Control Framework / Audit Response / Evidence

azh-portal.de: Datenschutzkontrollen und Audit-Antworten

Privacy Controls Framework 53/100; 2/10 Kontrolle(n) wirksam, 7 offen oder Betreiber-Nachweis.

Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Betreiber müssen Kontrolltests und Nachweise freigeben.

53 Kontrollsystem aufbauen
53Control Score 10Kontrollen 2wirksam 7offen 61Audit Score 8Antworten 3Evidence Requests

Kontrollen

Verantwortlichkeit, Testfrequenz und Abnahmekriterien

JSON exportieren
PCF-01 · Nicht notwendige Verarbeitung vor Einwilligung blockieren wirksam · Score 100 · Marketing/IT · bei jedem Release

Erstaufruf und sichtbare Banner-Controls geprüft; Klickzustände werden nur im großen Scan getestet.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-02 · Datenschutzhinweise, Cookies und Anbieter synchron halten luecke · Score 45 · Datenschutz/Content · monatlich

Notice, Cookie-Erklärung und Anbieterregister gegen beobachtete Technik prüfen.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-03 · Top-Risiken mit Verantwortlichkeit und Zielzeit steuern luecke · Score 40 · Programm-Verantwortung · woechentlich

Risk Register nicht verfügbar.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-04 · DACH/EU-Quellen und Pflichten rückverfolgbar halten luecke · Score 35 · Datenschutz/Legal · monatlich

Regulatory Watch nicht verfügbar.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-05 · Betroffenenrechte und DSAR-Workflow operationalisieren luecke · Score 35 · Datenschutz/Support · quartalsweise

DSAR-Workflow nicht verfügbar.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-06 · Vendor Lifecycle und Drittanbieterakten steuern wirksam · Score 100 · Legal/Vendor-Verantwortung · quartalsweise

Vendor Due Diligence nicht verfügbar.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-07 · KI-/Profiling-/Automated-Decisioning-Kontrollen teilweise · Score 55 · Datenschutz/Product/Legal · quartalsweise

KI-Governance nicht verfügbar.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-08 · Webschutz und Breach Readiness luecke · Score 35 · IT/Security/DSB · monatlich

3 von 6 Basis-Security-Headern vorhanden, 3 korrekt bewertet; 0 von 3 kontextabhängigen Isolations-Headern vorhanden. Keine Content-Security-Policy gefunden.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-09 · Auditfähige Nachweise und Integrität sichern luecke · Score 45 · Compliance/IT · bei jedem Scan

Prüfbeleg vorhanden, Root-Hash fehlt.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.
PCF-10 · Interne Betreiber-Nachweise einsammeln Betreiber-Nachweis · Score 35 · Betreiber/DSB · laufend

Aus öffentlichem Website-Scan nicht beweisbar.

Kontrolle gegen Reportmodul, Exportpaket, Verantwortlichkeit und Abnahmekriterium testen.

Audit Response

Antworten für Kunden, Procurement und Prüfer

Audit MD exportieren
Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten? offen · Score 53 · Programm-Verantwortung/DSB

Aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen muss der Betreiber bestätigen.

Zusammenfassung ja, interne Rollen nur nach Freigabe.
Wie werden Cookies, Tracker und Einwilligungen kontrolliert? antwortbereit · Score 100 · Marketing/IT

SaferPage prüft Consent-Zustände, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.

Technische Zusammenfassung und sanitisierte Tabellen teilbar.
Wie werden Subprozessoren, Drittanbieter und Transfers geprüft? antwortbereit · Score 100 · Legal/Vendor-Verantwortung

Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.

Anbieterlisten sanitisiert; Verträge nach Betreiberfreigabe.
Wie werden Betroffenenanfragen bearbeitet? offen · Score 35 · Datenschutz/Support

DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Discovery, Redaction und Antwortpakete.

Prozessantwort teilbar; echte Nachweispositionen intern.
Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess? offen · Score 35 · DSB/Legal/IT

Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.

Prozessbeschreibung teilbar; Vorfalldetails intern.
Welche technischen Webschutzmaßnahmen sind sichtbar? teilweise · Score 76 · IT/Security

Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden aus dem Kurzcheck abgeleitet.

Technische Zusammenfassung teilbar.
Welche Nachweise können exportiert werden? offen · Score 50 · Compliance/IT

JSON, CSV, XLSX, ZIP, Audit Receipt und Hash-Manifest sind exportierbar, sofern Scan gespeichert ist.

Sanitisierte Nachweispakete teilbar.
Können interne Policies, Verträge, TOMs, DSFAs und Logs bereitgestellt werden? Betreiber-Nachweis · Score 35 · Betreiber/DSB

Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.

Nur nach Betreiberfreigabe.

Testplan

Regelmaessige Kontrolltests und Evidence Requests

bei jedem Release · Website-Betrieb/Datenschutz

Consent, Scanprofil, neue Anbieter, neue Formulare, DSFA-Trigger und Risk Register vor Go-live prüfen.

Scan-ID, Nachweisentscheidung, Exportpaket.
monatlich · Datenschutz/Legal

Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.

Review-Protokoll, Quellenmatrix, offene Entscheidungen.
quartalsweise · Programm-Verantwortung

Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.

Kontrolltest, Stichprobe, Abweichung, Maßnahme.
Betreiber-Nachweis · Interne Rollen und DSB/Privacy-Verantwortung

RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum.

Betreiber/DSB
Betreiber-Nachweis · AVV/DPA, TOMs, Subprozessoren

Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste.

Legal/Vendor-Verantwortung
aufbauen · Kontrolltest-Protokolle

Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test.

Compliance