Control Framework / Audit Response / Evidence

brso.de: Datenschutzkontrollen und Audit-Antworten

Privacy Controls Framework 67/100; 6/16 Kontrolle(n) wirksam, 4 offen oder Betreiber-Nachweis.

Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben.

67 ausbaufähig
Trust Center Nachweise Risiko Vorfall JSON CSV Audit MD
67Control Score 16Kontrollen 6wirksam 4offen 59Audit Score 10Antworten 4Evidence Requests

Kontrollen

Owner, Testfrequenz und Abnahmekriterien

JSON exportieren
PCF-01 · Nicht notwendige Verarbeitung vor Einwilligung blockieren wirksam · Score 88 · Marketing/IT · bei jedem Release

Consent und Erstaufruf wirken im passiven Check weitgehend sauber.

Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.
PCF-02 · Dauerhafter Widerruf und Preference Center teilweise · Score 76 · Marketing/Compliance · quartalsweise

Preference-Center-Readiness 76/100; 7/9 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.

Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.
PCF-03 · Datenschutzhinweise versionieren und synchronisieren teilweise · Score 72 · Datenschutz/Content · monatlich

Policy-/Notice-Lifecycle-Readiness 72/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.

Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.
PCF-04 · Datenklassen und Discovery-Scope pflegen wirksam · Score 93 · Datenschutz/IT · monatlich

Data-Discovery-/Classification-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.

Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.
PCF-05 · Reproduzierbarer Scan- und Monitoring-Prozess wirksam · Score 93 · IT/Compliance · laufend

Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.

Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.
PCF-06 · Top-Risiken mit Owner und SLA steuern lücke · Score 18 · Programm-Owner · wöchentlich

Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 9 hoch/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 12 binnen 30 Tagen.

Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.
PCF-07 · DACH/EU-Quellen und Pflichten rückverfolgbar halten teilweise · Score 68 · Datenschutz/Legal · monatlich

Regulatory-Watch-Readiness 68/100; 10 Quellen, 6 offizielle Quelle(n), 10 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.

Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.
PCF-08 · Betroffenenrechte und DSAR-Workflow operationalisieren teilweise · Score 70 · Datenschutz/Support · quartalsweise

Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.

Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.
PCF-09 · PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen wirksam · Score 85 · Datenschutz/Product · bei jedem Release

Assessment-Automation-Readiness 85/100; 9/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.

Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.
PCF-10 · Speicherfristen und Löschung nach Datenklasse steuern wirksam · Score 92 · Datenschutz/Legal/IT · quartalsweise

Retention-/Deletion-Readiness 92/100; 9/10 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.

Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.
PCF-11 · Vendor Lifecycle und Drittanbieterakten steuern teilweise · Score 75 · Legal/Vendor Owner · quartalsweise

Vendor-Lifecycle-Readiness 75/100; 8/11 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen. Vendor-Due-Diligence mit 5 Anbieter(n), 0 hohem Risiko, 5 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).

Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.
PCF-12 · DPIA/DSFA und Data Map verbinden teilweise · Score 71 · Datenschutz/Product/IT · bei jedem Release

DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 40/100, 3 ausgelöste Risikofaktor(en), 2 hoch. Data Map mit 35 Knoten und 39 Datenfluss-Kanten; 11 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.

DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.
PCF-13 · AI-/Profiling-/Automated-Decisioning-Kontrollen lücke · Score 11 · Datenschutz/Product/Legal · quartalsweise

AI-Governance-Readiness 11/100; 4 Signal(e), 3 erkannt, 1 hohes Risiko, 5 offene Kontrolle(n).

AI-Signale, Use Cases, Controls und Assessment Questions prüfen.
PCF-14 · Webschutz und Breach Readiness lücke · Score 35 · IT/Security/DSB · monatlich

3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden. Incident-/Breach-Readiness 35/100; 5 Szenario(s), 1 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).

Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.
PCF-15 · Auditfähige Nachweise und Integrität sichern wirksam · Score 90 · Compliance/IT · bei jedem Scan

Prüfbeleg vorhanden, Root-Hash 70522fd415abc385.

Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.
PCF-16 · Interne Betreiber-Nachweise einsammeln Betreiber-Nachweis · Score 35 · Betreiber/DSB · laufend

Aus öffentlichem Website-Scan nicht beweisbar.

Betreiberartefakte hochladen oder im Trust Center verlinken: AVV/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.

Audit Response

Antworten fuer Kunden, Procurement und Pruefer

Audit MD exportieren
Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten? teilweise · Score 67 · Programm-Owner/DSB

Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.

Zusammenfassung ja, interne Rollen nur nach Freigabe.
Wie werden Cookies, Tracker und Einwilligungen kontrolliert? antwortbereit · Score 88 · Marketing/IT

SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.

Technische Zusammenfassung und sanitisierte Tabellen teilbar.
Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert? antwortbereit · Score 82 · Datenschutz/Content

Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.

Öffentliche Reportabschnitte teilbar.
Wie werden Subprozessoren, Drittanbieter und Transfers geprüft? teilweise · Score 75 · Legal/Vendor Owner

Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.

Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.
Wie werden Betroffenenanfragen bearbeitet? teilweise · Score 70 · Datenschutz/Support

DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.

Prozessantwort teilbar; echte Tickets intern.
Welche technischen Webschutzmaßnahmen sind sichtbar? teilweise · Score 70 · IT/Security

Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.

Technische Zusammenfassung teilbar; interne Architektur separat freigeben.
Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess? offen · Score 35 · DSB/Legal/IT

Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.

Prozessbeschreibung teilbar; Vorfalldetails intern.
Welche offenen Datenschutzrisiken bestehen aktuell? offen · Score 18 · Programm-Owner

Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.

Executive Summary teilbar; Detailrisiken nach Freigabe.
Welche Nachweise können exportiert werden? offen · Score 50 · Compliance/IT

JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist.

Sanitisierte Nachweispakete teilbar.
Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden? Betreiber-Nachweis · Score 35 · Betreiber/DSB

Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.

Nur nach Betreiberfreigabe.

Testplan

Regelmaessige Kontrolltests und Evidence Requests

bei jedem Release · Website-Betrieb/Datenschutz

Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen.

Scan-ID, Ticket-Entscheidung, Exportpaket.
monatlich · Datenschutz/Legal

Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.

Review-Protokoll, Quellenmatrix, offene Entscheidungen.
quartalsweise · Programm-Owner

Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.

Kontrolltest, Stichprobe, Abweichung, Maßnahme.
Betreiber-Nachweis · Interne Rollen und DSB/Privacy Owner

RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum.

Betreiber/DSB
Betreiber-Nachweis · AVV/DPA, TOMs, Subprozessoren

Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste.

Legal/Vendor Owner
teilweise · Kontrolltest-Protokolle

Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test.

Compliance
Betreiber-Nachweis · DSAR-/Betroffenenrechte-Logs

Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung.

Datenschutz/Support