Control Framework / Audit Response / Evidence

kinderaerzte-im-netz.de: Datenschutzkontrollen und Audit-Antworten

Privacy Controls Framework 63/100; 6/16 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.

Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben.

63 ausbaufähig
Trust Center Nachweise Risiko Vorfall JSON CSV Audit MD
63Control Score 16Kontrollen 6wirksam 6offen 58Audit Score 10Antworten 4Evidence Requests

Kontrollen

Owner, Testfrequenz und Abnahmekriterien

JSON exportieren
PCF-01 · Nicht notwendige Verarbeitung vor Einwilligung blockieren teilweise · Score 78 · Marketing/IT · bei jedem Release

Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.

Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.
PCF-02 · Dauerhafter Widerruf und Preference Center lücke · Score 38 · Marketing/Compliance · quartalsweise

Preference-Center-Readiness 38/100; 3/9 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.

Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.
PCF-03 · Datenschutzhinweise versionieren und synchronisieren teilweise · Score 74 · Datenschutz/Content · monatlich

Policy-/Notice-Lifecycle-Readiness 74/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.

Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.
PCF-04 · Datenklassen und Discovery-Scope pflegen wirksam · Score 93 · Datenschutz/IT · monatlich

Data-Discovery-/Classification-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.

Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.
PCF-05 · Reproduzierbarer Scan- und Monitoring-Prozess wirksam · Score 93 · IT/Compliance · laufend

Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.

Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.
PCF-06 · Top-Risiken mit Owner und SLA steuern lücke · Score 16 · Programm-Owner · wöchentlich

Privacy Risk Register: 18 Risikozeile(n), 3 kritisch, 10 hoch/kritisch, 0 sofort fällig, 7 binnen 7 Tagen und 10 binnen 30 Tagen.

Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.
PCF-07 · DACH/EU-Quellen und Pflichten rückverfolgbar halten teilweise · Score 68 · Datenschutz/Legal · monatlich

Regulatory-Watch-Readiness 68/100; 10 Quellen, 6 offizielle Quelle(n), 10 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.

Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.
PCF-08 · Betroffenenrechte und DSAR-Workflow operationalisieren teilweise · Score 62 · Datenschutz/Support · quartalsweise

Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 62/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.

Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.
PCF-09 · PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen wirksam · Score 94 · Datenschutz/Product · bei jedem Release

Assessment-Automation-Readiness 94/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.

Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.
PCF-10 · Speicherfristen und Löschung nach Datenklasse steuern wirksam · Score 81 · Datenschutz/Legal/IT · quartalsweise

Retention-/Deletion-Readiness 81/100; 8/10 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.

Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.
PCF-11 · Vendor Lifecycle und Drittanbieterakten steuern wirksam · Score 86 · Legal/Vendor Owner · quartalsweise

Vendor-Lifecycle-Readiness 86/100; 9/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen. Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).

Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.
PCF-12 · DPIA/DSFA und Data Map verbinden lücke · Score 44 · Datenschutz/Product/IT · bei jedem Release

DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 48/100, 3 ausgelöste Risikofaktor(en), 3 hoch. Data Map mit 20 Knoten und 20 Datenfluss-Kanten; 11 Kante(n) hohes Risiko, 1 Transfer-Kante(n), 3 offene Mapping-Fragen.

DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.
PCF-13 · AI-/Profiling-/Automated-Decisioning-Kontrollen lücke · Score 11 · Datenschutz/Product/Legal · quartalsweise

AI-Governance-Readiness 11/100; 4 Signal(e), 3 erkannt, 1 hohes Risiko, 5 offene Kontrolle(n).

AI-Signale, Use Cases, Controls und Assessment Questions prüfen.
PCF-14 · Webschutz und Breach Readiness lücke · Score 38 · IT/Security/DSB · monatlich

1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. Incident-/Breach-Readiness 38/100; 5 Szenario(s), 1 kritisch, 3 hoch/kritisch und 4 offene Nachweisposition(en).

Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.
PCF-15 · Auditfähige Nachweise und Integrität sichern wirksam · Score 90 · Compliance/IT · bei jedem Scan

Prüfbeleg vorhanden, Root-Hash ba6e4efcb1450a41.

Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.
PCF-16 · Interne Betreiber-Nachweise einsammeln Betreiber-Nachweis · Score 35 · Betreiber/DSB · laufend

Aus öffentlichem Website-Scan nicht beweisbar.

Betreiberartefakte hochladen oder im Trust Center verlinken: AVV/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.

Audit Response

Antworten fuer Kunden, Procurement und Pruefer

Audit MD exportieren
Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten? teilweise · Score 63 · Programm-Owner/DSB

Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.

Zusammenfassung ja, interne Rollen nur nach Freigabe.
Wie werden Cookies, Tracker und Einwilligungen kontrolliert? teilweise · Score 78 · Marketing/IT

SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.

Technische Zusammenfassung und sanitisierte Tabellen teilbar.
Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert? antwortbereit · Score 100 · Datenschutz/Content

Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.

Öffentliche Reportabschnitte teilbar.
Wie werden Subprozessoren, Drittanbieter und Transfers geprüft? antwortbereit · Score 95 · Legal/Vendor Owner

Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.

Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.
Wie werden Betroffenenanfragen bearbeitet? teilweise · Score 62 · Datenschutz/Support

DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.

Prozessantwort teilbar; echte Tickets intern.
Welche technischen Webschutzmaßnahmen sind sichtbar? offen · Score 46 · IT/Security

Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.

Technische Zusammenfassung teilbar; interne Architektur separat freigeben.
Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess? offen · Score 38 · DSB/Legal/IT

Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.

Prozessbeschreibung teilbar; Vorfalldetails intern.
Welche offenen Datenschutzrisiken bestehen aktuell? offen · Score 16 · Programm-Owner

Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.

Executive Summary teilbar; Detailrisiken nach Freigabe.
Welche Nachweise können exportiert werden? offen · Score 50 · Compliance/IT

JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist.

Sanitisierte Nachweispakete teilbar.
Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden? Betreiber-Nachweis · Score 35 · Betreiber/DSB

Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.

Nur nach Betreiberfreigabe.

Testplan

Regelmaessige Kontrolltests und Evidence Requests

bei jedem Release · Website-Betrieb/Datenschutz

Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen.

Scan-ID, Ticket-Entscheidung, Exportpaket.
monatlich · Datenschutz/Legal

Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.

Review-Protokoll, Quellenmatrix, offene Entscheidungen.
quartalsweise · Programm-Owner

Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.

Kontrolltest, Stichprobe, Abweichung, Maßnahme.
Betreiber-Nachweis · Interne Rollen und DSB/Privacy Owner

RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum.

Betreiber/DSB
Betreiber-Nachweis · AVV/DPA, TOMs, Subprozessoren

Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste.

Legal/Vendor Owner
teilweise · Kontrolltest-Protokolle

Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test.

Compliance
Betreiber-Nachweis · DSAR-/Betroffenenrechte-Logs

Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung.

Datenschutz/Support