{ "schema": "https://saferpage.de/schemas/privacy-control-framework.v1", "generated_at": "2026-06-08T21:55:57+00:00", "domain": "bvkj.de", "available": true, "scan": { "id": "4e0689c0-3da9-4ea8-8c7e-64407560f971", "checked_at": "2026-06-08 16:01:43.982161+02" }, "status": "ausbaufähig", "summary": "Privacy Controls Framework 58/100; 4/16 Kontrolle(n) wirksam, 9 offen oder Betreiber-Nachweis.", "metrics": { "control_score": 58, "control_count": 16, "effective_count": 4, "open_count": 9, "domain_count": 15, "response_score": 62, "response_count": 10, "ready_response_count": 3, "evidence_request_count": 4 }, "controls": [ { "owner": "Marketing/IT", "title": "Nicht notwendige Verarbeitung vor Einwilligung blockieren", "domain": "Consent & Preferences", "source": "consent_audit", "status": "wirksam", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "frequency": "bei jedem Release", "guide_url": "/guides/tracking-und-consent-reparieren", "control_id": "PCF-01", "requirement": "Nicht notwendige Cookies, Tracker und Vendoren dürfen erst nach wirksamer Einwilligung starten.", "control_score": 82, "manual_review": false, "test_procedure": "Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Marketing/Compliance", "title": "Dauerhafter Widerruf und Preference Center", "domain": "Consent & Preferences", "source": "preference_center_readiness", "status": "lücke", "evidence": "Preference-Center-Readiness 48/100; 4/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/tracking-und-consent-reparieren", "control_id": "PCF-02", "requirement": "Nutzer müssen Präferenzen dauerhaft, granular und gleichwertig ändern können.", "control_score": 48, "manual_review": false, "test_procedure": "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Content", "title": "Datenschutzhinweise versionieren und synchronisieren", "domain": "Transparency", "source": "notice_policy_lifecycle", "status": "teilweise", "evidence": "Policy-/Notice-Lifecycle-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern", "control_id": "PCF-03", "requirement": "Notice, Cookie-Erklärung, Anbieterregister und beobachtete Technik müssen konsistent sein.", "control_score": 60, "manual_review": false, "test_procedure": "Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/IT", "title": "Datenklassen und Discovery-Scope pflegen", "domain": "Data Governance", "source": "data_discovery_classification", "status": "wirksam", "evidence": "Data-Discovery-/Classification-Readiness 85/100; 9/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-04", "requirement": "Personenbezogene Datenarten, Quellen, PII-Risiken, Vendor Stores und DSAR-Suchscope sind klassifiziert.", "control_score": 85, "manual_review": false, "test_procedure": "Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "IT/Compliance", "title": "Reproduzierbarer Scan- und Monitoring-Prozess", "domain": "Monitoring", "source": "scan_configuration_readiness", "status": "wirksam", "evidence": "Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.", "frequency": "laufend", "guide_url": "/methodik", "control_id": "PCF-05", "requirement": "User-Agent, Crawl-Scope, Recrawl, Performance-Grenzen und Betreiberfreigabe sind dokumentiert.", "control_score": 93, "manual_review": false, "test_procedure": "Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Programm-Owner", "title": "Top-Risiken mit Owner und SLA steuern", "domain": "Risk Management", "source": "privacy_risk_register", "status": "lücke", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 3 hoch/kritisch, 0 sofort fällig, 2 binnen 7 Tagen und 15 binnen 30 Tagen.", "frequency": "wöchentlich", "guide_url": "/methodik", "control_id": "PCF-06", "requirement": "Hohe Datenschutzrisiken brauchen Owner, SLA, Entscheidung, Nachweisquelle und Restrestrisiko.", "control_score": 30, "manual_review": false, "test_procedure": "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Legal", "title": "DACH/EU-Quellen und Pflichten rückverfolgbar halten", "domain": "Regulatory Watch", "source": "regulatory_watch_readiness", "status": "lücke", "evidence": "Regulatory-Watch-Readiness 54/100; 9 Quellen, 5 offizielle Quelle(n), 9 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/datenschutz-webseiten-report/", "control_id": "PCF-07", "requirement": "Befunde müssen auf offizielle Quellen, Pflichten, Guides und Review-Kadenz rückverfolgbar sein.", "control_score": 54, "manual_review": false, "test_procedure": "Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Support", "title": "Betroffenenrechte und DSAR-Workflow operationalisieren", "domain": "DSAR", "source": "dsar_workflow_readiness", "status": "lücke", "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 52/100; 5/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/datenschutzerklaerung-verbessern", "control_id": "PCF-08", "requirement": "Auskunft, Löschung, Widerspruch, Fristen, Identitätsprüfung, Redaction und Antwortpakete sind vorbereitet.", "control_score": 52, "manual_review": false, "test_procedure": "Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product", "title": "PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen", "domain": "Assessment Automation", "source": "privacy_assessment_automation", "status": "teilweise", "evidence": "Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "frequency": "bei jedem Release", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-09", "requirement": "Assessments werden aus Website-, Data-Map-, Vendor-, Risk- und Evidence-Signalen getriggert.", "control_score": 63, "manual_review": false, "test_procedure": "Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Legal/IT", "title": "Speicherfristen und Löschung nach Datenklasse steuern", "domain": "Retention", "source": "retention_deletion_readiness", "status": "teilweise", "evidence": "Retention-/Deletion-Readiness 71/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-10", "requirement": "Retention Schedule, Löschtrigger, Vendor-Löschung, Backups und Löschprotokolle sind nachvollziehbar.", "control_score": 71, "manual_review": false, "test_procedure": "Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Legal/Vendor Owner", "title": "Vendor Lifecycle und Drittanbieterakten steuern", "domain": "Vendor Risk", "source": "vendor_lifecycle_risk", "status": "lücke", "evidence": "Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen. Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.", "frequency": "quartalsweise", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "control_id": "PCF-11", "requirement": "Anbieterrollen, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding sind prüfbar.", "control_score": 49, "manual_review": false, "test_procedure": "Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product/IT", "title": "DPIA/DSFA und Data Map verbinden", "domain": "Privacy by Design", "source": "dpia_screening", "status": "lücke", "evidence": "DPIA/DSFA-Screening: pruefen, Risiko-Score 18/100, 1 ausgelöste Risikofaktor(en), 1 hoch. Data Map mit 9 Knoten und 8 Datenfluss-Kanten; 0 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.", "frequency": "bei jedem Release", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-12", "requirement": "Hohe Risiken, Verarbeitungstätigkeiten und Datenflüsse werden vor Go-live bewertet.", "control_score": 35, "manual_review": false, "test_procedure": "DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product/Legal", "title": "AI-/Profiling-/Automated-Decisioning-Kontrollen", "domain": "AI Governance", "source": "ai_governance_readiness", "status": "lücke", "evidence": "AI-Governance-Readiness 40/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).", "frequency": "quartalsweise", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-13", "requirement": "AI-, Chat-, Profiling- und automatisierte Entscheidungs-Use-Cases sind inventarisiert und bewertet.", "control_score": 40, "manual_review": false, "test_procedure": "AI-Signale, Use Cases, Controls und Assessment Questions prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "IT/Security/DSB", "title": "Webschutz und Breach Readiness", "domain": "Security & Incident", "source": "incident_breach_readiness", "status": "lücke", "evidence": "1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).", "frequency": "monatlich", "guide_url": "/guides/security-header-setzen", "control_id": "PCF-14", "requirement": "Security-Header, Beweissicherung, Incident Owner, 72h-Prüfung und Meldeentscheidung sind vorbereitet.", "control_score": 46, "manual_review": false, "test_procedure": "Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Compliance/IT", "title": "Auditfähige Nachweise und Integrität sichern", "domain": "Audit Evidence", "source": "audit_receipt", "status": "wirksam", "evidence": "Prüfbeleg vorhanden, Root-Hash 72d94a034ab73314.", "frequency": "bei jedem Scan", "guide_url": "/methodik", "control_id": "PCF-15", "requirement": "Prüfbeleg, Hash-Manifest, Exportpaket und Screenshot sind versioniert und reproduzierbar.", "control_score": 90, "manual_review": false, "test_procedure": "Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Betreiber/DSB", "title": "Interne Betreiber-Nachweise einsammeln", "domain": "Operator Evidence", "source": "operator_evidence", "status": "Betreiber-Nachweis", "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.", "frequency": "laufend", "guide_url": "/datenschutz-webseiten-report/", "control_id": "PCF-16", "requirement": "Interne Systeme, Freigaben, Verträge, DSFA-Entscheidungen und Kontrolltests werden als Betreiberartefakte ergänzt.", "control_score": 35, "manual_review": true, "test_procedure": "Betreiberartefakte hochladen oder im Trust Center verlinken: AVV/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.", "acceptance_criterion": "Betreiber lädt Nachweis, Entscheidung und Freigabe hoch." } ], "control_domains": [ { "domain": "Risk Management", "open_count": 1, "domain_score": 30, "control_count": 1 }, { "domain": "Operator Evidence", "open_count": 1, "domain_score": 35, "control_count": 1 }, { "domain": "Privacy by Design", "open_count": 1, "domain_score": 35, "control_count": 1 }, { "domain": "AI Governance", "open_count": 1, "domain_score": 40, "control_count": 1 }, { "domain": "Security & Incident", "open_count": 1, "domain_score": 46, "control_count": 1 }, { "domain": "Vendor Risk", "open_count": 1, "domain_score": 49, "control_count": 1 }, { "domain": "DSAR", "open_count": 1, "domain_score": 52, "control_count": 1 }, { "domain": "Regulatory Watch", "open_count": 1, "domain_score": 54, "control_count": 1 }, { "domain": "Transparency", "open_count": 0, "domain_score": 60, "control_count": 1 }, { "domain": "Assessment Automation", "open_count": 0, "domain_score": 63, "control_count": 1 }, { "domain": "Consent & Preferences", "open_count": 1, "domain_score": 65, "control_count": 2 }, { "domain": "Retention", "open_count": 0, "domain_score": 71, "control_count": 1 }, { "domain": "Data Governance", "open_count": 0, "domain_score": 85, "control_count": 1 }, { "domain": "Audit Evidence", "open_count": 0, "domain_score": 90, "control_count": 1 }, { "domain": "Monitoring", "open_count": 0, "domain_score": 93, "control_count": 1 } ], "test_plan": [ { "id": "release_gate", "test": "Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen.", "owner": "Website-Betrieb/Datenschutz", "cadence": "bei jedem Release", "evidence": "Scan-ID, Ticket-Entscheidung, Exportpaket." }, { "id": "monthly_review", "test": "Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.", "owner": "Datenschutz/Legal", "cadence": "monatlich", "evidence": "Review-Protokoll, Quellenmatrix, offene Entscheidungen." }, { "id": "quarterly_control_test", "test": "Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.", "owner": "Programm-Owner", "cadence": "quartalsweise", "evidence": "Kontrolltest, Stichprobe, Abweichung, Maßnahme." } ], "audit_responses": [ { "id": "TAR-01", "owner": "Programm-Owner/DSB", "source": "privacy_control_framework", "category": "Privacy Program", "evidence": "Privacy Controls Framework 58/100; 4/16 Kontrolle(n) wirksam, 9 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "answer_score": 58, "short_answer": "Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.", "answer_status": "teilweise", "manual_review": false, "external_share": "Zusammenfassung ja, interne Rollen nur nach Freigabe.", "requester_question": "Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?" }, { "id": "TAR-02", "owner": "Marketing/IT", "source": "consent_audit", "category": "Consent", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "guide_url": "/guides/tracking-und-consent-reparieren", "answer_score": 82, "short_answer": "SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Technische Zusammenfassung und sanitisierte Tabellen teilbar.", "requester_question": "Wie werden Cookies, Tracker und Einwilligungen kontrolliert?" }, { "id": "TAR-03", "owner": "Datenschutz/Content", "source": "privacy_notice_draft,cookie_declaration_document", "category": "Transparency", "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s). Cookie-Erklärung mit 0 Eintrag/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 0 unklassifiziert.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "answer_score": 100, "short_answer": "Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Öffentliche Reportabschnitte teilbar.", "requester_question": "Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert?" }, { "id": "TAR-04", "owner": "Legal/Vendor Owner", "source": "vendor_due_diligence", "category": "Vendor Risk", "evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "answer_score": 100, "short_answer": "Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.", "requester_question": "Wie werden Subprozessoren, Drittanbieter und Transfers geprüft?" }, { "id": "TAR-05", "owner": "Datenschutz/Support", "source": "dsar_workflow_readiness", "category": "DSAR", "evidence": "DSAR-Workflow-Readiness 52/100; 5/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "answer_score": 52, "short_answer": "DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.", "answer_status": "offen", "manual_review": false, "external_share": "Prozessantwort teilbar; echte Tickets intern.", "requester_question": "Wie werden Betroffenenanfragen bearbeitet?" }, { "id": "TAR-06", "owner": "IT/Security", "source": "security_header_analysis", "category": "Security", "evidence": "1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.", "guide_url": "/guides/security-header-setzen", "answer_score": 46, "short_answer": "Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.", "answer_status": "offen", "manual_review": false, "external_share": "Technische Zusammenfassung teilbar; interne Architektur separat freigeben.", "requester_question": "Welche technischen Webschutzmaßnahmen sind sichtbar?" }, { "id": "TAR-07", "owner": "DSB/Legal/IT", "source": "incident_breach_readiness", "category": "Incident Response", "evidence": "Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).", "guide_url": "/guides/security-header-setzen", "answer_score": 66, "short_answer": "Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.", "answer_status": "teilweise", "manual_review": false, "external_share": "Prozessbeschreibung teilbar; Vorfalldetails intern.", "requester_question": "Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess?" }, { "id": "TAR-08", "owner": "Programm-Owner", "source": "privacy_risk_register", "category": "Risk Posture", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 1 kritisch, 3 hoch/kritisch, 0 sofort fällig, 2 binnen 7 Tagen und 15 binnen 30 Tagen.", "guide_url": "/methodik", "answer_score": 30, "short_answer": "Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.", "answer_status": "offen", "manual_review": false, "external_share": "Executive Summary teilbar; Detailrisiken nach Freigabe.", "requester_question": "Welche offenen Datenschutzrisiken bestehen aktuell?" }, { "id": "TAR-09", "owner": "Compliance/IT", "source": "audit_receipt,evidence_integrity_manifest", "category": "Audit Evidence", "evidence": "Scan-ID fehlt, Prüfbeleg ja, Root-Hash 72d94a034ab73314.", "guide_url": "/methodik", "answer_score": 50, "short_answer": "JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist.", "answer_status": "offen", "manual_review": false, "external_share": "Sanitisierte Nachweispakete teilbar.", "requester_question": "Welche Nachweise können exportiert werden?" }, { "id": "TAR-10", "owner": "Betreiber/DSB", "source": "operator_evidence", "category": "Internal Evidence", "evidence": "Interne Betreiberartefakte nicht öffentlich abrufbar.", "guide_url": "/datenschutz-webseiten-report/", "answer_score": 35, "short_answer": "Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.", "answer_status": "Betreiber-Nachweis", "manual_review": true, "external_share": "Nur nach Betreiberfreigabe.", "requester_question": "Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?" } ], "evidence_requests": [ { "id": "internal_roles", "label": "Interne Rollen und DSB/Privacy Owner", "owner": "Betreiber/DSB", "status": "Betreiber-Nachweis", "expected_evidence": "RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum." }, { "id": "contracts", "label": "AVV/DPA, TOMs, Subprozessoren", "owner": "Legal/Vendor Owner", "status": "nach Bedarf", "expected_evidence": "Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste." }, { "id": "control_tests", "label": "Kontrolltest-Protokolle", "owner": "Compliance", "status": "teilweise", "expected_evidence": "Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test." }, { "id": "dsar_logs", "label": "DSAR-/Betroffenenrechte-Logs", "owner": "Datenschutz/Support", "status": "Betreiber-Nachweis", "expected_evidence": "Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung." } ], "share_pack": [ { "id": "public_report", "url": "https://saferpage.de/bvkj.de", "label": "Öffentlicher Kurzreport", "share_level": "öffentlich" }, { "id": "methodology", "url": "https://saferpage.de/methodik", "label": "Methodik", "share_level": "öffentlich" }, { "id": "evidence_zip", "url": "", "label": "ZIP-Nachweispaket", "share_level": "sanitisiert" }, { "id": "xlsx_tables", "url": "", "label": "Excel-Audit-Tabellen", "share_level": "sanitisiert" } ], "priority_actions": [ "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.", "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.", "Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.", "Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.", "Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.", "Wie werden Betroffenenanfragen bearbeitet?", "Welche technischen Webschutzmaßnahmen sind sichtbar?", "Welche offenen Datenschutzrisiken bestehen aktuell?", "Welche Nachweise können exportiert werden?", "Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?" ], "links": { "control_center": "https://saferpage.de/kontrollen/bvkj.de", "json": "https://saferpage.de/kontrollen/bvkj.de/export", "csv": "https://saferpage.de/kontrollen/bvkj.de/export-csv", "markdown": "https://saferpage.de/kontrollen/bvkj.de/audit-md", "trust_center": "https://saferpage.de/trust/bvkj.de", "evidence_center": "https://saferpage.de/nachweise/bvkj.de", "risk_center": "https://saferpage.de/risiko/bvkj.de", "incident_center": "https://saferpage.de/vorfall/bvkj.de", "report": "https://saferpage.de/bvkj.de" }, "sources": [ { "title": "TrustArc Privacy & Data Governance Framework", "url": "https://trustarc.com/trustarc-privacy-data-governance-accountability-framework/", "note": "Orientierung fuer Privacy Controls, Program Maturity und Accountability." }, { "title": "OneTrust Compliance Automation", "url": "https://www.onetrust.com/products/policy-management/", "note": "Orientierung fuer Controls, Evidence und Audit-Vorbereitung." }, { "title": "TrustArc Governance Suite", "url": "https://trustarc.com/products/privacy-data-governance/", "note": "Orientierung fuer Governance-Apps, Assessments und Kontrollmanagement." } ], "disclaimer": "Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben." }