
"action": "Neue Tags, Cookies, Anbieter, Formulare, AI-\/Profiling-Signale und Unterseiten als Notice-Review routen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Alerts 0, Change-Signale 0.",
"guide_url": "\/monitoring",
"manual_review": false
},
{
"id": "approval_workflow",
"label": "Freigabe-Workflow für Legal, Datenschutz und Content",
"owner": "Datenschutz\/Legal\/Content",
"action": "Draft, Review, Legal-Freigabe, Veröffentlichung und Nachkontrolle als Workflow mit SLA und Abnahmekriterium führen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "plain_language_quality",
"label": "Lesbarkeit und Endnutzer-Verständlichkeit",
"owner": "Content\/Datenschutz",
"action": "Notice in verständlicher Sprache, klaren Abschnitten, Kontaktweg, Rechte-Erklärung und kurzem Summary prüfen.",
"passed": false,
"status": "fehlt",
"weight": 8,
"evidence": "Privacy-Audit-Score n\/a, Qualitätsflags 0.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "multi_market_language",
"label": "Mehrsprachigkeit und Markt-\/Region-Abdeckung",
"owner": "Datenschutz\/Legal",
"action": "DE\/EU\/UK\/US-Marktabdeckung, Sprachvarianten, lokale Pflichtabschnitte und regionale Notice-Versionen pflegen.",
"passed": false,
"status": "prüfen",
"weight": 6,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": true
}
],
"score": 42,
"status": "Notice Lifecycle aufbauen",
"summary": "Policy-\/Notice-Lifecycle-Readiness 42\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 6,
"disclaimer": "Automatisch aus SaferPage-Artefakten abgeleiteter Policy-\/Notice-Lifecycle. Er ersetzt keine rechtliche Freigabe, kein vollständiges Redaktionssystem und keine regionalspezifische Rechtsberatung.",
"check_count": 10,
"section_map": [
{
"id": "controller_contact",
"source": "compliance_analysis",
"status": "prüfen",
"section": "Verantwortlicher und Kontakt",
"required_content": "Name, Anschrift, Kontakt, DSB\/Datenschutzkontakt, Beschwerderecht."
},
{
"id": "purposes_legal_basis",
"source": "legal_basis_matrix",
"status": "vorbereitet",
"section": "Zwecke und Rechtsgrundlagen",
"required_content": "Zweck, Rechtsgrundlage, Datenkategorie, Pflichtfeldstatus, Speicherfrist."
},
{
"id": "cookies_vendors",
"source": "cookie_declaration_document, vendor_processor_register",
"status": "aufbauen",
"section": "Cookies, Anbieter und Empfänger",
"required_content": "Cookie\/Anbieter, Zweck, Laufzeit, Empfänger, Transfer, Consent-Erfordernis."
},
{
"id": "rights_retention",
"source": "privacy_rights_readiness, retention_deletion_readiness",
"status": "prüfen",
"section": "Betroffenenrechte und Löschung",
"required_content": "Auskunft, Löschung, Widerspruch, Widerruf, Speicherfristen, Kontaktweg."
}
],
"passed_count": 4,
"section_count": 4,
"version_count": 4,
"notice_versions": [
{
"id": "active",
"label": "Aktive Notice-Version",
"owner": "Datenschutz\/Content",
"source": "privacy_notice_draft",
"status": "vorbereitet",
"evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s)."
},
{
"id": "cookie_vendor_update",
"label": "Cookie-\/Vendor-Update",
"owner": "Marketing\/IT\/Datenschutz",
"source": "cookie_declaration_document, vendor_processor_register",
"status": "prüfen",
"evidence": "Cookies 2, Anbieter 0, Disclosure-Lücken 1."
},
{
"id": "regulatory_update",
"label": "Regulatory Update",
"owner": "Datenschutz\/Legal",
"source": "regulatory_watch_readiness",
"status": "monitoring",
"evidence": "8 Watch-Pflicht(en)."
},
{
"id": "change_review",
"label": "Website Change Review",
"owner": "Datenschutz\/IT",
"source": "monitoring_alert_digest, change_log",
"status": "ruhig",
"evidence": "Alerts 0, Change-Signale 0."
}
],
"priority_actions": [
"Beobachtete Cookies, Anbieter, Zwecke, Datenarten und Transfers regelmäßig mit der Notice synchronisieren.",
"Cookie-Liste, Anbieterregister, Empfänger, Zweck, Laufzeit, Rechtsgrundlage und Transferhinweis in Notice\/TrustHub übernehmen.",
"Notice-Abschnitte mit Zweck, Rechtsgrundlage, Datenkategorie, Empfänger, Speicherfrist und Betroffenenrechten mappen.",
"Neue Tags, Cookies, Anbieter, Formulare, AI-\/Profiling-Signale und Unterseiten als Notice-Review routen.",
"Notice in verständlicher Sprache, klaren Abschnitten, Kontaktweg, Rechte-Erklärung und kurzem Summary prüfen."
],
"source_artifacts": [
"privacy_notice_draft",
"privacy_disclosure_gap_analysis",
"cookie_declaration_document",
"vendor_processor_register",
"legal_basis_matrix",
"regulatory_watch_readiness",
"monitoring_alert_digest",
"change_log",
"audit_receipt"
],
"disclosure_gap_count": 1,
"publication_checklist": [
{
"id": "owner_version",
"label": "Owner, Version, Gültigkeit und Änderungsgrund setzen",
"owner": "Datenschutz\/Content",
"status": "vorbereitet",
"evidence": "Audit Receipt \/ Hash-Manifest."
},
{
"id": "tech_sync",
"label": "Cookies, Anbieter, Datenarten und Rechtsgrundlagen synchronisieren",
"owner": "Datenschutz\/IT",
"status": "offen",
"evidence": "Disclosure-Lücken 1."
},
{
"id": "legal_review",
"label": "Legal-\/DSB-Freigabe dokumentieren",
"owner": "Legal\/DSB",
"status": "Betreiber-Nachweis",
"evidence": "Freigabeprotokoll, offene Ausnahmen, Review-Datum."
},
{
"id": "publish_verify",
"label": "Veröffentlichung und Linkprüfung nachweisen",
"owner": "Content\/IT",
"status": "prüfen",
"evidence": "Öffentliche URL, Footer-Link, Sitemap, Wiederholungsscan."
}
]
},
"server_network_analysis": {
"limits": [
"Netzpraefixe sind Heuristiken aus sichtbaren IPs (\/24 bei IPv4, \/64 bei IPv6).",
"ASN, Hosting-Anbieter und Organisation brauchen RDAP\/Whois-Daten und werden hier noch nicht behauptet."
],
"signals": {
"ptr_count": 1,
"ipv4_count": 1,
"ipv6_count": 0,
"address_count": 1,
"network_count": 1
},
"networks": [
"188.245.55.0\/24"
],
"addresses": [
{
"ip": "188.245.55.19",
"ptr": "static.19.55.245.188.clients.your-server.de",
"family": "IPv4",
"network": "188.245.55.0\/24",
"is_global": true,
"is_private": false,
"heuristic_prefix": "\/24"
}
]
},
"external_script_analysis": {
"color": "yellow",
"items": [
{
"url": "https:\/\/berlin.klausurgutachten.de\/conf\/ksa-config.js",
"host": "berlin.klausurgutachten.de",
"category": "other",
"provider": "berlin.klausurgutachten.de",
"category_label": "Sonstige",
"integrity_present": false,
"recommended_action": "Skript lokal hosten, SRI nutzen oder per CSP\/Consent gezielt begrenzen.",
"crossorigin_present": false
},
{
"url": "https:\/\/berlin.klausurgutachten.de\/static\/js\/6.480b8ed4.chunk.js",
"host": "berlin.klausurgutachten.de",
"category": "other",
"provider": "berlin.klausurgutachten.de",
"category_label": "Sonstige",
"integrity_present": false,
"recommended_action": "Skript lokal hosten, SRI nutzen oder per CSP\/Consent gezielt begrenzen.",
"crossorigin_present": false
},
{
"url": "https:\/\/berlin.klausurgutachten.de\/static\/js\/main.bc9d1c2a.chunk.js",
"host": "berlin.klausurgutachten.de",
"category": "other",
"provider": "berlin.klausurgutachten.de",
"category_label": "Sonstige",
"integrity_present": false,
"recommended_action": "Skript lokal hosten, SRI nutzen oder per CSP\/Consent gezielt begrenzen.",
"crossorigin_present": false
}
],
"score": 88,
"status": "prüfen",
"summary": "3 externe Skript(e) von 1 Host(s), 3 ohne SRI, 0 Tracking-\/Tag-nahe Skript(e).",
"findings": [
{
"id": "external_script_without_sri",
"count": 3,
"title": "Externe Skripte ohne Subresource Integrity",
"public": true,
"category": "security_headers",
"severity": "info",
"recommendation": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern."
}
],
"cdn_count": 0,
"priority_fixes": [
"Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern."
],
"missing_sri_count": 3,
"external_host_count": 1,
"tracking_like_count": 0,
"external_script_count": 3
},
"privacy_program_maturity": {
"status": "bewertet",
"roadmap": [
{
"id": "maturity_privacy_rights",
"why": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"owner": "Support\/Datenschutz",
"title": "Betroffenenrechte \/ DSAR verbessern",
"action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.",
"horizon": "0-30 Tage",
"priority": "hoch",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"target_score": 70
},
{
"id": "maturity_dsar_workflow",
"why": "DSAR-Workflow-Readiness 38\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
"owner": "Datenschutz\/Support\/IT",
"title": "DSAR Workflow Automation verbessern",
"action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.",
"horizon": "0-30 Tage",
"priority": "hoch",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"target_score": 70
},
{
"id": "maturity_notice_policy_lifecycle",
"why": "Policy-\/Notice-Lifecycle-Readiness 42\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
"owner": "Datenschutz\/Legal\/Content",
"title": "Policy & Notice Lifecycle verbessern",
"action": "Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.",
"horizon": "30-90 Tage",
"priority": "hoch",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"target_score": 70
},
{
"id": "maturity_ai_governance",
"why": "AI-Governance-Readiness 43\/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
"owner": "Datenschutz\/Product\/Legal",
"title": "AI Governance & Automated Decisioning verbessern",
"action": "AI-\/Chat-\/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.",
"horizon": "30-90 Tage",
"priority": "hoch",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"target_score": 70
},
{
"id": "maturity_vendor_risk",
"why": "0 Anbieter, 0 AVV-\/DPA-Prüfungen, 0 Transferfragen.",
"owner": "Legal\/Vendor Owner",
"title": "Vendor Risk & Vertragsmanagement verbessern",
"action": "Anbieterakten priorisieren, AVV\/DPA\/TOMs prüfen und Transfers dokumentieren.",
"horizon": "90-180 Tage",
"priority": "hoch",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"target_score": 70
},
{
"id": "maturity_consent_governance",
"why": "Consent-Score 48, Cookie-Retention-Risiken 0.",
"owner": "Marketing\/IT",
"title": "Consent & Cookie Governance verbessern",
"action": "Nicht notwendige Cookies\/Tags vor Einwilligung blockieren und Consent-Zustände testen.",
"horizon": "90-180 Tage",
"priority": "hoch",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"target_score": 70
}
],
"summary": "Privacy-Program-Maturity 60\/100 (Etabliert mit Lücken); 7 Dimension(en) unter 50 Punkten und 2 kritische Lücke(n).",
"available": true,
"dimensions": [
{
"id": "notices_transparency",
"label": "Hinweise & Transparenz",
"level": 5,
"owner": "Datenschutz\/Content",
"score": 90,
"action": "Datenschutzerklärung, Anbieterregister und beobachtete Technik regelmäßig abgleichen.",
"status": "optimiert",
"evidence": "Datenschutzhinweis vorhanden, Disclosure-Lücken 1.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"source_modules": [
"privacy_notice_draft",
"privacy_disclosure_gap_analysis"
]
},
{
"id": "consent_governance",
"label": "Consent & Cookie Governance",
"level": 2,
"owner": "Marketing\/IT",
"score": 48,
"action": "Nicht notwendige Cookies\/Tags vor Einwilligung blockieren und Consent-Zustände testen.",
"status": "reaktiv",
"evidence": "Consent-Score 48, Cookie-Retention-Risiken 0.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"source_modules": [
"consent_audit",
"cookie_inventory"
]
},
{
"id": "preference_center",
"label": "Preference Center & Consent Ledger",
"level": 3,
"owner": "Marketing\/IT\/Compliance",
"score": 60,
"action": "Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM\/Tags\/Vendor-Systeme nachweisbar aufbauen.",
"status": "etabliert",
"evidence": "Preference-Center-Readiness 60\/100; 5\/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"source_modules": [
"preference_center_readiness"
]
},
{
"id": "regulatory_watch",
"label": "Regulatory Watch & Rechtsänderungsmonitoring",
"level": 3,
"owner": "Datenschutz\/Legal\/Compliance",
"score": 58,
"action": "Offizielle DACH\/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.",
"status": "etabliert",
"evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/datenschutz-webseiten-report\/",
"source_modules": [
"regulatory_watch_readiness",
"regulatory_source_matrix"
]
},
{
"id": "data_inventory_mapping",
"label": "Dateninventar, RoPA & Data Map",
"level": 4,
"owner": "Datenschutz\/IT",
"score": 72,
"action": "Interne Systeme, Datenquellen und Löschfristen in RoPA\/Data Map ergänzen.",
"status": "gesteuert",
"evidence": "2 Verarbeitungstätigkeiten, 13 Knoten, 12 Kanten.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"processing_activity_record",
"data_flow_map"
]
},
{
"id": "vendor_risk",
"label": "Vendor Risk & Vertragsmanagement",
"level": 2,
"owner": "Legal\/Vendor Owner",
"score": 45,
"action": "Anbieterakten priorisieren, AVV\/DPA\/TOMs prüfen und Transfers dokumentieren.",
"status": "reaktiv",
"evidence": "0 Anbieter, 0 AVV-\/DPA-Prüfungen, 0 Transferfragen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"source_modules": [
"vendor_due_diligence"
]
},
{
"id": "privacy_rights",
"label": "Betroffenenrechte \/ DSAR",
"level": 1,
"owner": "Support\/Datenschutz",
"score": 12,
"action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.",
"status": "ad hoc",
"evidence": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"source_modules": [
"privacy_rights_readiness"
]
},
{
"id": "dsar_workflow",
"label": "DSAR Workflow Automation",
"level": 2,
"owner": "Datenschutz\/Support\/IT",
"score": 38,
"action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.",
"status": "reaktiv",
"evidence": "DSAR-Workflow-Readiness 38\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"source_modules": [
"dsar_workflow_readiness"
]
},
{
"id": "privacy_assessment_automation",
"label": "Assessment Automation",
"level": 3,
"owner": "Datenschutz\/Legal\/Product",
"score": 63,
"action": "PIA\/DPIA\/TIA\/Vendor\/AI-Questionnaires mit Vorbefüllung, Freigabe, Evidence und Mitigation-Workflow betreiben.",
"status": "etabliert",
"evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"privacy_assessment_automation"
]
},
{
"id": "retention_deletion",
"label": "Retention & Deletion Governance",
"level": 3,
"owner": "Datenschutz\/Legal\/IT",
"score": 58,
"action": "Speicherfristen, Löschtrigger, Backup-\/Legal-Hold-Regeln, Vendor-Löschung und Löschprotokolle operationalisieren.",
"status": "etabliert",
"evidence": "Retention-\/Deletion-Readiness 58\/100; 6\/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"retention_deletion_readiness"
]
},
{
"id": "vendor_lifecycle_risk",
"label": "Vendor Lifecycle & Third-Party Risk",
"level": 2,
"owner": "Datenschutz\/Legal\/Procurement",
"score": 49,
"action": "Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.",
"status": "reaktiv",
"evidence": "Vendor-Lifecycle-Readiness 49\/100; 6\/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"source_modules": [
"vendor_lifecycle_risk"
]
},
{
"id": "notice_policy_lifecycle",
"label": "Policy & Notice Lifecycle",
"level": 2,
"owner": "Datenschutz\/Legal\/Content",
"score": 42,
"action": "Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.",
"status": "reaktiv",
"evidence": "Policy-\/Notice-Lifecycle-Readiness 42\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"source_modules": [
"notice_policy_lifecycle"
]
},
{
"id": "data_discovery_classification",
"label": "Data Discovery & Classification",
"level": 3,
"owner": "Datenschutz\/IT\/Data Owner",
"score": 64,
"action": "Datenklassen, Datenquellen, Field-\/Signal-Klassifizierung, PII-Risiken, DSAR-Suchscope und interne Connectoren operationalisieren.",
"status": "etabliert",
"evidence": "Data-Discovery-\/Classification-Readiness 64\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"data_discovery_classification"
]
},
{
"id": "scan_configuration_monitoring",
"label": "Scan Configuration & Monitoring",
"level": 4,
"owner": "IT\/Compliance",
"score": 73,
"action": "Crawl-Scope, Performance-Grenzen, wiederkehrende Scans, Betreiberfreigaben und Alert-Routing versioniert betreiben.",
"status": "gesteuert",
"evidence": "Scan-Configuration-\/Monitoring-Readiness 73\/100; 8\/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.",
"guide_url": "\/methodik",
"source_modules": [
"scan_configuration_readiness",
"site_coverage_analysis",
"monitoring_alert_digest"
]
},
{
"id": "pia_dpia",
"label": "PIA\/DPIA & Privacy by Design",
"level": 4,
"owner": "Datenschutz\/Product",
"score": 80,
"action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-\/Release-Prozess verbinden.",
"status": "gesteuert",
"evidence": "DPIA\/DSFA-Screening: nicht_naheliegend, Risiko-Score 0\/100, 0 ausgelöste Risikofaktor(en), 0 hoch.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"dpia_screening"
]
},
{
"id": "ai_governance",
"label": "AI Governance & Automated Decisioning",
"level": 2,
"owner": "Datenschutz\/Product\/Legal",
"score": 43,
"action": "AI-\/Chat-\/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.",
"status": "reaktiv",
"evidence": "AI-Governance-Readiness 43\/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"ai_governance_readiness"
]
},
{
"id": "trust_center",
"label": "Trust Center & externe Nachweise",
"level": 3,
"owner": "Legal\/Marketing",
"score": 69,
"action": "Trust-Center-Bausteine veröffentlichen und Nachweise versionieren.",
"status": "etabliert",
"evidence": "Trust-Center-Readiness: 69\/100 Punkte. 15\/21 Baustein(e) sind aus dem Scan heraus belegbar.",
"guide_url": "\/datenschutz-webseiten-report\/",
"source_modules": [
"trust_center_readiness"
]
},
{
"id": "security_accessibility",
"label": "Security & Barrierefreiheit",
"level": 4,
"owner": "IT\/Web",
"score": 77,
"action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.",
"status": "gesteuert",
"evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.",
"guide_url": "\/guides\/security-header-setzen",
"source_modules": [
"security_header_analysis",
"accessibility_analysis"
]
},
{
"id": "incident_breach_response",
"label": "Incident & Breach Response",
"level": 3,
"owner": "DSB\/Legal\/IT",
"score": 66,
"action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.",
"status": "etabliert",
"evidence": "Incident-\/Breach-Readiness 66\/100; 5 Szenario(s), 0 kritisch, 1 hoch\/kritisch und 3 offene Nachweisposition(en).",
"guide_url": "\/guides\/security-header-setzen",
"source_modules": [
"incident_breach_readiness"
]
},
{
"id": "monitoring_evidence",
"label": "Monitoring, Audit-Belege & Change Management",
"level": 5,
"owner": "Compliance\/IT",
"score": 85,
"action": "Wiederholungsscans, Hash-Belege und Alert-Routing als Regelprozess betreiben.",
"status": "optimiert",
"evidence": "Prüfbeleg vorhanden, Integritätsmanifest vorhanden, Alerts 0.",
"guide_url": "\/monitoring",
"source_modules": [
"audit_receipt",
"evidence_integrity_manifest",
"monitoring_alert_digest"
]
},
{
"id": "remediation_workflow",
"label": "Remediation & Programmsteuerung",
"level": 4,
"owner": "Programm-Owner",
"score": 75,
"action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.",
"status": "gesteuert",
"evidence": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"source_modules": [
"remediation_workflow"
]
}
],
"disclaimer": "Automatisch abgeleitete Programmreife aus einem Website-Scan. Interne Prozesse, Ressourcen, Schulungen, Verträge und Systeme muss der Betreiber ergänzen.",
"stage_label": "Etabliert mit Lücken",
"benchmark_hint": "Score ist ein SaferPage-Reifegrad aus öffentlicher Website-Evidenz und Betreiber-Artefakten; er ersetzt kein internes Audit.",
"maturity_level": 3,
"maturity_score": 60,
"board_questions": [
"Welche drei Datenschutz-Risiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?",
"Welche Owner sind für Consent, Preference Center, Notice Lifecycle, Data Discovery, Scan Configuration, Regulatory Watch, RoPA\/Data Map, Vendor Lifecycle, DSAR-Workflow, Assessment Automation, Retention\/Deletion, DPIA und AI-Governance verbindlich benannt?",
"Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?",
"Wie wird sichergestellt, dass neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-\/Automated-Decisioning-Use-Cases vor Go-live geprüft werden?"
],
"dimension_count": 21,
"source_artifacts": [
"consent_audit",
"preference_center_readiness",
"notice_policy_lifecycle",
"data_discovery_classification",
"scan_configuration_readiness",
"regulatory_watch_readiness",
"privacy_notice_draft",
"processing_activity_record",
"data_flow_map",
"vendor_due_diligence",
"vendor_lifecycle_risk",
"ai_governance_readiness",
"incident_breach_readiness",
"privacy_rights_readiness",
"dsar_workflow_readiness",
"privacy_assessment_automation",
"retention_deletion_readiness",
"dpia_screening",
"trust_center_readiness",
"audit_receipt"
],
"critical_gap_count": 2,
"low_dimension_count": 7
},
"privacy_rights_readiness": {
"rows": [
{
"id": "privacy_notice",
"label": "Datenschutzerklärung erreichbar",
"action": "Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.",
"passed": false,
"status": "fehlt",
"weight": 16,
"evidence": "Keine gut erkennbare Datenschutzerklärung im Scan.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "rights_description",
"label": "Betroffenenrechte beschrieben",
"action": "Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.",
"passed": false,
"status": "fehlt",
"weight": 16,
"evidence": "Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "privacy_contact",
"label": "Kontaktkanal für Datenschutzanfragen",
"action": "Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.",
"passed": false,
"status": "fehlt",
"weight": 14,
"evidence": "Kein klarer Datenschutzkontakt, E-Mail- oder Telefonkontakt erkannt.",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"manual_review": false
},
{
"id": "operator_identity",
"label": "Verantwortlicher\/Anbieter erkennbar",
"action": "Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Impressum oder Anbieterkennzeichnung nicht klar erkannt.",
"guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
"manual_review": false
},
{
"id": "data_entry_context",
"label": "Formulare mit Datenschutzkontext",
"action": "Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Dateneingabe ohne erhöhten Kontextbedarf oder mit Datenschutzhinweis.",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
"manual_review": false
},
{
"id": "data_inventory",
"label": "Datenarten und Systeme ableitbar",
"action": "Für Auskunft\/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "0 Datenart(en), 0 Anbieter\/Processor im Report ableitbar.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "disclosure_consistency",
"label": "Datenschutzhinweis passt zur Technik",
"action": "Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "1 Disclosure-Lücke(n) aus Technik-\/Policy-Abgleich.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "secure_response",
"label": "Sichere Antwort- und Identitätsprüfung definiert",
"action": "Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-\/Sperrlogik und Vier-Augen-Freigabe intern festlegen.",
"passed": false,
"status": "prüfen",
"weight": 10,
"evidence": "Aus öffentlichem Scan nicht sicher beweisbar.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": true
}
],
"score": 12,
"rights": [
{
"id": "access",
"label": "Auskunft",
"deadline": "1 Monat",
"required_signal": "Datenquellen und Empfänger auffindbar"
},
{
"id": "rectification",
"label": "Berichtigung",
"deadline": "1 Monat",
"required_signal": "Verantwortliche Fachstelle benannt"
},
{
"id": "erasure",
"label": "Löschung",
"deadline": "1 Monat",
"required_signal": "Lösch-\/Sperrlogik je System dokumentiert"
},
{
"id": "restriction",
"label": "Einschränkung",
"deadline": "1 Monat",
"required_signal": "Bearbeitungsstatus und Sperrvermerk möglich"
},
{
"id": "objection",
"label": "Widerspruch",
"deadline": "1 Monat",
"required_signal": "Marketing\/Tracking Opt-out und GPC-Kontext geprüft"
},
{
"id": "portability",
"label": "Datenübertragbarkeit",
"deadline": "1 Monat",
"required_signal": "Strukturierter Export für relevante Datenarten geplant"
}
],
"status": "kritisch",
"summary": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"available": true,
"gap_count": 7,
"disclaimer": "Aus öffentlichem Website-Scan abgeleitet. Das Modul ersetzt kein echtes DSAR-Portal und speichert keine Betroffenenanfragen.",
"contact_found": false,
"intake_fields": [
{
"id": "request_type",
"label": "Anfragetyp",
"purpose": "Auskunft, Löschung, Berichtigung, Widerspruch, Einschränkung oder Portabilität auswählen.",
"requirement": "erforderlich"
},
{
"id": "contact_channel",
"label": "Antwortkanal",
"purpose": "Sicheren Rückkanal für Rückfragen und Antwort festlegen.",
"requirement": "erforderlich"
},
{
"id": "identity_reference",
"label": "Identitätsbezug",
"purpose": "Nur notwendige Angaben wie Kundennummer, Nutzerkonto oder E-Mail-Adresse erheben.",
"requirement": "situativ"
},
{
"id": "scope",
"label": "Umfang",
"purpose": "Betroffene Dienste, Newsletter, Konto, Formular oder Zeitraum eingrenzen.",
"requirement": "optional"
},
{
"id": "verification",
"label": "Identitätsprüfung",
"purpose": "Bei Risiko zusätzliche Prüfung verlangen, aber keine unnötigen Ausweiskopien speichern.",
"requirement": "situativ"
}
],
"forms_detected": 0,
"provider_count": 0,
"workflow_steps": [
"Anfrage über sicheren Kanal annehmen und Frist starten.",
"Identität risikobasiert prüfen und Anfrage klassifizieren.",
"Datenquellen, Dienstleister und Fachsysteme aus dem Verzeichnis abfragen.",
"Antwort, Löschung oder Berichtigung fachlich freigeben.",
"Sichere Antwort bereitstellen und Bearbeitung revisionsarm protokollieren.",
"Nach Website-Änderungen SaferPage erneut scannen und Datenschutzhinweise abgleichen."
],
"data_type_count": 0,
"priority_actions": [
"Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.",
"Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.",
"Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.",
"Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.",
"Für Auskunft\/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen."
],
"rights_text_found": false,
"privacy_link_found": false
},
"regulatory_source_matrix": {
"rows": [
{
"id": "dsk_digitale_dienste",
"area": "TDDDG\/ePrivacy",
"action": "Nicht notwendige Cookies, Web Storage, Tags und Trackingkontakte vor Einwilligung blockieren und Ablehnen\/Widerruf nachweisen.",
"status": "prüfen",
"weight": 100,
"evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"relevance": "Einordnung von Cookies, ähnlichen Technologien, Einwilligung und Endgerätezugriff.",
"source_url": "https:\/\/www.datenschutzkonferenz-online.de\/media\/oh\/OH_Digitale_Dienste.pdf",
"source_name": "DSK Orientierungshilfe digitale Dienste"
},
{
"id": "gdpr_art6",
"area": "DSGVO Rechtsgrundlagen",
"action": "Zwecke, Datenarten, Empfänger und Rechtsgrundlagen in Datenschutzerklärung und interner Dokumentation abgleichen.",
"status": "prüfen",
"weight": 95,
"evidence": "3 Einwilligungs-\/Rechtsgrundlagenzeile(n), 3 unklar\/prüfen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"relevance": "Rechtsgrundlage für jede Verarbeitung, insbesondere Tracking, Drittanbieter und Formulare.",
"source_url": "https:\/\/eur-lex.europa.eu\/eli\/reg\/2016\/679\/oj",
"source_name": "DSGVO Art. 6"
},
{
"id": "bsi_web_tls_headers",
"area": "BSI\/Sicherheit",
"action": "Fehlende Security-Header, CSP und TLS-\/HSTS-Konfiguration gemäß Betreiber-Guide nachziehen.",
"status": "prüfen",
"weight": 80,
"evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.",
"guide_url": "\/guides\/security-header-setzen",
"relevance": "Transportverschlüsselung, Webserver-Härtung und Security-Header sind Datenschutz-Schutzmaßnahmen.",
"source_url": "https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Mindeststandards\/Mindeststandard_BSI_TLS_Version_2_3.pdf",
"source_name": "BSI TLS-Mindeststandard und IT-Grundschutz Webserver\/Webanwendungen"
},
{
"id": "wcag_eaa_bitv",
"area": "Barrierefreiheit",
"action": "Alt-Texte, Labels, Button-Namen, Tastaturbedienung und Cookie-Banner-Barrierefreiheit prüfen.",
"status": "prüfen",
"weight": 70,
"evidence": "1 WCAG-\/EAA-Prüfpunkt(e) auffällig, davon 0 mit hoher Auswirkung.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"relevance": "Barrierefreie Bedienung von Formularen, Cookie-Bannern, Navigation und Inhalten.",
"source_url": "https:\/\/www.w3.org\/TR\/WCAG22\/",
"source_name": "WCAG 2.2 \/ BFIT \/ European Accessibility Act"
},
{
"id": "saferpage_bfsg_wcag",
"area": "SaferPage Regelwerks-Scorecard",
"action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
"status": "einzelne Hinweise",
"weight": 40,
"evidence": "Score 94 · 1 Befund(e).",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"relevance": "Barrierefreiheit, Tastatur-\/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.",
"source_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"source_name": "BFSG\/WCAG"
},
{
"id": "saferpage_bsi_security",
"area": "SaferPage Regelwerks-Scorecard",
"action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
"status": "prüfen",
"weight": 40,
"evidence": "Score 62 · 5 Befund(e).",
"guide_url": "\/guides\/security-header-setzen",
"relevance": "TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.",
"source_url": "\/guides\/security-header-setzen",
"source_name": "BSI\/Security"
},
{
"id": "saferpage_gdpr",
"area": "SaferPage Regelwerks-Scorecard",
"action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
"status": "prüfen",
"weight": 40,
"evidence": "Score 72 · 2 Befund(e).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"relevance": "Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.",
"source_url": "\/guides\/datenschutzerklaerung-verbessern",
"source_name": "DSGVO"
},
{
"id": "saferpage_tdddg_eprivacy",
"area": "SaferPage Regelwerks-Scorecard",
"action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
"status": "keine priorisierten Hinweise",
"weight": 40,
"evidence": "Score 100 · 0 Befund(e).",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"relevance": "Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.",
"source_url": "\/guides\/tracking-und-consent-reparieren",
"source_name": "TDDDG\/ePrivacy"
}
],
"status": "verfügbar",
"summary": "Quellenmatrix: 8 offizielle\/operative Quelle(n) mit Befundbezug und Betreibermaßnahme.",
"available": true,
"disclaimer": "Quellen dienen der technischen Einordnung und Betreiber-Dokumentation; sie ersetzen keine Rechtsberatung.",
"source_count": 8,
"official_source_count": 4
},
"security_header_analysis": {
"color": "orange",
"score": 70,
"checks": [
{
"ok": true,
"note": "",
"label": "HSTS",
"value": "max-age=31536000; includeSubDomains; preload",
"header": "strict-transport-security",
"present": true,
"purpose": "Erzwingt HTTPS nach dem ersten sicheren Aufruf.",
"severity": "warning",
"recommended": "max-age=31536000; includeSubDomains"
},
{
"ok": false,
"note": "Fehlt in der HTTP-Antwort.",
"label": "Content-Security-Policy",
"value": "",
"header": "content-security-policy",
"present": false,
"purpose": "Begrenzt Skript-, Frame- und Ressourcenquellen im Browser.",
"severity": "warning",
"recommended": "Schrittweise CSP mit default-src 'self' und expliziten Drittanbietern einführen."
},
{
"ok": true,
"note": "",
"label": "X-Frame-Options",
"value": "sameorigin",
"header": "x-frame-options",
"present": true,
"purpose": "Reduziert Clickjacking-Risiken bei älteren Browsern.",
"severity": "warning",
"recommended": "DENY oder SAMEORIGIN"
},
{
"ok": true,
"note": "",
"label": "X-Content-Type-Options",
"value": "nosniff",
"header": "x-content-type-options",
"present": true,
"purpose": "Verhindert MIME-Sniffing bei Skripten und Stylesheets.",
"severity": "warning",
"recommended": "nosniff"
},
{
"ok": true,
"note": "",
"label": "Referrer-Policy",
"value": "strict-origin-when-cross-origin",
"header": "referrer-policy",
"present": true,
"purpose": "Begrenzt, welche URL-Informationen an Zielseiten weitergegeben werden.",
"severity": "info",
"recommended": "strict-origin-when-cross-origin"
},
{
"ok": false,
"note": "Fehlt in der HTTP-Antwort.",
"label": "Permissions-Policy",
"value": "",
"header": "permissions-policy",
"present": false,
"purpose": "Begrenzt sensible Browser-Funktionen pro Seite.",
"severity": "info",
"recommended": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation sperren."
},
{
"ok": false,
"note": "Fehlt in der HTTP-Antwort.",
"label": "Cross-Origin-Opener-Policy",
"value": "",
"header": "cross-origin-opener-policy",
"present": false,
"purpose": "Isoliert Top-Level-Fenster und reduziert Cross-Origin-Seiteneffekte.",
"severity": "info",
"recommended": "same-origin oder same-origin-allow-popups nach Funktionsprüfung"
},
{
"ok": false,
"note": "Fehlt in der HTTP-Antwort.",
"label": "Cross-Origin-Resource-Policy",
"value": "",
"header": "cross-origin-resource-policy",
"present": false,
"purpose": "Begrenzt, welche fremden Seiten Ressourcen einbetten dürfen.",
"severity": "info",
"recommended": "same-origin oder same-site nach Ressourcenprüfung"
},
{
"ok": false,
"note": "Fehlt in der HTTP-Antwort.",
"label": "Cross-Origin-Embedder-Policy",
"value": "",
"header": "cross-origin-embedder-policy",
"present": false,
"purpose": "Erzwingt kontrollierte Cross-Origin-Einbettungen und kann Cross-Origin Isolation ermöglichen.",
"severity": "info",
"recommended": "require-corp nur nach Prüfung aller eingebetteten Drittressourcen"
}
],
"status": "auffällig",
"missing": [
"Content-Security-Policy",
"Permissions-Policy",
"Cross-Origin-Opener-Policy",
"Cross-Origin-Resource-Policy",
"Cross-Origin-Embedder-Policy"
],
"summary": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.",
"findings": [],
"ok_count": 4,
"weak_count": 0,
"csp_analysis": {
"color": "red",
"score": 0,
"status": "fehlt",
"summary": "Keine Content-Security-Policy gefunden.",
"enforced": false,
"findings": [],
"available": false,
"directives": [],
"report_only": false,
"finding_count": 0,
"warning_count": 0,
"priority_fixes": [
"CSP schrittweise im Report-Only-Modus testen und danach als wirksamen Header ausrollen."
]
},
"fix_snippets": {
"items": [
{
"label": "Content-Security-Policy",
"value": "default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'",
"header": "content-security-policy",
"reason": "Fehlt in der HTTP-Antwort."
},
{
"label": "Permissions-Policy",
"value": "camera=(), microphone=(), geolocation=()",
"header": "permissions-policy",
"reason": "Fehlt in der HTTP-Antwort."
},
{
"label": "Cross-Origin-Opener-Policy",
"value": "same-origin",
"header": "cross-origin-opener-policy",
"reason": "Fehlt in der HTTP-Antwort."
},
{
"label": "Cross-Origin-Resource-Policy",
"value": "same-site",
"header": "cross-origin-resource-policy",
"reason": "Fehlt in der HTTP-Antwort."
},
{
"label": "Cross-Origin-Embedder-Policy",
"value": "require-corp",
"header": "cross-origin-embedder-policy",
"reason": "Fehlt in der HTTP-Antwort."
}
],
"nginx": "add_header content-security-policy \"default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'\" always;\nadd_header permissions-policy \"camera=(), microphone=(), geolocation=()\" always;\nadd_header cross-origin-opener-policy \"same-origin\" always;\nadd_header cross-origin-resource-policy \"same-site\" always;\nadd_header cross-origin-embedder-policy \"require-corp\" always;",
"notes": [
"CSP zuerst im Staging oder als Report-Only testen, wenn externe Skripte, Frames oder APIs genutzt werden.",
"HSTS erst mit stabiler HTTPS-Konfiguration und gültigem Zertifikat für alle Subdomains aktivieren.",
"COEP\/CORP nur aktivieren, wenn eingebettete Drittressourcen kompatible Header senden; sonst zuerst im Staging testen.",
"Header nach Deployment erneut mit SaferPage prüfen."
],
"apache": "Header always set content-security-policy \"default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'\"\nHeader always set permissions-policy \"camera=(), microphone=(), geolocation=()\"\nHeader always set cross-origin-opener-policy \"same-origin\"\nHeader always set cross-origin-resource-policy \"same-site\"\nHeader always set cross-origin-embedder-policy \"require-corp\"",
"summary": "5 konkrete Security-Header-Konfigurationszeile(n) für Betreiber abgeleitet.",
"available": true,
"guide_url": "\/guides\/security-header-setzen"
},
"missing_count": 5,
"present_count": 4,
"priority_fixes": [
"Content-Security-Policy: Schrittweise CSP mit default-src 'self' und expliziten Drittanbietern einführen.",
"CSP schrittweise im Report-Only-Modus testen und danach als wirksamen Header ausrollen."
],
"missing_info_count": 4,
"missing_warning_count": 1
},
"embedded_content_analysis": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 externe Embed-\/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen.",
"findings": [],
"map_count": 0,
"total_count": 0,
"video_count": 0,
"captcha_count": 0,
"priority_fixes": [],
"category_counts": [],
"social_widget_count": 0,
"loaded_pre_consent_count": 0,
"request_count_by_provider": []
},
"incident_breach_readiness": {
"status": "einsatzbereit mit Lücken",
"summary": "Incident-\/Breach-Readiness 66\/100; 5 Szenario(s), 0 kritisch, 1 hoch\/kritisch und 3 offene Nachweisposition(en).",
"available": true,
"scenarios": [
{
"id": "security_control_gap",
"label": "Security-Header\/TLS-Kontrolllücke mit personenbezogenem Webtraffic",
"owner": "IT\/Security",
"evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.",
"severity": "hoch",
"guide_url": "\/guides\/security-header-setzen",
"triggered": true,
"risk_score": 60,
"first_response": "Webserver-Konfiguration einfrieren, Logs sichern, betroffene Endpunkte identifizieren und Header-\/TLS-Fix als Sofortmaßnahme planen.",
"notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
},
{
"id": "pii_url_referrer_leak",
"label": "PII-, URL- oder Referrer-Leakage auf Formular-\/Tracking-Pfaden",
"owner": "IT\/Datenschutz",
"evidence": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
"severity": "mittel",
"guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
"triggered": false,
"risk_score": 50,
"first_response": "Betroffene URLs\/Requests sichern, Formulardaten aus URLs entfernen, Referrer-Policy verschärfen und Drittanbieter auf Formularseiten blockieren.",
"notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
},
{
"id": "vendor_or_processor_incident",
"label": "Anbieter-\/Processor-Vorfall oder Drittlandtransfer unklar",
"owner": "Vendor Owner\/Legal",
"evidence": "0 Anbieter, 0 AVV-\/DPA-Prüfung(en), 0 Transferfrage(n).",
"severity": "mittel",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"triggered": false,
"risk_score": 44,
"first_response": "Vendor Owner kontaktieren, Anbieterakte öffnen, betroffene Dienste\/Datenflüsse aus Data Map markieren und vertragliche Breach-Notification-Fristen prüfen.",
"notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
},
{
"id": "data_flow_exposure",
"label": "Datenfluss mit hohem Risiko oder unklarem Empfänger",
"owner": "Datenschutz\/IT",
"evidence": "12 Datenfluss-Kanten, 0 hohes Risiko, 0 Transfer-Kante(n).",
"severity": "mittel",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"triggered": false,
"risk_score": 38,
"first_response": "Top-Datenflüsse isolieren, betroffene Datenkategorien und Empfänger bestimmen, interne Systeme und Löschfristen aus Betreiberakten ergänzen.",
"notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
},
{
"id": "cookie_tracking_incident",
"label": "Tracking-\/Cookie-Fehlkonfiguration mit möglichem Personenbezug",
"owner": "Marketing\/IT",
"evidence": "0 Cookie(s) inventarisiert: 0 Tracking-\/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en).",
"severity": "niedrig",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"triggered": false,
"risk_score": 34,
"first_response": "Consent-Zustände reproduzieren, Cookie-\/Storage-Werte nicht exportieren, betroffene Anbieter und Zwecke im Cookie-Inventar markieren.",
"notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
}
],
"disclaimer": "Automatisch aus Website- und Betreiberartefakten abgeleiteter Incident-Readiness-Entwurf; ersetzt keine rechtliche Meldeentscheidung und keine forensische Analyse.",
"playbook_steps": [
{
"id": "intake",
"owner": "Incident Lead",
"phase": "Intake & Triage",
"action": "Vorfall erfassen, Kenntniszeitpunkt setzen, Systeme\/Anbieter markieren und Beweissicherung starten.",
"timebox": "0-4 Stunden",
"evidence": "Incident-Ticket, Zeitstempel, erste technische Artefakte."
},
{
"id": "containment",
"owner": "IT\/Security",
"phase": "Eindämmung",
"action": "Betroffene Tags, Formulare, Anbieter oder Endpunkte stoppen beziehungsweise isolieren; Logs und Konfigurationen sichern.",
"timebox": "0-24 Stunden",
"evidence": "Änderungsprotokoll, Log-Sicherung, Screenshot\/Request-Nachweis."
},
{
"id": "risk_assessment",
"owner": "Datenschutz\/Legal",
"phase": "Risiko für Betroffene",
"action": "Datenarten, Anzahl Betroffener, Empfänger, Schutzmaßnahmen und mögliche Folgen bewerten.",
"timebox": "24-48 Stunden",
"evidence": "Risikobewertung, Data-Map-Auszug, Vendor-Akte."
},
{
"id": "notification_decision",
"owner": "DSB\/Legal",
"phase": "Meldeentscheidung",
"action": "Entscheidung zu Aufsichtsbehörde, Betroffeneninformation und Kundenkommunikation dokumentieren.",
"timebox": "bis 72 Stunden",
"evidence": "Meldeentscheidung, Begründung, Entwurf der Meldung oder Negativentscheidung."
},
{
"id": "lessons_learned",
"owner": "Programm-Owner",
"phase": "Nachbereitung",
"action": "Ursache beheben, TOMs\/Consent\/Data Map\/Vendor-Akten aktualisieren und Wiederholungstest planen.",
"timebox": "7-30 Tage",
"evidence": "Abnahmekriterium, Re-Scan, aktualisierte Betreiberartefakte."
}
],
"scenario_count": 5,
"readiness_score": 66,
"priority_actions": [
"Incident Owner, Datenschutz\/Legal, IT\/Security und Vendor Owner mit 72h-Ablauf verbindlich benennen.",
"Data Map, Vendor Due Diligence und Audit Evidence als Incident-Beweispaket verknüpfen.",
"Meldeentscheidung, Betroffenenkommunikation und Negativentscheidung als Vorlagen vorbereiten."
],
"evidence_checklist": [
{
"why": "Startpunkt für 72-Stunden-Prüfung.",
"item": "Zeitpunkt der Kenntnisnahme",
"source": "Incident Intake",
"status": "manuell ergänzen"
},
{
"why": "Grundlage für Risiko für Betroffene.",
"item": "Betroffene Datenkategorien und Datenflüsse",
"source": "Data Map",
"status": "teilweise vorhanden"
},
{
"why": "Vendor-Fristen und Unterauftragsverarbeiter prüfen.",
"item": "Betroffene Anbieter\/Processor und AVV\/DPA",
"source": "Vendor Due Diligence",
"status": "nicht erkannt"
},
{
"why": "Beweissicherung und nachvollziehbare Methodik.",
"item": "Technische Nachweise und Hash-Manifest",
"source": "Audit Evidence",
"status": "vorhanden"
},
{
"why": "Kommunikation mit Betroffenen vorbereiten.",
"item": "Betroffenen-\/DSAR-Kontaktkanal",
"source": "Privacy Rights",
"status": "prüfen"
},
{
"why": "Wiederholung und neue Signale erkennen.",
"item": "Monitoring-\/Change-Alert",
"source": "Monitoring",
"status": "fehlt"
}
],
"high_scenario_count": 1,
"notification_matrix": [
{
"owner": "DSB\/Legal",
"region": "EU\/DSGVO",
"deadline": "unverzüglich, möglichst binnen 72 Stunden an Aufsichtsbehörde",
"condition": "Wenn Verletzung voraussichtlich ein Risiko für Rechte und Freiheiten natürlicher Personen darstellt."
},
{
"owner": "DSB\/Kommunikation",
"region": "Betroffene Personen",
"deadline": "unverzüglich",
"condition": "Wenn voraussichtlich hohes Risiko für Betroffene besteht."
},
{
"owner": "Vendor Owner\/Legal",
"region": "Processor\/Vendor",
"deadline": "ohne unangemessene Verzögerung nach Kenntnis",
"condition": "Wenn Anbieter als Auftragsverarbeiter betroffen ist oder Meldung vom Anbieter kommt."
}
],
"open_evidence_count": 3,
"critical_scenario_count": 0,
"notification_deadline_hint": "DSGVO: 72-Stunden-Prüfung ab Kenntnisnahme vorbereiten; konkrete Meldepflicht juristisch bewerten."
},
"scan_history_chain_digest": {
"rows": [
{
"score": 24,
"current": false,
"scan_id": "d81d4a7e-9735-4eb1-9b20-66df6124dd5f",
"verdict": "riskant",
"link_hash": "4b9b40a3971abb67a8287c6e8f291f9a8c78fabbf87eea5b0e5d70cd0f18825f",
"root_hash": "331868b150ff4b7508dda4bbb33242ea9c0830c66f24385f94b4e605c9a2068f",
"created_at": "2026-06-07 13:29:36.79532+02",
"chain_index": 1,
"finding_count": 11,
"previous_link_hash": "",
"integrity_available_hash_count": 9
},
{
"score": 24,
"current": true,
"scan_id": "",
"verdict": "riskant",
"link_hash": "69dfb8c0cbcde196371896326fcfb309e65900e6ae973580d4a1fc339179a9c1",
"root_hash": "bf3a5f37fa9287a1b542ad74683a05473c42c1540e785b8c96f8c704411f00d3",
"created_at": "",
"chain_index": 2,
"finding_count": 11,
"previous_link_hash": "4b9b40a3971abb67a8287c6e8f291f9a8c78fabbf87eea5b0e5d70cd0f18825f",
"integrity_available_hash_count": 9
}
],
"status": "verkettet",
"summary": "Scan-Historie mit 2 Link(s) per SHA-256 verkettet; 2 Link(s) enthalten ein Integritätsmanifest. Head-Hash 69dfb8c0cbcde196.",
"algorithm": "sha256",
"available": true,
"head_hash": "69dfb8c0cbcde196371896326fcfb309e65900e6ae973580d4a1fc339179a9c1",
"limitations": [
"Die Kette ist ein technischer Integritätsnachweis innerhalb der gespeicherten SaferPage-Historie.",
"Sie ersetzt keine qualifizierte elektronische Signatur und keine externe Zeitstempelstelle."
],
"chain_length": 2,
"canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; jeder Link enthält Scan-ID, Zeitpunkt, Score, Root-Hash und vorherigen Link-Hash.",
"current_root_hash": "bf3a5f37fa9287a1b542ad74683a05473c42c1540e785b8c96f8c704411f00d3",
"verification_steps": [
"Scan-Historie chronologisch von alt nach neu sortieren.",
"Für jeden Scan den kanonischen Link-Datensatz hashen.",
"Den vorherigen Link-Hash im nächsten Link mitführen und den finalen Head-Hash vergleichen.",
"Root-Hash je Scan gegen das Integritätsmanifest des jeweiligen Reports prüfen."
],
"complete_link_count": 2
},
"vendor_processor_register": {
"color": "green",
"items": [],
"score": 100,
"status": "unauffällig",
"summary": "0 Empfänger-\/Anbieter-Eintrag\/Einträge aus Browserkontakten und Cookie-Inventar, 0 datenschutzrelevant, 0 mit AVV-\/Rollenprüfung.",
"available": true,
"disclaimer": "Automatisch aus technischen SaferPage-Signalen abgeleitet; Rollen, Verträge und Rechtsgrundlagen müssen Betreiber fachlich prüfen.",
"total_count": 0,
"priority_fixes": [],
"dpa_check_count": 0,
"high_priority_count": 0,
"transfer_check_count": 0,
"privacy_relevant_count": 0
},
"consent_banner_ux_analysis": {
"rows": [
{
"id": "first_layer_reject_visible",
"ok": true,
"label": "Ablehnen auf erster Ebene sichtbar",
"action": "Ablehnen im ersten Banner-Layer genauso leicht erreichbar machen wie Akzeptieren.",
"status": "ok",
"evidence": "Sichtbare Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0.",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "first_layer_settings_visible",
"ok": true,
"label": "Einstellungen sichtbar erreichbar",
"action": "Cookie-Auswahl, Zwecke und Anbieter über eine gut sichtbare Einstellungen-Schaltfläche öffnen.",
"status": "ok",
"evidence": "Einstellungs-\/Auswahl-Controls im Banner: 0.",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "reject_accept_symmetry",
"ok": true,
"label": "Ablehnen und Akzeptieren wirken gleichwertig",
"action": "Ablehnen mit vergleichbarer Größe, Farbe, Position und Textgewicht wie Akzeptieren darstellen.",
"status": "ok",
"evidence": "Größenverhältnis Ablehnen\/Akzeptieren: nicht messbar. Accept-Fläche 0, Reject-Fläche 0.",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "reject_clickable",
"ok": true,
"label": "Ablehnen technisch klickbar",
"action": "Ablehnen als echten Button\/Link ohne Overlay-Hürden, Scrollzwang oder versteckte zweite Ebene umsetzen.",
"status": "ok",
"evidence": "Reject-Test: kein Button gefunden. Text: ",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "reject_effective",
"ok": true,
"label": "Ablehnen stoppt neue Tracking-Signale",
"action": "Nach Ablehnen keine nicht notwendigen Cookies, Tracking-Storage-Keys oder Tracking-\/Werbekontakte auslösen.",
"status": "ok",
"evidence": "Nach Ablehnen: 0 neue Cookie(s), 0 Tracking-Storage-Hinweis(e), 0 neue Datenschutz-Domain(s).",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "accept_delta_documented",
"ok": true,
"label": "Akzeptieren-Wirkung nachvollziehbar",
"action": "Nach Akzeptieren geladene Dienste, Cookies und Storage-Einträge in Cookie-Auswahl und Datenschutzerklärung abbilden.",
"status": "ok",
"evidence": "Accept-Test: nicht verfügbar; neue Cookies 0, neue Datenschutz-Domains 0.",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "gpc_respected",
"ok": true,
"label": "GPC-Aufruf ohne neue Tracking-Hinweise",
"action": "Global Privacy Control als Opt-out-Signal berücksichtigen und Tracking-\/Sharing-Dienste begrenzen.",
"status": "ok",
"evidence": "GPC: Datenschutz-Domains 0, Drittanbieter-Cookies 0, Storage-Hinweise 0.",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
},
{
"id": "no_tracking_cookies_pre_consent",
"ok": true,
"label": "Keine Tracking-Cookies vor Einwilligung",
"action": "Analytics-, Marketing- und Profiling-Cookies erst nach aktiver Einwilligung setzen.",
"status": "ok",
"evidence": "0 Tracking-Cookie(s) im Erstaufruf.",
"severity": "niedrig",
"guide_url": "\/guides\/tracking-und-consent-reparieren"
}
],
"color": "green",
"score": 100,
"status": "unauffällig",
"summary": "Consent-Banner-UX: 0 auffällige Prüfpunkt(e), davon 0 hoch. Keine klaren Dark-Pattern-Muster aus den Browserdaten abgeleitet.",
"findings": [],
"available": true,
"disclaimer": "Automatisch aus sichtbaren Banner-Controls und Browser-Interaktionen abgeleitet; visuelle Details und Rechtmäßigkeit fachlich prüfen.",
"high_count": 0,
"medium_count": 0,
"accept_clicked": false,
"priority_fixes": [],
"reject_clicked": false,
"dark_pattern_count": 0,
"dark_pattern_labels": [],
"accept_control_count": 0,
"reject_control_count": 0,
"reject_less_prominent": false,
"settings_control_count": 0,
"reject_prominence_ratio": 0
},
"processing_activity_record": {
"host": "klausurgutachten.de",
"status": "Betreiber ergänzen",
"summary": "RoPA-Entwurf mit 2 Verarbeitungstätigkeit(en), 0 hohem Risikolevel und 6 offenen Betreiberfragen.",
"available": true,
"activities": [
{
"name": "Cookies, Web Storage und Consent",
"purpose": "Bereitstellung der Website, Consent-Verwaltung, Statistik\/Tracking oder Komfortfunktionen je Kategorie.",
"evidence": "2 Cookie-\/Storage-Eintrag\/Einträge, 0 mit Einwilligungs-\/Klärungsbedarf.",
"transfer": "Drittlandtransfer je Cookie-\/Tag-Anbieter prüfen.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"confidence": 88,
"recipients": [
"Eigene Website oder eingebundener Dienst"
],
"risk_level": "mittel",
"activity_id": "cookies_storage",
"data_subjects": [
"Website-Besucher"
],
"dpia_relevance": "nicht_naheliegend",
"retention_hint": "Cookie-Laufzeiten aus Inventar übernehmen und minimieren.",
"controller_hint": "klausurgutachten.de",
"data_categories": [
"Cookie-ID",
"Consent-Status",
"Geräte-\/Browserinformationen",
"Storage-Key-Metadaten"
],
"operator_action": "Cookie-Erklärung und Consent-Regeln mit tatsächlichen Cookies\/Storage-Einträgen abgleichen.",
"legal_basis_hint": "TDDDG\/ePrivacy: technische Erforderlichkeit oder Einwilligung; DSGVO-Rechtsgrundlage je Zweck prüfen.",
"security_measures_hint": "HTTPS\/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.",
"processor_or_recipient_count": 1
},
{
"name": "Betroffenenrechte- und Datenschutzanfragen",
"purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.",
"evidence": "Betroffenenrechte-Readiness: 12\/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
"transfer": "Kein Drittlandtransfer ohne eingesetztes Ticket-\/Mail-\/Portal-System; Betreiber prüfen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"confidence": 74,
"recipients": [
"interne Datenschutz-\/Legal-\/Fachbereichsteams"
],
"risk_level": "mittel",
"activity_id": "privacy_rights_requests",
"data_subjects": [
"Website-Besucher"
],
"dpia_relevance": "nicht_naheliegend",
"retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.",
"controller_hint": "klausurgutachten.de",
"data_categories": [
"Identitätsbezug",
"Kontaktinformationen",
"Anfragetyp",
"Kommunikationsinhalte"
],
"operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.",
"legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.",
"security_measures_hint": "HTTPS\/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.",
"processor_or_recipient_count": 1
}
],
"disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleiteter RoPA-Entwurf. Interne Systeme, Fachprozesse und verbindliche Rechtsgrundlagen müssen Betreiber ergänzen.",
"activity_count": 2,
"open_questions": [
"Wer ist rechtlich Verantwortlicher und wer sind interne Prozess-Owner je Aktivität?",
"Welche konkrete Rechtsgrundlage gilt je Zweck und Datenkategorie?",
"Welche Löschfrist ist fachlich\/rechtlich verbindlich?",
"Welche Systeme speichern die Daten tatsächlich außerhalb der öffentlich sichtbaren Website?",
"Welche Auftragsverarbeiter, Unterauftragsverarbeiter und Transferinstrumente sind vertraglich dokumentiert?",
"Welche TOMs und Zugriffsbeschränkungen gelten je Verarbeitung?"
],
"controller_hint": "klausurgutachten.de",
"high_risk_count": 0,
"priority_actions": [
"RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.",
"Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.",
"RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren."
],
"source_artifacts": [
"privacy_notice_draft",
"cookie_declaration_document",
"vendor_processor_register",
"privacy_rights_readiness",
"dpia_screening",
"browser_analysis"
],
"open_question_count": 6
},
"regulatory_watch_readiness": {
"rows": [
{
"id": "official_sources",
"label": "Offizielle Quellen und Regulatorik-Links vorhanden",
"owner": "Datenschutz\/Legal",
"action": "Offizielle DACH-\/EU-Quellen je Prüfbereich pflegen und im Report verlinken.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"cadence": "monatlich",
"evidence": "8 Quellen, 4 offiziell eingeordnet.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
},
{
"id": "dach_profile",
"label": "DACH\/EU-Prüfprofil gesetzt",
"owner": "Compliance",
"action": "Betreiberregion, Zielregion, Website-Typ und Zielgruppe je Domain bestätigen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"cadence": "monatlich",
"evidence": "Prüfprofil Deutschland -> DACH: Allgemeine Website, Zielgruppe Gemischte Zielgruppe. 4 Schwerpunkt(e) für Betreiber priorisiert.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
},
{
"id": "obligation_traceability",
"label": "Befunde auf Pflichten und Guides rückverfolgbar",
"owner": "Datenschutz\/IT",
"action": "Jeden kritischen Befund mit Quelle, Pflicht, Evidence, Owner und Behebungs-Guide verbinden.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"cadence": "monatlich",
"evidence": "3 Rechtsgrundlagenzeile(n), 8 Quellenzeile(n).",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "change_monitoring",
"label": "Wiederholungsscans und Change-Alerts angebunden",
"owner": "Compliance\/IT",
"action": "Regulatorische Prüfpunkte bei neuen Cookies, Anbietern, Formularen, AI-\/Profiling-Use-Cases und Rechtsänderungen erneut bewerten.",
"passed": false,
"status": "fehlt",
"weight": 12,
"cadence": "laufend",
"evidence": "Alerts 0, Change-Log-Zeilen 0.",
"guide_url": "\/monitoring",
"manual_review": false
},
{
"id": "risk_prioritization",
"label": "Regulatorische Risiken priorisiert",
"owner": "Programm-Owner",
"action": "Regulatorische Watchlist nach Risiko, Frist, Owner und Audit-Nachweis priorisieren.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"cadence": "monatlich",
"evidence": "Top-Risiken 8, Risikolevel hoch.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
},
{
"id": "regulatory_owner",
"label": "Owner und Review-Kadenz definiert",
"owner": "DSB\/Legal",
"action": "Legal\/DSB, Website-Betrieb, Marketing, Security und Product als feste Owner für regulatorische Änderungen benennen.",
"passed": false,
"status": "prüfen",
"weight": 10,
"cadence": "quartalsweise",
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": true
},
{
"id": "source_freshness",
"label": "Quellenstand und Auswirkungsbewertung versioniert",
"owner": "Compliance",
"action": "Quelle, Abrufdatum, betroffene Domains, geänderte Pflicht und Umsetzungsticket versionieren.",
"passed": false,
"status": "prüfen",
"weight": 10,
"cadence": "bei Änderung",
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": true
},
{
"id": "authority_intake",
"label": "Behörden-\/Rechtsprechungs-Intake für DACH\/EU",
"owner": "Datenschutz\/Legal",
"action": "DSK, BfDI\/Landesbehörden, EDPB, EUR-Lex, BSI und BFSG\/WCAG-Quellen als Watchlist führen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"cadence": "monatlich",
"evidence": "Offizielle Quellen 4; Schwerpunkt(e): BFSG\/WCAG, BSI\/Sicherheit, Barrierefreiheit, Consent, DDG\/Anbieterkennzeichnung, DSGVO Rechtsgrundlagen.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
},
{
"id": "management_digest",
"label": "Management-Digest für regulatorische Änderungen",
"owner": "Programm-Owner",
"action": "Monatlichen Digest mit neuen Risiken, behobenen Befunden, offenen Rechtsfragen und nächsten Entscheidungen erzeugen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"cadence": "monatlich",
"evidence": "Monitoring-Alert: ruhig. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta 0.",
"guide_url": "\/datenschutz-webseiten-report\/",
"manual_review": false
}
],
"score": 58,
"status": "ausbaufähig",
"summary": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 4,
"disclaimer": "Automatisch aus SaferPage-Quellenmatrix und Scan-Evidenz abgeleiteter Regulatory-Watch-Entwurf. Er ersetzt keine Rechtsberatung, kein kostenpflichtiges Rechtsmonitoring und keine verbindliche Behördenauslegung.",
"check_count": 9,
"obligations": [
{
"id": "dsk_digitale_dienste",
"area": "TDDDG\/ePrivacy",
"owner": "Datenschutz\/Legal",
"status": "prüfen",
"evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"relevance": "Einordnung von Cookies, ähnlichen Technologien, Einwilligung und Endgerätezugriff.",
"source_url": "https:\/\/www.datenschutzkonferenz-online.de\/media\/oh\/OH_Digitale_Dienste.pdf",
"source_name": "DSK Orientierungshilfe digitale Dienste",
"review_cadence": "monatlich",
"operator_action": "Nicht notwendige Cookies, Web Storage, Tags und Trackingkontakte vor Einwilligung blockieren und Ablehnen\/Widerruf nachweisen."
},
{
"id": "gdpr_art6",
"area": "DSGVO Rechtsgrundlagen",
"owner": "Datenschutz\/Legal",
"status": "prüfen",
"evidence": "3 Einwilligungs-\/Rechtsgrundlagenzeile(n), 3 unklar\/prüfen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"relevance": "Rechtsgrundlage für jede Verarbeitung, insbesondere Tracking, Drittanbieter und Formulare.",
"source_url": "https:\/\/eur-lex.europa.eu\/eli\/reg\/2016\/679\/oj",
"source_name": "DSGVO Art. 6",
"review_cadence": "monatlich",
"operator_action": "Zwecke, Datenarten, Empfänger und Rechtsgrundlagen in Datenschutzerklärung und interner Dokumentation abgleichen."
},
{
"id": "bsi_web_tls_headers",
"area": "BSI\/Sicherheit",
"owner": "Datenschutz\/Legal",
"status": "prüfen",
"evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.",
"guide_url": "\/guides\/security-header-setzen",
"relevance": "Transportverschlüsselung, Webserver-Härtung und Security-Header sind Datenschutz-Schutzmaßnahmen.",
"source_url": "https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Mindeststandards\/Mindeststandard_BSI_TLS_Version_2_3.pdf",
"source_name": "BSI TLS-Mindeststandard und IT-Grundschutz Webserver\/Webanwendungen",
"review_cadence": "quartalsweise",
"operator_action": "Fehlende Security-Header, CSP und TLS-\/HSTS-Konfiguration gemäß Betreiber-Guide nachziehen."
},
{
"id": "wcag_eaa_bitv",
"area": "Barrierefreiheit",
"owner": "Datenschutz\/Legal",
"status": "prüfen",
"evidence": "1 WCAG-\/EAA-Prüfpunkt(e) auffällig, davon 0 mit hoher Auswirkung.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"relevance": "Barrierefreie Bedienung von Formularen, Cookie-Bannern, Navigation und Inhalten.",
"source_url": "https:\/\/www.w3.org\/TR\/WCAG22\/",
"source_name": "WCAG 2.2 \/ BFIT \/ European Accessibility Act",
"review_cadence": "quartalsweise",
"operator_action": "Alt-Texte, Labels, Button-Namen, Tastaturbedienung und Cookie-Banner-Barrierefreiheit prüfen."
},
{
"id": "saferpage_bfsg_wcag",
"area": "SaferPage Regelwerks-Scorecard",
"owner": "Datenschutz\/Legal",
"status": "einzelne Hinweise",
"evidence": "Score 94 · 1 Befund(e).",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"relevance": "Barrierefreiheit, Tastatur-\/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.",
"source_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
"source_name": "BFSG\/WCAG",
"review_cadence": "quartalsweise",
"operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
},
{
"id": "saferpage_bsi_security",
"area": "SaferPage Regelwerks-Scorecard",
"owner": "Datenschutz\/Legal",
"status": "prüfen",
"evidence": "Score 62 · 5 Befund(e).",
"guide_url": "\/guides\/security-header-setzen",
"relevance": "TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.",
"source_url": "\/guides\/security-header-setzen",
"source_name": "BSI\/Security",
"review_cadence": "quartalsweise",
"operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
},
{
"id": "saferpage_gdpr",
"area": "SaferPage Regelwerks-Scorecard",
"owner": "Datenschutz\/Legal",
"status": "prüfen",
"evidence": "Score 72 · 2 Befund(e).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"relevance": "Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.",
"source_url": "\/guides\/datenschutzerklaerung-verbessern",
"source_name": "DSGVO",
"review_cadence": "quartalsweise",
"operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
},
{
"id": "saferpage_tdddg_eprivacy",
"area": "SaferPage Regelwerks-Scorecard",
"owner": "Datenschutz\/Legal",
"status": "keine priorisierten Hinweise",
"evidence": "Score 100 · 0 Befund(e).",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"relevance": "Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.",
"source_url": "\/guides\/tracking-und-consent-reparieren",
"source_name": "TDDDG\/ePrivacy",
"review_cadence": "quartalsweise",
"operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
}
],
"watch_tasks": [
{
"id": "monthly_dach_review",
"task": "DSK, EDPB, BfDI\/Landesbehörden, EUR-Lex und BSI-Quellen gegen offene SaferPage-Befunde prüfen.",
"owner": "Datenschutz\/Legal",
"cadence": "monatlich",
"evidence": "Review-Protokoll mit Quellenlinks, betroffenen Domains und Entscheidung."
},
{
"id": "release_gate",
"task": "Neue Cookies, Anbieter, Formulare, AI-\/Profiling-Funktionen und Präferenzflüsse vor Go-live gegen Quellenmatrix prüfen.",
"owner": "Website-Betrieb\/Marketing",
"cadence": "bei jedem Website-Release",
"evidence": "Release-Checkliste, Scan-ID, Exportpaket und Freigabe."
},
{
"id": "quarterly_management_digest",
"task": "Management-Digest mit Risikoänderungen, offenen Rechtsfragen, Umsetzungsstand und Entscheidungen erstellen.",
"owner": "Programm-Owner",
"cadence": "quartalsweise",
"evidence": "Digest, Ticketliste, Maturity-Score und priorisierte Roadmap."
}
],
"passed_count": 5,
"source_count": 8,
"profile_status": "deutschland_eu",
"obligation_count": 8,
"priority_actions": [
"Regulatorische Prüfpunkte bei neuen Cookies, Anbietern, Formularen, AI-\/Profiling-Use-Cases und Rechtsänderungen erneut bewerten.",
"Legal\/DSB, Website-Betrieb, Marketing, Security und Product als feste Owner für regulatorische Änderungen benennen.",
"Quelle, Abrufdatum, betroffene Domains, geänderte Pflicht und Umsetzungsticket versionieren.",
"DSK, BfDI\/Landesbehörden, EDPB, EUR-Lex, BSI und BFSG\/WCAG-Quellen als Watchlist führen."
],
"source_artifacts": [
"regulatory_source_matrix",
"compliance_profile",
"legal_basis_matrix",
"operator_risk_analysis",
"monitoring_alert_digest",
"change_log"
],
"official_source_count": 4
},
"cookie_declaration_document": {
"host": "klausurgutachten.de",
"rows": [
{
"kind": "storage",
"name": "i18nextLng",
"party": "Browser Storage",
"domain": "klausurgutachten.de",
"source": "localStorage",
"purpose": "Zweck aus dem Keynamen nicht sicher bestimmbar.",
"category": "unknown",
"lifetime": "dauerhaft bis Löschung durch Nutzer\/Browser",
"provider": "Eigene Website oder eingebundener Dienst",
"pre_consent": true,
"category_label": "Unklassifiziert",
"consent_status": "unklar_pruefen",
"legal_basis_hint": "Zweck, Speicherdauer und Einwilligungsbedarf klären.",
"recommended_action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen.",
"consent_requirement": "unklar, prüfen"
},
{
"kind": "storage",
"name": "ksga-static-content",
"party": "Browser Storage",
"domain": "klausurgutachten.de",
"source": "localStorage",
"purpose": "Zweck aus dem Keynamen nicht sicher bestimmbar.",
"category": "unknown",
"lifetime": "dauerhaft bis Löschung durch Nutzer\/Browser",
"provider": "Eigene Website oder eingebundener Dienst",
"pre_consent": true,
"category_label": "Unklassifiziert",
"consent_status": "unklar_pruefen",
"legal_basis_hint": "Zweck, Speicherdauer und Einwilligungsbedarf klären.",
"recommended_action": "Zweck und Speicherdauer klären; bis zur Klärung nicht für Tracking oder Profilbildung nutzen.",
"consent_requirement": "unklar, prüfen"
}
],
"color": "yellow",
"score": 88,
"status": "prüfen",
"summary": "Cookie-Erklärung mit 2 Eintrag\/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 2 unklassifiziert.",
"available": true,
"row_count": 2,
"disclaimer": "Automatisch aus SaferPage-Cookie- und Web-Storage-Signalen abgeleitet; Kategorien und Zwecke vor Veröffentlichung fachlich prüfen.",
"cookie_count": 0,
"generated_at": "2026-06-07T12:25:06+00:00",
"storage_count": 2,
"unknown_count": 2,
"priority_fixes": [
"2 unklassifizierte Einträge mit Zweck, Anbieter und Laufzeit nachpflegen."
],
"category_sections": [
{
"count": 2,
"label": "Unklassifiziert",
"description": "Zweck oder Erforderlichkeit aus dem technischen Scan nicht sicher bestimmbar."
}
],
"consent_required_count": 0,
"pre_consent_required_count": 0
},
"evidence_integrity_manifest": {
"host": "klausurgutachten.de",
"status": "verfügbar",
"summary": "Integritätsmanifest für klausurgutachten.de: 9\/9 Nachweisbereich(e) mit SHA-256-Hash dokumentiert.",
"sections": [
{
"id": "audit_receipt",
"hash": "5d44fc8bbf2f51073db88a6f7bea6599cc6c3048c0a89e78824f52663fd0367f",
"count": 18,
"label": "Prüfbeleg",
"detail": "Kanonischer JSON-Hash des kompakten Prüfbelegs.",
"status": "verfügbar"
},
{
"id": "protocol",
"hash": "5a2b110bfe49fb3a7d5fdd93b0db0da3c770582d570230543dde9da787090205",
"count": 15,
"label": "Scan-Protokoll",
"detail": "URL, Endziel, User-Agent, Zeitstempel, HTTP\/DNS\/TLS und Renderer.",
"status": "verfügbar"
},
{
"id": "checkpoints",
"hash": "ccd188d809f809111fc79c13d62fd75cf8a9521da18dbf429abee276cf82c04e",
"count": 6,
"label": "Prüfschritte",
"detail": "Kanonischer JSON-Hash der dokumentierten Prüfstationen.",
"status": "verfügbar"
},
{
"id": "consent_states",
"hash": "4c6fd8288209437d4d29b7db6ad596252434052f1571b72aba7b0bcdb0aed8a7",
"count": 4,
"label": "Consent-Zustände",
"detail": "Default-, Ablehnen-, Akzeptieren- und GPC-Nachweise soweit verfügbar.",
"status": "verfügbar"
},
{
"id": "third_party_evidence",
"hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
"count": 0,
"label": "Drittanbieter-Auszug",
"detail": "Sanitisierte Anbieter-, Kategorie-, Transfer- und Request-Zählwerte.",
"status": "leer"
},
{
"id": "cookie_evidence",
"hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
"count": 0,
"label": "Cookie-Auszug",
"detail": "Sanitisierte Cookie-Metadaten ohne Cookie-Werte.",
"status": "leer"
},
{
"id": "request_samples",
"hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
"count": 0,
"label": "Request-Samples",
"detail": "Sanitisierte Drittanbieter-Samples ohne vollständige Request-URLs.",
"status": "leer"
},
{
"id": "checked_pages",
"hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
"count": 0,
"label": "Geprüfte Unterseiten",
"detail": "Priorisierte Pfade aus Sitemap, Pflichtseiten und interner Linkstruktur.",
"status": "leer"
},
{
"id": "screenshot_file",
"hash": "e8b5c32856d38d86a497333b891c1edb4796126748cbbf93c415f549609f7d0f",
"count": 2173,
"label": "100x100 Screenshot-Datei",
"detail": "\/cache\/screenshots\/klausurgutachten.de-100x100-601b62ecaccbb4ec41.png",
"status": "verfügbar"
}
],
"algorithm": "sha256",
"available": true,
"root_hash": "bf3a5f37fa9287a1b542ad74683a05473c42c1540e785b8c96f8c704411f00d3",
"checked_at": "2026-06-07T12:25:06+00:00",
"limitations": [
"Das Manifest schützt die im Report veröffentlichten\/sanitisierten Nachweise, nicht verdeckte Cookie-Werte oder vollständige Request-URLs.",
"Ohne externe qualifizierte Zeitstempelung beweist der Hash Integrität des exportierten Artefakts, aber keine amtliche Zustellung."
],
"section_count": 9,
"canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; Screenshot als rohe Datei-Bytes.",
"verification_steps": [
"JSON-Export speichern und den jeweiligen Abschnitt kanonisch mit sortierten Schlüsseln serialisieren.",
"SHA-256 des kanonischen Abschnitts bilden und mit dem Manifest vergleichen.",
"Screenshot-Datei separat als rohe Datei-Bytes hashen, falls ein Screenshot-Artefakt vorhanden ist.",
"Bei einem Wiederholungsscan Root-Hash, Zeitstempel und Abschnitts-Hashes getrennt vergleichen."
],
"available_hash_count": 9
},
"preference_center_readiness": {
"rows": [
{
"id": "preference_entrypoint",
"label": "Präferenz-\/Einstellungszugang sichtbar",
"owner": "UX\/Marketing",
"action": "Cookie-\/Privacy-Einstellungen dauerhaft auffindbar machen, nicht nur im Erstbanner.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"evidence": "Einstellungen-Controls 0, Datenschutzhinweis-Link ja.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "reject_and_withdraw",
"label": "Ablehnen und Widerruf gleichwertig erreichbar",
"owner": "Marketing\/IT",
"action": "Ablehnen- und Widerrufspfad technisch testen; nach Ablehnen dürfen keine neuen nicht notwendigen Kontakte\/Cookies entstehen.",
"passed": false,
"status": "fehlt",
"weight": 16,
"evidence": "Ablehnen verfügbar nein, geklickt nein, neue Cookies 0, neue Datenschutz-Domains 0.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "purpose_granularity",
"label": "Zwecke und Kategorien granular steuerbar",
"owner": "Datenschutz\/Marketing",
"action": "Präferenzen nach notwendigen, Statistik-, Marketing-, externen Medien-, Profiling- und Kommunikationszwecken trennen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Kategorien 1, TCF-Zwecksignale 0, Einstellungen 0.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "consent_evidence_log",
"label": "Auditfähige Consent-Zustände und Nachweise",
"owner": "Compliance\/IT",
"action": "Consent-ID, Zeitpunkt, Version, Zwecke, Quelle, Region und Widerruf als Nachweis im Betreiber-System protokollieren.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"evidence": "Consent-State-Zeilen 4, Prüfbeleg ja.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "gpc_optout",
"label": "GPC\/Do-not-sell-or-share\/Opt-out berücksichtigt",
"owner": "Datenschutz\/Marketing",
"action": "GPC und Opt-out-Signale in CMP\/Tags respektieren und als eigenen Nachweiszustand speichern.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "GPC-Test aktiv, Datenschutz-Domains 0.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "cookie_declaration_link",
"label": "Cookie-\/Storage-Erklärung mit Consent-Erfordernis",
"owner": "Datenschutz\/Content",
"action": "Jede Präferenz mit Zweck, Anbieter, Laufzeit, Rechtsgrundlage und Widerrufspfad in Cookie-\/Privacy-Hinweisen spiegeln.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "2 Cookie-\/Storage-Zeile(n), 3 einwilligungsbezogene Verarbeitung(en).",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"manual_review": false
},
{
"id": "cross_channel_preferences",
"label": "Kommunikations- und First-Party-Präferenzen abbilden",
"owner": "CRM\/Marketing\/Datenschutz",
"action": "Newsletter, Kontakt, Kundenkonto, Produktinteressen, sensible Daten und Marketingkanäle im Preference Center als getrennte Optionen abbilden.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Formulare nein, Widerruf\/Widerspruch im Hinweis ja.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "downstream_sync",
"label": "Downstream-Sync in CRM, Tags und Anbieter-Systeme",
"owner": "IT\/CRM",
"action": "Präferenzänderungen in Echtzeit an Tag Manager, CRM, E-Mail\/SMS, Support und Vendor-Systeme synchronisieren und Fehler queue-basiert nacharbeiten.",
"passed": false,
"status": "prüfen",
"weight": 8,
"evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": true
},
{
"id": "versioning_localization",
"label": "Versionierung, Region und Sprache je Präferenz",
"owner": "Compliance\/IT",
"action": "Preference-Center-Konfigurationen mit Version, Sprache, Region, Rechtsraum und Änderungsdatum verwalten.",
"passed": false,
"status": "fehlt",
"weight": 6,
"evidence": "CMP erkannt nein, Prüfbeleg ja.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
}
],
"score": 60,
"status": "ausbaufähig",
"summary": "Preference-Center-Readiness 60\/100; 5\/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 4,
"disclaimer": "Aus Website- und Browser-Evidenz abgeleitete Preference-Center-Readiness. Interne Consent-Logs, CRM-Syncs und Nutzerkonten kann SaferPage nur als Betreiber-Nachweis anfordern, nicht öffentlich beweisen.",
"check_count": 9,
"topic_count": 4,
"cmp_detected": false,
"passed_count": 5,
"priority_actions": [
"Ablehnen- und Widerrufspfad technisch testen; nach Ablehnen dürfen keine neuen nicht notwendigen Kontakte\/Cookies entstehen.",
"Newsletter, Kontakt, Kundenkonto, Produktinteressen, sensible Daten und Marketingkanäle im Preference Center als getrennte Optionen abbilden.",
"Präferenzänderungen in Echtzeit an Tag Manager, CRM, E-Mail\/SMS, Support und Vendor-Systeme synchronisieren und Fehler queue-basiert nacharbeiten.",
"Preference-Center-Konfigurationen mit Version, Sprache, Region, Rechtsraum und Änderungsdatum verwalten."
],
"reject_effective": false,
"source_artifacts": [
"consent_audit",
"consent_banner_ux_analysis",
"browser_analysis",
"cookie_declaration_document",
"legal_basis_matrix",
"audit_receipt"
],
"preference_topics": [
{
"id": "cookies_tracking",
"label": "Cookies, Tracker und Gerätezugriff",
"owner": "Marketing\/IT",
"scope": "Cookie-Banner, CMP, Tag Manager, externe Skripte",
"status": "aufbauen",
"evidence": "CMP nein, Einstellungen 0, Cookie-Zeilen 2.",
"withdrawal_path": "Dauerhafter Cookie-Einstellungslink und Reject-Test.",
"legal_basis_hint": "Einwilligung für nicht notwendige Zwecke; technisch notwendige Zwecke dokumentieren."
},
{
"id": "communications",
"label": "Newsletter, Kontakt und Kommunikationspräferenzen",
"owner": "CRM\/Support",
"scope": "Newsletter, Kontaktformular, Support, Kundenkonto",
"status": "nicht eindeutig erkannt",
"evidence": "Formulare 0, Datenschutzkontext nein.",
"withdrawal_path": "Abmelden, Widerspruch, Kanal-\/Themenauswahl und Sperrliste.",
"legal_basis_hint": "Einwilligung, Vertrag oder berechtigtes Interesse je Kanal\/Zweck trennen."
},
{
"id": "profiling_ai_ads",
"label": "Personalisierung, Profiling, Ads und AI-Training",
"owner": "Marketing\/Product\/Legal",
"scope": "Werbung, Analytics, Profiling, AI-\/Model-Training, Lookalike Audiences",
"status": "prüfen",
"evidence": "Consent-Bezug 3, TCF-Vendors 0.",
"withdrawal_path": "Profiling-\/Ads-\/AI-Nutzung getrennt steuerbar machen.",
"legal_basis_hint": "Einwilligung\/Opt-out, Art.-22-\/AI-Bezug und Zweckbindung prüfen."
},
{
"id": "sensitive_data",
"label": "Sensible Daten und besondere Zwecke",
"owner": "Datenschutz\/Fachbereich",
"scope": "Gesundheit, Bewerbungen, Kinder, Finanzdaten, genaue Standortdaten",
"status": "Betreiber prüfen",
"evidence": "Öffentlicher Scan kann interne besondere Datenkategorien nur begrenzt erkennen.",
"withdrawal_path": "Spezifische Einwilligung, Widerruf und Lösch-\/Sperrprozess.",
"legal_basis_hint": "Ausdrückliche Einwilligung oder besondere Rechtsgrundlage; Datenminimierung."
}
],
"consent_state_count": 4,
"evidence_requirements": [
{
"id": "consent_record",
"why": "Auditfähigkeit braucht mehr als ein Banner: Zeitpunkt, Zweck, Version, Quelle, Region und Widerruf müssen nachvollziehbar sein.",
"label": "Consent-\/Preference-Datensatz",
"owner": "Compliance\/IT",
"status": "teilweise",
"expected_evidence": "Consent-ID, gehashter Nutzerbezug, Zweckliste, Banner-\/Notice-Version, Timestamp, Region, Quelle, Widerrufszeitpunkt."
},
{
"id": "sync_log",
"why": "Präferenzen müssen in CRM, E-Mail, Tagging, Support und Vendor-Systemen tatsächlich wirken.",
"label": "Downstream-Sync-Protokoll",
"owner": "IT\/CRM",
"status": "manuell prüfen",
"expected_evidence": "Sync-Zielsysteme, letzte erfolgreiche Übertragung, Fehlerqueue, Retry-Log und manuelle Korrektur."
},
{
"id": "withdrawal_test",
"why": "Widerruf muss so einfach wirken wie Erteilung und technisch belegbar sein.",
"label": "Widerrufs- und Reject-Test",
"owner": "Marketing\/IT",
"status": "fehlt",
"expected_evidence": "Browser-Test Default\/Ablehnen\/Akzeptieren\/GPC, Tag-Diff, Cookie-Diff und Screenshot des Einstellungswegs."
}
],
"settings_control_count": 0,
"evidence_requirement_count": 3
},
"retention_deletion_readiness": {
"rows": [
{
"id": "retention_notice",
"label": "Speicherfristen und Löschung im Datenschutzhinweis",
"owner": "Datenschutz\/Content",
"action": "Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "cookie_retention",
"label": "Cookie-\/Storage-Laufzeiten bewertet",
"owner": "Marketing\/IT",
"action": "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Cookies 2, fehlende Laufzeit 0, Retention-Risiken 0, langlebige Hinweise 2.",
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
"manual_review": false
},
{
"id": "data_inventory_retention",
"label": "Dateninventar mit Datenarten und Systemen",
"owner": "Datenschutz\/IT",
"action": "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA\/Data Map ergänzen.",
"passed": false,
"status": "fehlt",
"weight": 14,
"evidence": "2 Verarbeitungstätigkeit(en), 13 Data-Map-Knoten, 0 Datenart(en).",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "legal_basis_retention",
"label": "Rechtsgrundlage, Zweck und Aufbewahrung verknüpft",
"owner": "Datenschutz\/Legal",
"action": "Retention je Zweck\/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "3 Rechtsgrundlagenzeile(n) im Report.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "erasure_workflow",
"label": "Löschanfragen mit DSAR-Workflow verbunden",
"owner": "Datenschutz\/Support\/IT",
"action": "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "DSAR-Workflow-Readiness 38\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "vendor_deletion",
"label": "Vendor-\/Processor-Löschung und Rückgabe steuerbar",
"owner": "Legal\/Vendor Owner",
"action": "AVV\/DPA, Rückgabe\/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "backup_legal_hold",
"label": "Backups, Legal Hold und Ausnahmen geregelt",
"owner": "Legal\/IT",
"action": "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.",
"passed": false,
"status": "prüfen",
"weight": 8,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": true
},
{
"id": "minimization_trigger",
"label": "Datenminimierung und Löschtrigger bei Formularen",
"owner": "Fachbereich\/Datenschutz",
"action": "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-\/Support-Weitergabe prüfen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Formulare 0, Datenschutzkontext nein.",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
"manual_review": false
},
{
"id": "deletion_evidence",
"label": "Löschprotokoll und Integritätsnachweis",
"owner": "Compliance\/IT",
"action": "Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-\/Audit-Nachweis protokollieren.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "change_monitoring",
"label": "Change Trigger für Retention-Risiken",
"owner": "Datenschutz\/IT",
"action": "Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Alerts 0, Regulatory-Pflichten 8.",
"guide_url": "\/monitoring",
"manual_review": false
}
],
"score": 58,
"status": "ausbaufähig",
"summary": "Retention-\/Deletion-Readiness 58\/100; 6\/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 4,
"disclaimer": "Automatisch aus öffentlicher Website-Evidenz und SaferPage-Artefakten abgeleitete Retention-\/Deletion-Readiness. Interne Systeme, Backups, gesetzliche Aufbewahrung und tatsächliche Löschläufe muss der Betreiber fachlich ergänzen.",
"check_count": 10,
"cookie_count": 2,
"passed_count": 6,
"schedule_count": 4,
"priority_actions": [
"Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA\/Data Map ergänzen.",
"Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.",
"AVV\/DPA, Rückgabe\/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.",
"Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren."
],
"source_artifacts": [
"cookie_inventory",
"cookie_declaration_document",
"privacy_notice_draft",
"processing_activity_record",
"data_flow_map",
"vendor_due_diligence",
"dsar_workflow_readiness",
"legal_basis_matrix",
"monitoring_alert_digest"
],
"deletion_workflow": [
{
"id": "identify",
"owner": "Datenschutz\/Support",
"phase": "Identifizieren",
"action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.",
"timebox": "Tag 0-3",
"evidence": "DSAR-Ticket, RoPA\/Data Map, Vendor Register."
},
{
"id": "hold_check",
"owner": "Legal\/Fachbereich",
"phase": "Legal Hold & Aufbewahrung",
"action": "Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.",
"timebox": "Tag 3-7",
"evidence": "Hold-Entscheidung, Rechtsgrund, Sperrvermerk."
},
{
"id": "execute",
"owner": "IT\/Vendor Owner",
"phase": "Löschung \/ Sperrung",
"action": "System- und Vendor-Aufgaben ausführen, Backups\/Archive nach Retention-Regel behandeln.",
"timebox": "Tag 7-21",
"evidence": "Löschlauf, Vendor-Bestätigung, technische Logs."
},
{
"id": "verify",
"owner": "Datenschutz\/Compliance",
"phase": "Nachweis & Antwort",
"action": "Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.",
"timebox": "bis Tag 30",
"evidence": "Deletion-Log, Abschlussnotiz, Antwortkopie."
}
],
"retention_schedule": [
{
"id": "cookies_storage",
"owner": "Marketing\/IT",
"source": "Browser-\/Cookie-Inventar",
"evidence": "2 Cookie-\/Storage-Eintrag\/Einträge; Retention-Risiken 0.",
"data_category": "Cookies, LocalStorage und SessionStorage",
"deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung",
"default_retention": "Session bis 13 Monate je Zweck prüfen"
},
{
"id": "contact_forms",
"owner": "Fachbereich\/Datenschutz",
"source": "Formular- und Datenartenanalyse",
"evidence": "Formulare 0, Datenarten 0.",
"data_category": "Kontakt-, Newsletter- und Formularangaben",
"deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage",
"default_retention": "Zweckende plus notwendige Nachweis-\/Verjährungsfrist"
},
{
"id": "vendor_logs",
"owner": "Vendor Owner\/Legal",
"source": "Vendor Register \/ Data Map",
"evidence": "0 Anbieter, 0 DPA-Prüfungen.",
"data_category": "Drittanbieter-, Tracking- und Supportdaten",
"deletion_trigger": "Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende",
"default_retention": "Nach Anbieterzweck, AVV\/DPA und Transferprüfung"
},
{
"id": "security_audit_logs",
"owner": "Compliance\/IT",
"source": "Audit Receipt \/ Evidence Pack",
"evidence": "Prüfbeleg und Hash-Manifest als Nachweisquelle.",
"data_category": "Security-, Consent- und Audit-Nachweise",
"deletion_trigger": "Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt",
"default_retention": "Nachweispflicht und Sicherheitsbedarf fachlich festlegen"
}
],
"workflow_step_count": 4,
"retention_risk_count": 2,
"evidence_requirements": [
{
"id": "retention_matrix",
"label": "Retention Matrix",
"owner": "Datenschutz\/Legal",
"status": "vorbereitet",
"expected_evidence": "Datenkategorie, Zweck, Rechtsgrundlage, Speicherfrist, Löschtrigger, Owner."
},
{
"id": "deletion_log",
"label": "Deletion Log",
"owner": "Compliance\/IT",
"status": "Betreiber-Nachweis",
"expected_evidence": "Ticket, Suchlauf, Lösch-\/Sperraktion, Ausnahmen, Vendor-Antworten, Abschluss."
},
{
"id": "vendor_certificate",
"label": "Vendor-Löschbestätigung",
"owner": "Vendor Owner\/Legal",
"status": "nicht einschlägig",
"expected_evidence": "AVV\/DPA-Klausel, Löschbestätigung, Subprozessor-Rückmeldung, Backup-Frist."
},
{
"id": "backup_policy",
"label": "Backup-\/Archiv-Regel",
"owner": "IT\/Legal",
"status": "Betreiber-Nachweis",
"expected_evidence": "Backup-Retention, Restore-Sperre, Legal Hold, endgültige Löschung nach Fristablauf."
}
]
},
"scan_configuration_readiness": {
"rows": [
{
"id": "transparent_user_agent",
"label": "Crawler\/User-Agent transparent",
"owner": "IT\/Compliance",
"action": "User-Agent mit Kontakt-\/Bot-URL beibehalten und in Betreiberhinweisen erklären.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "User-Agent: SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests); Bot-Seite https:\/\/saferpage.de\/bot.",
"guide_url": "\/bot",
"manual_review": false
},
{
"id": "headless_chromium",
"label": "Headless-Chromium-Browserlauf dokumentiert",
"owner": "IT",
"action": "Browserlauf, Screenshot und Netzwerkbelege als Standardnachweis weiterführen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Renderer playwright-chromium, Browser-Requests 15.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "sitemap_scope",
"label": "Sitemap und interne Linkziele im Scope",
"owner": "Website-Betrieb",
"action": "Sitemap, Footer, Datenschutz, Impressum, Kontakt und Formularseiten als Crawl-Scope pflegen.",
"passed": false,
"status": "fehlt",
"weight": 12,
"evidence": "Sitemap-URLs 0, Sitemap-Quellen 1, interne Linkziele 0.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "prioritized_page_sampling",
"label": "Priorisierte Unterseiten werden geprüft",
"owner": "Datenschutz\/IT",
"action": "Pflichtseiten, Formularseiten und Cookie-\/Datenschutzseiten regelmäßig als priorisierte Stichprobe prüfen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "0 Unterseite(n) abgerufen, 0 im Nachweispack, Sample-Limit 4.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "consent_state_simulation",
"label": "Consent-Zustände und GPC im Scanprofil",
"owner": "Marketing\/IT",
"action": "Default, Ablehnen, Akzeptieren und GPC weiter als getrennte Zustände gegen Cookies\/Requests vergleichen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "4 Consent-Zustand\/Zustände im Evidence Pack.",
"guide_url": "\/guides\/tracking-und-consent-reparieren",
"manual_review": false
},
{
"id": "sanitized_request_samples",
"label": "Sanitisierte Request-Samples statt Rohdaten",
"owner": "Security\/Datenschutz",
"action": "Sanitisierung beibehalten: keine Cookie-Werte, keine vollständigen Request-URLs, aber genug Beleg für Betreiberentscheidungen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "0 Request-Sample(s); Nachweise enthalten keine vollständigen Request-URLs.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "recrawl_monitoring",
"label": "Wiederholungsscans und Monitoring-Alerts angebunden",
"owner": "Compliance\/IT",
"action": "Wiederholungsscans mit Alert-Routing und Historie als festen Betriebsprozess nutzen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Alerts 0, Historie 2, Hash-Chain-Zeilen 2.",
"guide_url": "\/monitoring",
"manual_review": false
},
{
"id": "dach_crawler_queue",
"label": "DACH-\/Deutschraum-Crawler operationalisiert",
"owner": "IT\/Redaktion",
"action": "Deutschsprachige Seed-Listen, Refresh-Grenzen, Parallelität und Fehlerquote überwachen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Queue 60, deutschsprachige Checks 89, besucht 139, refreshed 0\/0.",
"guide_url": "\/tests",
"manual_review": false
},
{
"id": "crawl_performance_guardrails",
"label": "Performance-Grenzen für schonende Scans",
"owner": "IT",
"action": "Concurrency, Timeout, Delay und Sample-Limits je Zielgruppe dokumentieren und bei großen Crawls vorsichtig erhöhen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Sample-Limit 4, Evidence-Pages 0, Crawler-UA SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests).",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "evidence_exportability",
"label": "Scan-Konfiguration exportierbar",
"owner": "Compliance\/IT",
"action": "Scanprofil, Scope, User-Agent, Renderer, Limitierungen und Exportpaket für Audits versioniert speichern.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Prüfbeleg vorhanden, Evidence Pack vorhanden.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "custom_header_allowlist",
"label": "Allowlist-\/Custom-Header-Prozess für Betreiber",
"owner": "IT\/Security",
"action": "Optionalen Betreiber-Header für Whitelisting, Staging-Scans und Login-\/Sonderbereiche als kontrollierten Prozess definieren.",
"passed": false,
"status": "prüfen",
"weight": 8,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/methodik",
"manual_review": true
}
],
"score": 73,
"status": "ausbaufähig",
"summary": "Scan-Configuration-\/Monitoring-Readiness 73\/100; 8\/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder Betreiber-Nachweise offen.",
"available": true,
"gap_count": 3,
"disclaimer": "Automatisch aus Scan-Evidenz und Crawler-Status abgeleitete Scan-Konfigurations-Readiness. Tiefe Scans, Login-Bereiche, Allowlisting und Custom Header brauchen eine ausdrückliche Betreiberfreigabe.",
"check_count": 11,
"crawl_scope": [
{
"id": "homepage",
"source": "Startseite",
"coverage": "geprüft",
"evidence": "https:\/\/berlin.klausurgutachten.de\/",
"next_step": "Startseite als Eintrittspunkt stabil halten."
},
{
"id": "sitemap",
"source": "Sitemap",
"coverage": "nicht erkannt",
"evidence": "0 URL(s), Quellen 1.",
"next_step": "Sitemap aktuell halten und wichtige Datenschutz-\/Formularseiten aufnehmen."
},
{
"id": "internal_links",
"source": "Interne Linkstruktur",
"coverage": "gering",
"evidence": "0 Linkziel(e), 0 abgerufen.",
"next_step": "Pflichtseiten und Nutzerpfade sichtbar verlinken."
},
{
"id": "consent_paths",
"source": "Consent-Pfade",
"coverage": "geprüft",
"evidence": "4 Zustand\/Zustände.",
"next_step": "Ablehnen, Akzeptieren, Einstellungen und GPC je Release testen."
}
],
"scope_count": 4,
"passed_count": 8,
"profile_count": 3,
"config_profiles": [
{
"id": "manual_public",
"label": "Manueller öffentlicher Website-Check",
"owner": "Betreiber\/Prüfer",
"scope": "Startseite, HTTP\/DNS\/TLS, Headless Chromium, Consent-Zustände, Screenshot, priorisierte Unterseiten.",
"status": "aktiv",
"cadence": "bei Bedarf",
"user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)"
},
{
"id": "dach_recrawl",
"label": "Deutschsprachiger Wiederholungscrawler",
"owner": "SaferPage IT",
"scope": "Gespeicherte DACH-\/DE-Seiten, Refresh-Kandidaten, Queue und Monitoring.",
"status": "aktiv",
"cadence": "systemd timer \/ refresh-days",
"user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)"
},
{
"id": "operator_deep_scan",
"label": "Betreiber-Deep-Scan mit Freigabe",
"owner": "Betreiber IT\/Security",
"scope": "Staging, Login-Bereiche, Custom Header, Whitelist, höhere Tiefe.",
"status": "Betreiber-Nachweis",
"cadence": "vor Go-live und nach Releases",
"user_agent": "SaferPageBot\/0.2 (+https:\/\/saferpage.de\/bot; passive website safety check; no attack tests)"
}
],
"priority_actions": [
"Sitemap, Footer, Datenschutz, Impressum, Kontakt und Formularseiten als Crawl-Scope pflegen.",
"Pflichtseiten, Formularseiten und Cookie-\/Datenschutzseiten regelmäßig als priorisierte Stichprobe prüfen.",
"Optionalen Betreiber-Header für Whitelisting, Staging-Scans und Login-\/Sonderbereiche als kontrollierten Prozess definieren."
],
"source_artifacts": [
"audit_evidence_pack",
"site_coverage_analysis",
"monitoring_alert_digest",
"scan_history_analysis",
"scan_history_chain_digest",
"audit_receipt",
"crawler_status"
],
"crawler_queue_count": 60,
"monitoring_controls": [
{
"id": "refresh_policy",
"label": "Refresh-Policy",
"owner": "IT",
"status": "prüfen",
"evidence": "0 Refresh-Scan(s), 0 Kandidat(en)."
},
{
"id": "queue_health",
"label": "Queue Health",
"owner": "IT",
"status": "aktiv",
"evidence": "Queue 60, Fehler 25."
},
{
"id": "alert_routing",
"label": "Alert Routing",
"owner": "Compliance\/IT",
"status": "aufbauen",
"evidence": "0 Monitoring-Alert(s)."
},
{
"id": "public_feeds",
"label": "Öffentliche Monitoring-Feeds",
"owner": "SaferPage",
"status": "vorhanden",
"evidence": "\/monitoring\/feed.json und \/monitoring\/feed.xml."
}
],
"crawler_german_count": 89,
"evidence_requirements": [
{
"id": "scan_profile",
"label": "Scanprofil",
"owner": "IT\/Compliance",
"status": "vorhanden",
"expected_evidence": "User-Agent, Renderer, Kontext, Bot-URL, Zeitstempel und Ziel-URL."
},
{
"id": "crawl_scope_manifest",
"label": "Crawl-Scope-Manifest",
"owner": "Website-Betrieb",
"status": "aufbauen",
"expected_evidence": "Startseite, Sitemap-Quellen, priorisierte Unterseiten, Ausschlüsse und Sampling-Grenzen."
},
{
"id": "recrawl_log",
"label": "Recrawl-\/Monitoring-Log",
"owner": "Compliance\/IT",
"status": "teilweise",
"expected_evidence": "Scan-Historie, Score-Deltas, Alerts, Queue, Fehler und Refresh-Kandidaten."
},
{
"id": "operator_authorization",
"label": "Betreiberfreigabe für Deep-Scans",
"owner": "Betreiber IT\/Security",
"status": "Betreiber-Nachweis",
"expected_evidence": "Freigabe, Allowlist-Header, erlaubte Tiefe, Login-\/Staging-Scope und Rate Limits."
}
],
"monitoring_control_count": 4
},
"accessibility_statement_draft": {
"url": "https:\/\/berlin.klausurgutachten.de\/",
"host": "klausurgutachten.de",
"score": 92,
"status": "Teilweise konform im automatischen Basischeck",
"summary": "Entwurf mit 1 bekannten Barrierefreiheits-Punkt(en) aus dem Scan.",
"standard": "WCAG 2.2 orientierter Basischeck \/ BFSG-Betreiberentwurf",
"available": true,
"disclaimer": "Automatisch aus SaferPage-HTML- und Browser-Signalen abgeleitet; ersetzt keine vollständige BITV-\/WCAG-Prüfung und keine Rechtsberatung.",
"text_blocks": [
{
"text": "Die Website klausurgutachten.de (https:\/\/berlin.klausurgutachten.de\/) wurde mit einem automatisierten SaferPage-Basischeck geprüft. Ergebnis: Teilweise konform im automatischen Basischeck. Der Check orientiert sich an WCAG 2.2-Basissignalen und typischen BFSG\/EAA-Betreiberpflichten.",
"title": "Stand der Vereinbarkeit"
},
{
"text": "Im automatischen Basischeck wurden folgende Punkte als nicht vollständig belegt markiert: Überschriftenstruktur (WCAG 1.3.1 Info and Relationships \/ 2.4.6 Headings and Labels).",
"title": "Nicht barrierefreie Inhalte"
},
{
"text": "Diese Entwurfsfassung wurde aus einem automatisierten technischen Kurzcheck erstellt. Vor Veröffentlichung sollten Tastaturbedienung, Screenreader-Nutzung, Kontraste, Fokusführung, PDFs und eingebundene Dienste manuell geprüft werden.",
"title": "Erstellung dieser Erklärung"
},
{
"text": "Bitte ergänzen Sie eine barrierefreie Kontaktmöglichkeit, über die Nutzer Barrieren melden und Informationen in zugänglicher Form anfordern können.",
"title": "Feedback und Kontakt"
},
{
"text": "Bitte ergänzen Sie die zuständige Durchsetzungs-, Marktüberwachungs- oder Schlichtungsstelle für Ihr Angebot und Ihren Sitz.",
"title": "Durchsetzungsverfahren"
}
],
"generated_at": "2026-06-07T12:25:06+00:00",
"known_issues": [
{
"fix": "Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen.",
"wcag": "WCAG 1.3.1 Info and Relationships \/ 2.4.6 Headings and Labels",
"title": "Überschriftenstruktur",
"impact": "mittel",
"evidence": "0 H1 und 0 Überschrift(en) im HTML-Sample.",
"guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
}
],
"high_impact_count": 0,
"known_issue_count": 1,
"recommended_next_steps": [
"Kontakt- und Durchsetzungsstelle mit echten Betreiberangaben ergänzen.",
"Alle markierten WCAG-Punkte technisch beheben und danach erneut prüfen.",
"Manuelle Tastatur-, Screenreader-, Kontrast- und PDF-Prüfung dokumentieren.",
"Erklärung nach Änderungen an Website, CMP oder Templates aktualisieren."
]
},
"data_discovery_classification": {
"rows": [
{
"id": "personal_data_inventory",
"label": "Personenbezogene Datenarten inventarisiert",
"owner": "Datenschutz\/IT",
"action": "Datenarten aus Formularen, Tracking, Cookies, Accounts, Support und Vendor-Flüssen zentral klassifizieren.",
"passed": false,
"status": "fehlt",
"weight": 14,
"evidence": "0 Datenart(en), Formulare 0, Dateneingabe nein.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "field_level_classification",
"label": "Feld-\/Signal-Klassifizierung vorbereitet",
"owner": "Datenschutz\/IT",
"action": "Formularfelder, Cookie-\/Storage-Schlüssel, URL-Parameter und Request-Signale nach Datenklasse, Zweck und Risiko klassifizieren.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Formulare 0, Cookies 2, Storage 0, Tracking-Storage-Hinweise 0.",
"guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
"manual_review": false
},
{
"id": "sensitive_data_detection",
"label": "Sensitive-\/PII-Risiken erkannt und priorisiert",
"owner": "Security\/Datenschutz",
"action": "E-Mail, Telefon, IDs, Gesundheits-\/Finanz-\/Kinder-\/Profiling-Signale und URL-Leaks als sensitive Datenrisiken priorisieren.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
"guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
"manual_review": false
},
{
"id": "data_map_lineage",
"label": "Data Map und Lineage ableitbar",
"owner": "Datenschutz\/IT",
"action": "Quelle, Empfänger, System, Vendor, Transfer, Speicherort und Löschtrigger je Datenfluss pflegen.",
"passed": true,
"status": "vorhanden",
"weight": 14,
"evidence": "13 Knoten, 12 Datenfluss-Kanten, hohe Risiken 0.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "ropa_processing_link",
"label": "RoPA\/Verarbeitungstätigkeiten verbunden",
"owner": "Datenschutz\/Legal",
"action": "Klassifizierte Datenarten mit RoPA, Zweck, Rechtsgrundlage, Empfänger, Speicherfrist und TOMs verbinden.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "2 Verarbeitungstätigkeit(en).",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "vendor_data_stores",
"label": "Vendor-\/Drittanbieter-Datenspeicher klassifiziert",
"owner": "Vendor Owner\/Datenschutz",
"action": "Vendor-Datenkategorien, Tracking-\/Support-\/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Vendor-Lifecycle-Readiness 49\/100; 6\/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "dsar_search_scope",
"label": "DSAR-Suchscope aus Discovery ableitbar",
"owner": "Datenschutz\/Support\/IT",
"action": "Data Discovery als Suchmanifest für Auskunft, Löschung, Widerspruch, Portabilität und Vendor-Tasking nutzen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "DSAR-Workflow-Readiness 38\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
},
{
"id": "assessment_prefill",
"label": "Assessments mit Discovery-Daten vorbefüllbar",
"owner": "Datenschutz\/Product",
"action": "PIA\/DPIA\/TIA\/Vendor\/AI-Fragen mit Datenklassen, Systemen, Empfängern und Risiken automatisch vorbefüllen.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "retention_classification",
"label": "Retention und Löschung nach Datenklasse steuerbar",
"owner": "Datenschutz\/Legal\/IT",
"action": "Retention Schedule, Löschtrigger, Legal Hold und Vendor-Löschung je Datenklasse ableiten.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "Retention-\/Deletion-Readiness 58\/100; 6\/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "evidence_export",
"label": "Discovery Evidence exportierbar",
"owner": "Compliance\/IT",
"action": "Klassifikationsentscheidungen, Quellen, Beispiele, Hash-Manifest und Exportpaket auditfähig speichern.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/methodik",
"manual_review": false
},
{
"id": "connected_scanners",
"label": "Konnektoren zu internen Datenbanken\/SaaS-Systemen",
"owner": "IT\/Data Owner",
"action": "Für echte Field-Level-Discovery interne Datenbanken, CRM, DWH, Support, Marketing und Cloud Stores anbinden.",
"passed": false,
"status": "prüfen",
"weight": 8,
"evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": true
}
],
"score": 64,
"status": "ausbaufähig",
"summary": "Data-Discovery-\/Classification-Readiness 64\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 4,
"disclaimer": "Automatisch aus Website-, Browser- und SaferPage-Artefakten abgeleitete Discovery-\/Classification-Readiness. Echte Field-Level-Discovery in internen Datenbanken und SaaS-Systemen erfordert Betreiber-Konnektoren und Berechtigungen.",
"check_count": 11,
"passed_count": 7,
"source_count": 4,
"classifier_rules": [
{
"id": "email_phone",
"rule": "E-Mail, Telefon, Kontaktfelder",
"action": "Formularzweck, Rechtsgrundlage und Speicherfrist dokumentieren.",
"risk_level": "mittel",
"classification": "Kontakt-\/Identifikationsdaten"
},
{
"id": "tracking_ids",
"rule": "Cookie-\/Storage-\/Analytics-Identifier",
"action": "Consent, Zweck, Laufzeit, Anbieter und Widerruf prüfen.",
"risk_level": "hoch",
"classification": "Online-Identifier\/Tracking"
},
{
"id": "url_pii",
"rule": "PII in URL, Query oder Referrer",
"action": "URL-Parameter entfernen, Referrer-Policy setzen und Tracking begrenzen.",
"risk_level": "hoch",
"classification": "Datenleck \/ sensitive Übermittlung"
},
{
"id": "vendor_transfer",
"rule": "Drittanbieter- und Transferdaten",
"action": "DPA\/TIA, Region, Subprozessoren und Datenklasse prüfen.",
"risk_level": "hoch",
"classification": "Empfänger-\/Transferdaten"
}
],
"priority_actions": [
"Datenarten aus Formularen, Tracking, Cookies, Accounts, Support und Vendor-Flüssen zentral klassifizieren.",
"Vendor-Datenkategorien, Tracking-\/Support-\/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.",
"Data Discovery als Suchmanifest für Auskunft, Löschung, Widerspruch, Portabilität und Vendor-Tasking nutzen.",
"Für echte Field-Level-Discovery interne Datenbanken, CRM, DWH, Support, Marketing und Cloud Stores anbinden."
],
"source_artifacts": [
"privacy_notice_draft",
"data_entry_analysis",
"pii_exposure_analysis",
"cookie_inventory",
"cookie_declaration_document",
"processing_activity_record",
"data_flow_map",
"vendor_lifecycle_risk",
"dsar_workflow_readiness",
"privacy_assessment_automation"
],
"discovery_sources": [
{
"id": "website_forms",
"source": "Website-Formulare und Eingabepunkte",
"signals": "0 Formular(e), Datenschutzkontext nein.",
"coverage": "nicht erkannt",
"next_step": "Feldnamen, Pflichtfelder, Zweck und Speicherfrist je Formular erfassen."
},
{
"id": "browser_storage",
"source": "Cookies, Storage und Browser-Requests",
"signals": "Cookies 2, Storage 0, Tracking-Hinweise 0.",
"coverage": "vorhanden",
"next_step": "Identifier und Trackingzwecke gegen Consent\/Notice klassifizieren."
},
{
"id": "data_map",
"source": "RoPA und Data Map",
"signals": "2 Aktivitäten, 13 Knoten, 12 Kanten.",
"coverage": "vorhanden",
"next_step": "Systeme, Empfänger und Datenklassen je Verarbeitung verknüpfen."
},
{
"id": "vendors",
"source": "Vendor Register und Drittanbieter-Matrix",
"signals": "0 Vendor(s).",
"coverage": "aufbauen",
"next_step": "Vendor-Datenkategorien, Transfer und Subprozessoren klassifizieren."
}
],
"pii_finding_count": 0,
"classification_count": 5,
"classifier_rule_count": 4,
"evidence_requirements": [
{
"id": "classification_matrix",
"label": "Classification Matrix",
"owner": "Datenschutz\/IT",
"status": "vorbereitet",
"expected_evidence": "Datenklasse, Quelle, Beispiel, Zweck, Risiko, Owner, Rechtsgrundlage."
},
{
"id": "sample_manifest",
"label": "Sample-\/Signal-Manifest",
"owner": "Security\/Datenschutz",
"status": "sanitisiert",
"expected_evidence": "Feldnamen, Cookie-\/Storage-Namen, Request-Hosts, keine vollständigen Werte."
},
{
"id": "search_scope",
"label": "DSAR Search Scope",
"owner": "Datenschutz\/IT",
"status": "aufbauen",
"expected_evidence": "Systeme, Vendoren, Datenklassen, Suchparameter, negative Suchergebnisse."
},
{
"id": "connector_plan",
"label": "Interner Connector-Plan",
"owner": "IT\/Data Owner",
"status": "Betreiber-Nachweis",
"expected_evidence": "CRM, DWH, Support, Marketing, Payment, Cloud Storage, Zugriffskonzept."
}
],
"classification_catalog": [
{
"id": "contact_identifiers",
"label": "Kontakt- und Identifikationsdaten",
"owner": "Datenschutz\/Fachbereich",
"sources": "Formulare 0, PII-Findings 0",
"examples": "Name, E-Mail, Telefon, Kundennummer, Account-ID",
"risk_level": "mittel"
},
{
"id": "online_identifiers",
"label": "Online-Identifier und Trackingdaten",
"owner": "Marketing\/IT",
"sources": "Cookies 2, Storage-Hinweise 0",
"examples": "Cookie-ID, LocalStorage-Key, IP-\/Device-\/Analytics-Identifier",
"risk_level": "hoch"
},
{
"id": "transaction_support",
"label": "Kommunikations-, Support- und Transaktionsdaten",
"owner": "Fachbereich\/Datenschutz",
"sources": "Datenarten 0, Verarbeitungstätigkeiten 2",
"examples": "Kontaktanfrage, Newsletter, Supportfall, Bestellung, Logdaten",
"risk_level": "mittel"
},
{
"id": "sensitive_special",
"label": "Sensible oder besonders schützenswerte Daten",
"owner": "Legal\/Datenschutz",
"sources": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
"examples": "Gesundheit, Finanzdaten, Minderjährige, Ausweis-\/ID-Daten, Bewerbungsdaten",
"risk_level": "prüfen"
},
{
"id": "vendor_shared",
"label": "Mit Anbietern geteilte Daten",
"owner": "Vendor Owner\/Datenschutz",
"sources": "Vendor Count 0, Datenfluss-Kanten 12",
"examples": "Tracking-, CRM-, Hosting-, CDN-, Support- und Zahlungsdaten",
"risk_level": "prüfen"
}
]
},
"privacy_assessment_automation": {
"rows": [
{
"id": "template_library",
"label": "Assessment-Vorlagen für PIA\/DPIA\/TIA\/Vendor\/AI",
"owner": "Datenschutz\/Legal",
"action": "Standardvorlagen für PIA, DPIA\/DSFA, TIA, Vendor Assessment und AI Risk Assessment versionieren.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "8 Watch-Pflicht(en), 9 DPIA-Risikofaktor(en), 5 AI-Kontrolle(n).",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "auto_prefill",
"label": "Automatische Vorbefüllung aus RoPA, Data Map und Anbietern",
"owner": "Datenschutz\/IT",
"action": "Assessment-Fragen aus Datenarten, Systemen, Empfängern, Cookies, Formularen und Vendor-Registern vorbefüllen.",
"passed": false,
"status": "fehlt",
"weight": 15,
"evidence": "2 Verarbeitungstätigkeit(en), 13 Datenknoten, 12 Datenflüsse, 0 Anbieter.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "risk_scoring",
"label": "Risikoscoring und Schwellenentscheidung",
"owner": "Datenschutz\/Product",
"action": "Schwellenentscheidung, Risikofaktoren, Schutzmaßnahmen und Negativentscheidung im Assessment speichern.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "DPIA\/DSFA-Screening: nicht_naheliegend, Risiko-Score 0\/100, 0 ausgelöste Risikofaktor(en), 0 hoch.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "tia_transfer_assessment",
"label": "Transfer Impact Assessment für Drittland-\/Vendor-Risiken",
"owner": "Legal\/Vendor Owner",
"action": "Drittlandtransfer, SCC\/TIA, Anbieterregion, Unterauftragsverarbeiter und Alternativen als Pflichtblock abfragen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Transferfragen 0, hohe Vendor-Risiken 0.",
"guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
"manual_review": false
},
{
"id": "vendor_assessment",
"label": "Vendor-Assessment und AVV\/DPA-Prüfung",
"owner": "Legal\/Vendor Owner",
"action": "Anbieterakte mit Zweck, Rolle, AVV\/DPA, TOMs, Transferstatus und Renewal-Frist führen.",
"passed": false,
"status": "fehlt",
"weight": 10,
"evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
"guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
"manual_review": false
},
{
"id": "ai_assessment",
"label": "AI-\/Automated-Decisioning-Assessment",
"owner": "Datenschutz\/Product\/Legal",
"action": "AI-Use-Cases, Datenquellen, Entscheidungswirkung, Human Review, Transparenz und DPIA-Bezug im Assessment prüfen.",
"passed": true,
"status": "vorhanden",
"weight": 9,
"evidence": "AI-Governance-Readiness 43\/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "mitigation_workflow",
"label": "Mitigation-Workflow mit Owner, SLA und Abnahme",
"owner": "Programm-Owner",
"action": "Assessment-Lücken automatisch in Tickets mit Owner, SLA, Abnahmekriterium und Wiederholungsscan überführen.",
"passed": true,
"status": "vorhanden",
"weight": 12,
"evidence": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "evidence_library",
"label": "Evidence Library und Exportnachweise",
"owner": "Compliance\/IT",
"action": "Assessment-Antworten mit Screenshot, Request-\/Cookie-Evidenz, Hash-Manifest und Exportpaket verknüpfen.",
"passed": true,
"status": "vorhanden",
"weight": 10,
"evidence": "Prüfbeleg vorhanden, Root-Hash bf3a5f37fa9287a1.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "approval_routing",
"label": "Freigabe, Sign-off und Eskalation",
"owner": "Programm-Owner",
"action": "Freigabe-Routen für Datenschutz, Legal, Security, Vendor Owner und Produktverantwortliche definieren.",
"passed": false,
"status": "prüfen",
"weight": 7,
"evidence": "Aus öffentlichem Scan nicht beweisbar.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": true
},
{
"id": "change_triggers",
"label": "Change Trigger für neue Anbieter, Cookies, Formulare und Rechtsänderungen",
"owner": "Datenschutz\/IT",
"action": "Neue Cookies, Anbieter, Formulare, AI-Signale und Rechtsänderungen automatisch als Assessment-Trigger nutzen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "Alerts 0, Regulatory-Pflichten 8.",
"guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
"manual_review": false
},
{
"id": "legal_basis_trace",
"label": "Rechtsgrundlagen- und Zweckbezug je Frage",
"owner": "Datenschutz\/Legal",
"action": "Jede Assessment-Antwort mit Zweck, Rechtsgrundlage, Datenkategorie, Empfänger und Speicherfrist rückverfolgbar machen.",
"passed": true,
"status": "vorhanden",
"weight": 8,
"evidence": "3 Rechtsgrundlagenzeile(n) aus dem Report.",
"guide_url": "\/guides\/datenschutzerklaerung-verbessern",
"manual_review": false
}
],
"score": 63,
"status": "aufbauen",
"summary": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
"available": true,
"gap_count": 4,
"disclaimer": "Automatisch aus SaferPage-Artefakten abgeleitete Assessment-Automation. Sie ersetzt kein internes PIA-\/DPIA-\/TIA-Verfahren, liefert aber Vorbefüllung, Evidence und offene Betreiber-Nachweise.",
"check_count": 11,
"passed_count": 7,
"question_count": 40,
"template_count": 5,
"priority_actions": [
"Assessment-Fragen aus Datenarten, Systemen, Empfängern, Cookies, Formularen und Vendor-Registern vorbefüllen.",
"Drittlandtransfer, SCC\/TIA, Anbieterregion, Unterauftragsverarbeiter und Alternativen als Pflichtblock abfragen.",
"Anbieterakte mit Zweck, Rolle, AVV\/DPA, TOMs, Transferstatus und Renewal-Frist führen.",
"Freigabe-Routen für Datenschutz, Legal, Security, Vendor Owner und Produktverantwortliche definieren."
],
"source_artifacts": [
"dpia_screening",
"processing_activity_record",
"data_flow_map",
"vendor_due_diligence",
"ai_governance_readiness",
"regulatory_watch_readiness",
"remediation_workflow",
"audit_receipt",
"evidence_integrity_manifest"
],
"assessment_questions": [
{
"id": "purpose_data_minimization",
"owner": "Datenschutz\/Product",
"status": "vorbefüllt",
"evidence": "processing_activity_record, data_entry_analysis",
"question": "Sind Zweck, Datenkategorien, Pflichtfelder und Datenminimierung je Verarbeitung dokumentiert?",
"template": "pia",
"auto_answer": "2 Verarbeitungstätigkeit(en), Formular-Kontext nein."
},
{
"id": "high_risk_factors",
"owner": "Datenschutz\/Legal",
"status": "vorbefüllt",
"evidence": "dpia_screening",
"question": "Lösen Tracking, Profiling, sensible Daten, Drittanbieter oder PII-Leaks eine DSFA-Schwelle aus?",
"template": "dpia_threshold",
"auto_answer": "DPIA\/DSFA-Screening: nicht_naheliegend, Risiko-Score 0\/100, 0 ausgelöste Risikofaktor(en), 0 hoch."
},
{
"id": "transfer_context",
"owner": "Legal\/Vendor Owner",
"status": "offen",
"evidence": "vendor_due_diligence",
"question": "Welche Empfänger liegen außerhalb EU\/EWR oder haben unklare Transfergrundlagen?",
"template": "tia",
"auto_answer": "Transferfragen 0, hohe Vendor-Risiken 0."
},
{
"id": "dpa_toms_subprocessors",
"owner": "Legal\/Vendor Owner",
"status": "offen",
"evidence": "vendor_processor_register, vendor_due_diligence",
"question": "Sind AVV\/DPA, TOMs, Unterauftragsverarbeiter, Zweck und Renewal-Frist je Anbieter dokumentiert?",
"template": "vendor",
"auto_answer": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt."
},
{
"id": "ai_transparency_human_review",
"owner": "Datenschutz\/Product\/Legal",
"status": "vorbefüllt",
"evidence": "ai_governance_readiness",
"question": "Gibt es AI-\/Profiling-Use-Cases mit Transparenz, Rechtsgrundlage, Human Review und Widerspruchsweg?",
"template": "ai",
"auto_answer": "AI-Governance-Readiness 43\/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n)."
},
{
"id": "mitigation_acceptance",
"owner": "Programm-Owner",
"status": "vorbefüllt",
"evidence": "remediation_workflow",
"question": "Welche Maßnahmen, Owner und Abnahmekriterien schließen offene Risiken?",
"template": "pia",
"auto_answer": "Remediation Workflow mit 8 Ticket(s): 0 sofort starten, 4 einplanen, 4 im Backlog."
}
],
"evidence_requirements": [
{
"id": "assessment_record",
"label": "Assessment Record",
"owner": "Datenschutz\/Programm-Owner",
"status": "aufbauen",
"expected_evidence": "Vorlage, Version, Owner, Risikostufe, Entscheidung, Freigaben."
},
{
"id": "prefill_sources",
"label": "Vorbefüllungsquellen",
"owner": "Datenschutz\/IT",
"status": "vorhanden",
"expected_evidence": "RoPA, Data Map, Vendor Register, Cookie-\/Request-Evidenz, Legal Basis Matrix."
},
{
"id": "mitigation_log",
"label": "Maßnahmen- und Abnahmelog",
"owner": "Programm-Owner",
"status": "vorhanden",
"expected_evidence": "Tickets, SLA, Owner, Abnahmekriterium, Wiederholungsscan."
},
{
"id": "signoff_log",
"label": "Sign-off und Negativentscheidung",
"owner": "Datenschutz\/Legal",
"status": "Betreiber-Nachweis",
"expected_evidence": "Freigabe durch Datenschutz\/Legal\/Security, Begründung bei Nicht-DSFA, Review-Datum."
}
],
"questionnaire_templates": [
{
"id": "pia",
"label": "Privacy Impact Assessment",
"owner": "Datenschutz\/Product",
"trigger": "Neue Verarbeitung, Formular, Tracking- oder Datenflussänderung",
"evidence": "2 RoPA-Aktivität(en), 12 Datenflüsse.",
"question_count": 8,
"prefilled_count": 5
},
{
"id": "dpia_threshold",
"label": "DPIA\/DSFA Threshold Assessment",
"owner": "Datenschutz\/Legal",
"trigger": "Hohes Risiko, Profiling, sensible Daten, umfangreiches Tracking oder Drittanbieter-Ketten",
"evidence": "DPIA\/DSFA-Screening: nicht_naheliegend, Risiko-Score 0\/100, 0 ausgelöste Risikofaktor(en), 0 hoch.",
"question_count": 9,
"prefilled_count": 6
},
{
"id": "tia",
"label": "Transfer Impact Assessment",
"owner": "Legal\/Vendor Owner",
"trigger": "Drittlandtransfer oder unklare Anbieterregion",
"evidence": "Transferfragen 0.",
"question_count": 7,
"prefilled_count": 2
},
{
"id": "vendor",
"label": "Vendor Privacy Assessment",
"owner": "Legal\/Vendor Owner",
"trigger": "Neuer Dienstleister, neue Subprozessoren oder AVV\/DPA-Renewal",
"evidence": "0 Anbieter im Register.",
"question_count": 8,
"prefilled_count": 1
},
{
"id": "ai",
"label": "AI Risk Assessment",
"owner": "Datenschutz\/Product\/Legal",
"trigger": "Chatbot, Profiling, Scoring, generative AI oder automatisierte Entscheidung",
"evidence": "AI-Governance-Readiness 43\/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
"question_count": 8,
"prefilled_count": 5
}
],
"prefilled_question_count": 19
},
"privacy_disclosure_gap_analysis": {
"rows": [
{
"kind": "cookie_anbieter",
"label": "Eigene Website oder eingebundener Dienst",
"action": "Cookie-\/Storage-Anbieter mit Zweck, Laufzeit, Rechtsgrundlage und Einwilligungsstatus erklären.",
"status": "prüfen",
"category": "Unklassifiziert",
"declared": false,
"evidence": "Cookie\/Storage i18nextLng",
"keywords": "",
"observed": true,
"guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen"
}
],
"color": "red",
"score": 0,
"status": "kritisch",
"summary": "Disclosure-Abgleich: 1 beobachtete Anbieter, 1 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.",
"available": true,
"disclaimer": "Automatischer Textabgleich gegen technische Beobachtungen; Schreibweisen und dynamische Inhalte können manuelle Prüfung erfordern.",
"policy_missing": [],
"priority_fixes": [
"Fehlende Anbieter in Datenschutzerklärung und Cookie-Hinweis konkret benennen.",
"Zweck, Rechtsgrundlage, Empfängerrolle, Speicherdauer und Transferhinweis je Anbieter ergänzen.",
"Nach CMP-\/Tag-Änderungen erneut scannen und Disclosure-Abgleich aktualisieren."
],
"found_providers": [],
"cookie_row_count": 2,
"vendor_row_count": 0,
"missing_providers": [],
"policy_missing_count": 0,
"provider_missing_count": 1,
"provider_detected_count": 1,
"provider_mentioned_count": 0
},
"scan_id": "fd0457ad-ac89-4b77-9e7e-e23395e1ae0b",
"created_at": "2026-06-07 14:25:06.487583+02"
}