{ "schema": "https://saferpage.de/schemas/privacy-control-framework.v1", "generated_at": "2026-06-08T22:23:33+00:00", "domain": "kinderaerzte-im-netz.de", "available": true, "scan": { "id": "8dbe21a8-7cdb-4af9-87a5-58c20879f297", "checked_at": "2026-06-08 14:56:15.307688+02" }, "status": "ausbaufähig", "summary": "Privacy Controls Framework 63/100; 6/16 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.", "metrics": { "control_score": 63, "control_count": 16, "effective_count": 6, "open_count": 6, "domain_count": 15, "response_score": 58, "response_count": 10, "ready_response_count": 2, "evidence_request_count": 4 }, "controls": [ { "owner": "Marketing/IT", "title": "Nicht notwendige Verarbeitung vor Einwilligung blockieren", "domain": "Consent & Preferences", "source": "consent_audit", "status": "teilweise", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "frequency": "bei jedem Release", "guide_url": "/guides/tracking-und-consent-reparieren", "control_id": "PCF-01", "requirement": "Nicht notwendige Cookies, Tracker und Vendoren dürfen erst nach wirksamer Einwilligung starten.", "control_score": 78, "manual_review": false, "test_procedure": "Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Marketing/Compliance", "title": "Dauerhafter Widerruf und Preference Center", "domain": "Consent & Preferences", "source": "preference_center_readiness", "status": "lücke", "evidence": "Preference-Center-Readiness 38/100; 3/9 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/tracking-und-consent-reparieren", "control_id": "PCF-02", "requirement": "Nutzer müssen Präferenzen dauerhaft, granular und gleichwertig ändern können.", "control_score": 38, "manual_review": false, "test_procedure": "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Content", "title": "Datenschutzhinweise versionieren und synchronisieren", "domain": "Transparency", "source": "notice_policy_lifecycle", "status": "teilweise", "evidence": "Policy-/Notice-Lifecycle-Readiness 74/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern", "control_id": "PCF-03", "requirement": "Notice, Cookie-Erklärung, Anbieterregister und beobachtete Technik müssen konsistent sein.", "control_score": 74, "manual_review": false, "test_procedure": "Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/IT", "title": "Datenklassen und Discovery-Scope pflegen", "domain": "Data Governance", "source": "data_discovery_classification", "status": "wirksam", "evidence": "Data-Discovery-/Classification-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-04", "requirement": "Personenbezogene Datenarten, Quellen, PII-Risiken, Vendor Stores und DSAR-Suchscope sind klassifiziert.", "control_score": 93, "manual_review": false, "test_procedure": "Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "IT/Compliance", "title": "Reproduzierbarer Scan- und Monitoring-Prozess", "domain": "Monitoring", "source": "scan_configuration_readiness", "status": "wirksam", "evidence": "Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.", "frequency": "laufend", "guide_url": "/methodik", "control_id": "PCF-05", "requirement": "User-Agent, Crawl-Scope, Recrawl, Performance-Grenzen und Betreiberfreigabe sind dokumentiert.", "control_score": 93, "manual_review": false, "test_procedure": "Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Programm-Owner", "title": "Top-Risiken mit Owner und SLA steuern", "domain": "Risk Management", "source": "privacy_risk_register", "status": "lücke", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 3 kritisch, 10 hoch/kritisch, 0 sofort fällig, 7 binnen 7 Tagen und 10 binnen 30 Tagen.", "frequency": "wöchentlich", "guide_url": "/methodik", "control_id": "PCF-06", "requirement": "Hohe Datenschutzrisiken brauchen Owner, SLA, Entscheidung, Nachweisquelle und Restrestrisiko.", "control_score": 16, "manual_review": false, "test_procedure": "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Legal", "title": "DACH/EU-Quellen und Pflichten rückverfolgbar halten", "domain": "Regulatory Watch", "source": "regulatory_watch_readiness", "status": "teilweise", "evidence": "Regulatory-Watch-Readiness 68/100; 10 Quellen, 6 offizielle Quelle(n), 10 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/datenschutz-webseiten-report/", "control_id": "PCF-07", "requirement": "Befunde müssen auf offizielle Quellen, Pflichten, Guides und Review-Kadenz rückverfolgbar sein.", "control_score": 68, "manual_review": false, "test_procedure": "Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Support", "title": "Betroffenenrechte und DSAR-Workflow operationalisieren", "domain": "DSAR", "source": "dsar_workflow_readiness", "status": "teilweise", "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 62/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/datenschutzerklaerung-verbessern", "control_id": "PCF-08", "requirement": "Auskunft, Löschung, Widerspruch, Fristen, Identitätsprüfung, Redaction und Antwortpakete sind vorbereitet.", "control_score": 62, "manual_review": false, "test_procedure": "Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product", "title": "PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen", "domain": "Assessment Automation", "source": "privacy_assessment_automation", "status": "wirksam", "evidence": "Assessment-Automation-Readiness 94/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.", "frequency": "bei jedem Release", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-09", "requirement": "Assessments werden aus Website-, Data-Map-, Vendor-, Risk- und Evidence-Signalen getriggert.", "control_score": 94, "manual_review": false, "test_procedure": "Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Legal/IT", "title": "Speicherfristen und Löschung nach Datenklasse steuern", "domain": "Retention", "source": "retention_deletion_readiness", "status": "wirksam", "evidence": "Retention-/Deletion-Readiness 81/100; 8/10 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-10", "requirement": "Retention Schedule, Löschtrigger, Vendor-Löschung, Backups und Löschprotokolle sind nachvollziehbar.", "control_score": 81, "manual_review": false, "test_procedure": "Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Legal/Vendor Owner", "title": "Vendor Lifecycle und Drittanbieterakten steuern", "domain": "Vendor Risk", "source": "vendor_lifecycle_risk", "status": "wirksam", "evidence": "Vendor-Lifecycle-Readiness 86/100; 9/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen. Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).", "frequency": "quartalsweise", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "control_id": "PCF-11", "requirement": "Anbieterrollen, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding sind prüfbar.", "control_score": 86, "manual_review": false, "test_procedure": "Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product/IT", "title": "DPIA/DSFA und Data Map verbinden", "domain": "Privacy by Design", "source": "dpia_screening", "status": "lücke", "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 48/100, 3 ausgelöste Risikofaktor(en), 3 hoch. Data Map mit 20 Knoten und 20 Datenfluss-Kanten; 11 Kante(n) hohes Risiko, 1 Transfer-Kante(n), 3 offene Mapping-Fragen.", "frequency": "bei jedem Release", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-12", "requirement": "Hohe Risiken, Verarbeitungstätigkeiten und Datenflüsse werden vor Go-live bewertet.", "control_score": 44, "manual_review": false, "test_procedure": "DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product/Legal", "title": "AI-/Profiling-/Automated-Decisioning-Kontrollen", "domain": "AI Governance", "source": "ai_governance_readiness", "status": "lücke", "evidence": "AI-Governance-Readiness 11/100; 4 Signal(e), 3 erkannt, 1 hohes Risiko, 5 offene Kontrolle(n).", "frequency": "quartalsweise", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-13", "requirement": "AI-, Chat-, Profiling- und automatisierte Entscheidungs-Use-Cases sind inventarisiert und bewertet.", "control_score": 11, "manual_review": false, "test_procedure": "AI-Signale, Use Cases, Controls und Assessment Questions prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "IT/Security/DSB", "title": "Webschutz und Breach Readiness", "domain": "Security & Incident", "source": "incident_breach_readiness", "status": "lücke", "evidence": "1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. Incident-/Breach-Readiness 38/100; 5 Szenario(s), 1 kritisch, 3 hoch/kritisch und 4 offene Nachweisposition(en).", "frequency": "monatlich", "guide_url": "/guides/security-header-setzen", "control_id": "PCF-14", "requirement": "Security-Header, Beweissicherung, Incident Owner, 72h-Prüfung und Meldeentscheidung sind vorbereitet.", "control_score": 38, "manual_review": false, "test_procedure": "Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Compliance/IT", "title": "Auditfähige Nachweise und Integrität sichern", "domain": "Audit Evidence", "source": "audit_receipt", "status": "wirksam", "evidence": "Prüfbeleg vorhanden, Root-Hash ba6e4efcb1450a41.", "frequency": "bei jedem Scan", "guide_url": "/methodik", "control_id": "PCF-15", "requirement": "Prüfbeleg, Hash-Manifest, Exportpaket und Screenshot sind versioniert und reproduzierbar.", "control_score": 90, "manual_review": false, "test_procedure": "Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Betreiber/DSB", "title": "Interne Betreiber-Nachweise einsammeln", "domain": "Operator Evidence", "source": "operator_evidence", "status": "Betreiber-Nachweis", "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.", "frequency": "laufend", "guide_url": "/datenschutz-webseiten-report/", "control_id": "PCF-16", "requirement": "Interne Systeme, Freigaben, Verträge, DSFA-Entscheidungen und Kontrolltests werden als Betreiberartefakte ergänzt.", "control_score": 35, "manual_review": true, "test_procedure": "Betreiberartefakte hochladen oder im Trust Center verlinken: AVV/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.", "acceptance_criterion": "Betreiber lädt Nachweis, Entscheidung und Freigabe hoch." } ], "control_domains": [ { "domain": "AI Governance", "open_count": 1, "domain_score": 11, "control_count": 1 }, { "domain": "Risk Management", "open_count": 1, "domain_score": 16, "control_count": 1 }, { "domain": "Operator Evidence", "open_count": 1, "domain_score": 35, "control_count": 1 }, { "domain": "Security & Incident", "open_count": 1, "domain_score": 38, "control_count": 1 }, { "domain": "Privacy by Design", "open_count": 1, "domain_score": 44, "control_count": 1 }, { "domain": "Consent & Preferences", "open_count": 1, "domain_score": 58, "control_count": 2 }, { "domain": "DSAR", "open_count": 0, "domain_score": 62, "control_count": 1 }, { "domain": "Regulatory Watch", "open_count": 0, "domain_score": 68, "control_count": 1 }, { "domain": "Transparency", "open_count": 0, "domain_score": 74, "control_count": 1 }, { "domain": "Retention", "open_count": 0, "domain_score": 81, "control_count": 1 }, { "domain": "Vendor Risk", "open_count": 0, "domain_score": 86, "control_count": 1 }, { "domain": "Audit Evidence", "open_count": 0, "domain_score": 90, "control_count": 1 }, { "domain": "Data Governance", "open_count": 0, "domain_score": 93, "control_count": 1 }, { "domain": "Monitoring", "open_count": 0, "domain_score": 93, "control_count": 1 }, { "domain": "Assessment Automation", "open_count": 0, "domain_score": 94, "control_count": 1 } ], "test_plan": [ { "id": "release_gate", "test": "Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen.", "owner": "Website-Betrieb/Datenschutz", "cadence": "bei jedem Release", "evidence": "Scan-ID, Ticket-Entscheidung, Exportpaket." }, { "id": "monthly_review", "test": "Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.", "owner": "Datenschutz/Legal", "cadence": "monatlich", "evidence": "Review-Protokoll, Quellenmatrix, offene Entscheidungen." }, { "id": "quarterly_control_test", "test": "Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.", "owner": "Programm-Owner", "cadence": "quartalsweise", "evidence": "Kontrolltest, Stichprobe, Abweichung, Maßnahme." } ], "audit_responses": [ { "id": "TAR-01", "owner": "Programm-Owner/DSB", "source": "privacy_control_framework", "category": "Privacy Program", "evidence": "Privacy Controls Framework 63/100; 6/16 Kontrolle(n) wirksam, 6 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "answer_score": 63, "short_answer": "Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.", "answer_status": "teilweise", "manual_review": false, "external_share": "Zusammenfassung ja, interne Rollen nur nach Freigabe.", "requester_question": "Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?" }, { "id": "TAR-02", "owner": "Marketing/IT", "source": "consent_audit", "category": "Consent", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "guide_url": "/guides/tracking-und-consent-reparieren", "answer_score": 78, "short_answer": "SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.", "answer_status": "teilweise", "manual_review": false, "external_share": "Technische Zusammenfassung und sanitisierte Tabellen teilbar.", "requester_question": "Wie werden Cookies, Tracker und Einwilligungen kontrolliert?" }, { "id": "TAR-03", "owner": "Datenschutz/Content", "source": "privacy_notice_draft,cookie_declaration_document", "category": "Transparency", "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 1 Drittanbieter-Domain(s), 0 Storage-Key(s). Cookie-Erklärung mit 0 Eintrag/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 0 unklassifiziert.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "answer_score": 100, "short_answer": "Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Öffentliche Reportabschnitte teilbar.", "requester_question": "Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert?" }, { "id": "TAR-04", "owner": "Legal/Vendor Owner", "source": "vendor_due_diligence", "category": "Vendor Risk", "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "answer_score": 95, "short_answer": "Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.", "requester_question": "Wie werden Subprozessoren, Drittanbieter und Transfers geprüft?" }, { "id": "TAR-05", "owner": "Datenschutz/Support", "source": "dsar_workflow_readiness", "category": "DSAR", "evidence": "DSAR-Workflow-Readiness 62/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "answer_score": 62, "short_answer": "DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.", "answer_status": "teilweise", "manual_review": false, "external_share": "Prozessantwort teilbar; echte Tickets intern.", "requester_question": "Wie werden Betroffenenanfragen bearbeitet?" }, { "id": "TAR-06", "owner": "IT/Security", "source": "security_header_analysis", "category": "Security", "evidence": "1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.", "guide_url": "/guides/security-header-setzen", "answer_score": 46, "short_answer": "Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.", "answer_status": "offen", "manual_review": false, "external_share": "Technische Zusammenfassung teilbar; interne Architektur separat freigeben.", "requester_question": "Welche technischen Webschutzmaßnahmen sind sichtbar?" }, { "id": "TAR-07", "owner": "DSB/Legal/IT", "source": "incident_breach_readiness", "category": "Incident Response", "evidence": "Incident-/Breach-Readiness 38/100; 5 Szenario(s), 1 kritisch, 3 hoch/kritisch und 4 offene Nachweisposition(en).", "guide_url": "/guides/security-header-setzen", "answer_score": 38, "short_answer": "Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.", "answer_status": "offen", "manual_review": false, "external_share": "Prozessbeschreibung teilbar; Vorfalldetails intern.", "requester_question": "Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess?" }, { "id": "TAR-08", "owner": "Programm-Owner", "source": "privacy_risk_register", "category": "Risk Posture", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 3 kritisch, 10 hoch/kritisch, 0 sofort fällig, 7 binnen 7 Tagen und 10 binnen 30 Tagen.", "guide_url": "/methodik", "answer_score": 16, "short_answer": "Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.", "answer_status": "offen", "manual_review": false, "external_share": "Executive Summary teilbar; Detailrisiken nach Freigabe.", "requester_question": "Welche offenen Datenschutzrisiken bestehen aktuell?" }, { "id": "TAR-09", "owner": "Compliance/IT", "source": "audit_receipt,evidence_integrity_manifest", "category": "Audit Evidence", "evidence": "Scan-ID fehlt, Prüfbeleg ja, Root-Hash ba6e4efcb1450a41.", "guide_url": "/methodik", "answer_score": 50, "short_answer": "JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist.", "answer_status": "offen", "manual_review": false, "external_share": "Sanitisierte Nachweispakete teilbar.", "requester_question": "Welche Nachweise können exportiert werden?" }, { "id": "TAR-10", "owner": "Betreiber/DSB", "source": "operator_evidence", "category": "Internal Evidence", "evidence": "Interne Betreiberartefakte nicht öffentlich abrufbar.", "guide_url": "/datenschutz-webseiten-report/", "answer_score": 35, "short_answer": "Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.", "answer_status": "Betreiber-Nachweis", "manual_review": true, "external_share": "Nur nach Betreiberfreigabe.", "requester_question": "Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?" } ], "evidence_requests": [ { "id": "internal_roles", "label": "Interne Rollen und DSB/Privacy Owner", "owner": "Betreiber/DSB", "status": "Betreiber-Nachweis", "expected_evidence": "RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum." }, { "id": "contracts", "label": "AVV/DPA, TOMs, Subprozessoren", "owner": "Legal/Vendor Owner", "status": "Betreiber-Nachweis", "expected_evidence": "Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste." }, { "id": "control_tests", "label": "Kontrolltest-Protokolle", "owner": "Compliance", "status": "teilweise", "expected_evidence": "Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test." }, { "id": "dsar_logs", "label": "DSAR-/Betroffenenrechte-Logs", "owner": "Datenschutz/Support", "status": "Betreiber-Nachweis", "expected_evidence": "Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung." } ], "share_pack": [ { "id": "public_report", "url": "https://saferpage.de/kinderaerzte-im-netz.de", "label": "Öffentlicher Kurzreport", "share_level": "öffentlich" }, { "id": "methodology", "url": "https://saferpage.de/methodik", "label": "Methodik", "share_level": "öffentlich" }, { "id": "evidence_zip", "url": "", "label": "ZIP-Nachweispaket", "share_level": "sanitisiert" }, { "id": "xlsx_tables", "url": "", "label": "Excel-Audit-Tabellen", "share_level": "sanitisiert" } ], "priority_actions": [ "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.", "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.", "DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.", "AI-Signale, Use Cases, Controls und Assessment Questions prüfen.", "Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.", "Welche technischen Webschutzmaßnahmen sind sichtbar?", "Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess?", "Welche offenen Datenschutzrisiken bestehen aktuell?", "Welche Nachweise können exportiert werden?", "Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?" ], "links": { "control_center": "https://saferpage.de/kontrollen/kinderaerzte-im-netz.de", "json": "https://saferpage.de/kontrollen/kinderaerzte-im-netz.de/export", "csv": "https://saferpage.de/kontrollen/kinderaerzte-im-netz.de/export-csv", "markdown": "https://saferpage.de/kontrollen/kinderaerzte-im-netz.de/audit-md", "trust_center": "https://saferpage.de/trust/kinderaerzte-im-netz.de", "evidence_center": "https://saferpage.de/nachweise/kinderaerzte-im-netz.de", "risk_center": "https://saferpage.de/risiko/kinderaerzte-im-netz.de", "incident_center": "https://saferpage.de/vorfall/kinderaerzte-im-netz.de", "report": "https://saferpage.de/kinderaerzte-im-netz.de" }, "sources": [ { "title": "TrustArc Privacy & Data Governance Framework", "url": "https://trustarc.com/trustarc-privacy-data-governance-accountability-framework/", "note": "Orientierung fuer Privacy Controls, Program Maturity und Accountability." }, { "title": "OneTrust Compliance Automation", "url": "https://www.onetrust.com/products/policy-management/", "note": "Orientierung fuer Controls, Evidence und Audit-Vorbereitung." }, { "title": "TrustArc Governance Suite", "url": "https://trustarc.com/products/privacy-data-governance/", "note": "Orientierung fuer Governance-Apps, Assessments und Kontrollmanagement." } ], "disclaimer": "Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben." }