Control Framework / Audit Response / Evidence

kenn-dein-limit.de: Datenschutzkontrollen und Audit-Antworten

Privacy Controls Framework 60/100; 4/16 Kontrolle(n) wirksam, 7 offen oder Betreiber-Nachweis.

Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben.

60 ausbaufähig
Trust Center Nachweise Risiko Vorfall JSON CSV Audit MD
60Control Score 16Kontrollen 4wirksam 7offen 65Audit Score 10Antworten 4Evidence Requests

Kontrollen

Owner, Testfrequenz und Abnahmekriterien

JSON exportieren
PCF-01 · Nicht notwendige Verarbeitung vor Einwilligung blockieren wirksam · Score 82 · Marketing/IT · bei jedem Release

Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.

Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.
PCF-02 · Dauerhafter Widerruf und Preference Center lücke · Score 48 · Marketing/Compliance · quartalsweise

Preference-Center-Readiness 48/100; 4/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.

Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.
PCF-03 · Datenschutzhinweise versionieren und synchronisieren teilweise · Score 60 · Datenschutz/Content · monatlich

Policy-/Notice-Lifecycle-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.

Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.
PCF-04 · Datenklassen und Discovery-Scope pflegen wirksam · Score 85 · Datenschutz/IT · monatlich

Data-Discovery-/Classification-Readiness 85/100; 9/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.

Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.
PCF-05 · Reproduzierbarer Scan- und Monitoring-Prozess wirksam · Score 93 · IT/Compliance · laufend

Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.

Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.
PCF-06 · Top-Risiken mit Owner und SLA steuern lücke · Score 32 · Programm-Owner · wöchentlich

Privacy Risk Register: 17 Risikozeile(n), 0 kritisch, 3 hoch/kritisch, 0 sofort fällig, 3 binnen 7 Tagen und 14 binnen 30 Tagen.

Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.
PCF-07 · DACH/EU-Quellen und Pflichten rückverfolgbar halten teilweise · Score 58 · Datenschutz/Legal · monatlich

Regulatory-Watch-Readiness 58/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.

Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.
PCF-08 · Betroffenenrechte und DSAR-Workflow operationalisieren lücke · Score 52 · Datenschutz/Support · quartalsweise

Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 52/100; 5/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Betreiber-Nachweise offen.

Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.
PCF-09 · PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen teilweise · Score 63 · Datenschutz/Product · bei jedem Release

Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.

Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.
PCF-10 · Speicherfristen und Löschung nach Datenklasse steuern teilweise · Score 71 · Datenschutz/Legal/IT · quartalsweise

Retention-/Deletion-Readiness 71/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.

Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.
PCF-11 · Vendor Lifecycle und Drittanbieterakten steuern lücke · Score 49 · Legal/Vendor Owner · quartalsweise

Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen. Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.

Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.
PCF-12 · DPIA/DSFA und Data Map verbinden lücke · Score 35 · Datenschutz/Product/IT · bei jedem Release

DPIA/DSFA-Screening: pruefen, Risiko-Score 18/100, 1 ausgelöste Risikofaktor(en), 1 hoch. Data Map mit 10 Knoten und 9 Datenfluss-Kanten; 0 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.

DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.
PCF-13 · AI-/Profiling-/Automated-Decisioning-Kontrollen lücke · Score 40 · Datenschutz/Product/Legal · quartalsweise

AI-Governance-Readiness 40/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).

AI-Signale, Use Cases, Controls und Assessment Questions prüfen.
PCF-14 · Webschutz und Breach Readiness teilweise · Score 66 · IT/Security/DSB · monatlich

5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 2 Direktive(n), 1 Warnung(en), 2 Hinweis(e). Incident-/Breach-Readiness 66/100; 5 Szenario(s), 0 kritisch, 1 hoch/kritisch und 3 offene Nachweisposition(en).

Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.
PCF-15 · Auditfähige Nachweise und Integrität sichern wirksam · Score 90 · Compliance/IT · bei jedem Scan

Prüfbeleg vorhanden, Root-Hash 86151056afb1bc81.

Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.
PCF-16 · Interne Betreiber-Nachweise einsammeln Betreiber-Nachweis · Score 35 · Betreiber/DSB · laufend

Aus öffentlichem Website-Scan nicht beweisbar.

Betreiberartefakte hochladen oder im Trust Center verlinken: AVV/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.

Audit Response

Antworten fuer Kunden, Procurement und Pruefer

Audit MD exportieren
Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten? teilweise · Score 60 · Programm-Owner/DSB

Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.

Zusammenfassung ja, interne Rollen nur nach Freigabe.
Wie werden Cookies, Tracker und Einwilligungen kontrolliert? antwortbereit · Score 82 · Marketing/IT

SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.

Technische Zusammenfassung und sanitisierte Tabellen teilbar.
Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert? antwortbereit · Score 100 · Datenschutz/Content

Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.

Öffentliche Reportabschnitte teilbar.
Wie werden Subprozessoren, Drittanbieter und Transfers geprüft? antwortbereit · Score 100 · Legal/Vendor Owner

Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.

Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.
Wie werden Betroffenenanfragen bearbeitet? offen · Score 52 · Datenschutz/Support

DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.

Prozessantwort teilbar; echte Tickets intern.
Welche technischen Webschutzmaßnahmen sind sichtbar? teilweise · Score 70 · IT/Security

Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.

Technische Zusammenfassung teilbar; interne Architektur separat freigeben.
Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess? teilweise · Score 66 · DSB/Legal/IT

Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.

Prozessbeschreibung teilbar; Vorfalldetails intern.
Welche offenen Datenschutzrisiken bestehen aktuell? offen · Score 32 · Programm-Owner

Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.

Executive Summary teilbar; Detailrisiken nach Freigabe.
Welche Nachweise können exportiert werden? offen · Score 50 · Compliance/IT

JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist.

Sanitisierte Nachweispakete teilbar.
Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden? Betreiber-Nachweis · Score 35 · Betreiber/DSB

Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.

Nur nach Betreiberfreigabe.

Testplan

Regelmaessige Kontrolltests und Evidence Requests

bei jedem Release · Website-Betrieb/Datenschutz

Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen.

Scan-ID, Ticket-Entscheidung, Exportpaket.
monatlich · Datenschutz/Legal

Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.

Review-Protokoll, Quellenmatrix, offene Entscheidungen.
quartalsweise · Programm-Owner

Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.

Kontrolltest, Stichprobe, Abweichung, Maßnahme.
Betreiber-Nachweis · Interne Rollen und DSB/Privacy Owner

RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum.

Betreiber/DSB
nach Bedarf · AVV/DPA, TOMs, Subprozessoren

Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste.

Legal/Vendor Owner
teilweise · Kontrolltest-Protokolle

Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test.

Compliance
Betreiber-Nachweis · DSAR-/Betroffenenrechte-Logs

Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung.

Datenschutz/Support