# Privacy Control Framework fuer ardsounds.de Privacy Controls Framework 52/100; 3/16 Kontrolle(n) wirksam, 10 offen oder Betreiber-Nachweis. > Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben. ## Kontrollen - **PCF-01 / Nicht notwendige Verarbeitung vor Einwilligung blockieren**: lücke, Score 8, Owner Marketing/IT - **PCF-02 / Dauerhafter Widerruf und Preference Center**: lücke, Score 50, Owner Marketing/Compliance - **PCF-03 / Datenschutzhinweise versionieren und synchronisieren**: lücke, Score 53, Owner Datenschutz/Content - **PCF-04 / Datenklassen und Discovery-Scope pflegen**: teilweise, Score 65, Owner Datenschutz/IT - **PCF-05 / Reproduzierbarer Scan- und Monitoring-Prozess**: wirksam, Score 93, Owner IT/Compliance - **PCF-06 / Top-Risiken mit Owner und SLA steuern**: lücke, Score 16, Owner Programm-Owner - **PCF-07 / DACH/EU-Quellen und Pflichten rückverfolgbar halten**: teilweise, Score 68, Owner Datenschutz/Legal - **PCF-08 / Betroffenenrechte und DSAR-Workflow operationalisieren**: lücke, Score 38, Owner Datenschutz/Support - **PCF-09 / PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen**: wirksam, Score 94, Owner Datenschutz/Product - **PCF-10 / Speicherfristen und Löschung nach Datenklasse steuern**: lücke, Score 44, Owner Datenschutz/Legal/IT - **PCF-11 / Vendor Lifecycle und Drittanbieterakten steuern**: teilweise, Score 70, Owner Legal/Vendor Owner - **PCF-12 / DPIA/DSFA und Data Map verbinden**: lücke, Score 54, Owner Datenschutz/Product/IT - **PCF-13 / AI-/Profiling-/Automated-Decisioning-Kontrollen**: lücke, Score 11, Owner Datenschutz/Product/Legal - **PCF-14 / Webschutz und Breach Readiness**: lücke, Score 35, Owner IT/Security/DSB - **PCF-15 / Auditfähige Nachweise und Integrität sichern**: wirksam, Score 90, Owner Compliance/IT - **PCF-16 / Interne Betreiber-Nachweise einsammeln**: Betreiber-Nachweis, Score 35, Owner Betreiber/DSB ## Audit-Antworten - [ ] Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten? Antwortstatus: offen. Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen. - [ ] Wie werden Cookies, Tracker und Einwilligungen kontrolliert? Antwortstatus: offen. SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar. - [ ] Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert? Antwortstatus: teilweise. Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert. - [ ] Wie werden Subprozessoren, Drittanbieter und Transfers geprüft? Antwortstatus: teilweise. Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise. - [ ] Wie werden Betroffenenanfragen bearbeitet? Antwortstatus: offen. DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete. - [ ] Welche technischen Webschutzmaßnahmen sind sichtbar? Antwortstatus: offen. Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet. - [ ] Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess? Antwortstatus: offen. Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf. - [ ] Welche offenen Datenschutzrisiken bestehen aktuell? Antwortstatus: offen. Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle. - [ ] Welche Nachweise können exportiert werden? Antwortstatus: offen. JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist. - [ ] Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden? Antwortstatus: Betreiber-Nachweis. Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste. ## Testplan - [ ] bei jedem Release / Website-Betrieb/Datenschutz: Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen. - [ ] monatlich / Datenschutz/Legal: Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen. - [ ] quartalsweise / Programm-Owner: Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.