{ "schema": "https://saferpage.de/schemas/dsar-rights-workflow.v1", "generated_at": "2026-06-08T17:24:39+00:00", "domain": "bmel.de", "scan": { "id": "f43284a5-436a-4aa7-92e2-5ec21c95b222", "checked_at": "2026-06-07 14:25:14.916996+02" }, "summary": "bmel.de Betroffenenrechte-Center: kritisch prüfen mit 5 Anfrageart(en), 5 Intake-Feld(ern) und 7 offenen Lücke(n)/Prüfpunkt(en).", "status": "kritisch prüfen", "score": 30, "metrics": { "rights_score": 12, "workflow_score": 48, "portal_score": 0, "gap_count": 7, "field_count": 5, "request_type_count": 5 }, "links": { "rights_center": "https://saferpage.de/rechte/bmel.de", "json": "https://saferpage.de/rechte/bmel.de/export", "csv": "https://saferpage.de/rechte/bmel.de/export-csv", "report": "https://saferpage.de/bmel.de", "privacy_center": "https://saferpage.de/datenschutz/bmel.de", "trust_package": "https://saferpage.de/trust/bmel.de/export", "risk_governance": "https://saferpage.de/risiko/bmel.de/export", "operator_tickets": "https://saferpage.de/betreiber/bmel.de/tickets", "change_timeline": "https://saferpage.de/aenderungen/bmel.de/export", "guide": "https://saferpage.de/guides/datenschutzerklaerung-verbessern" }, "request_types": [ { "id": "access", "label": "Auskunft", "owner": "Datenschutz/IT", "deadline": "1 Monat", "evidence": "Suchprotokoll, Export, Redaction-Log, Antwortnachweis.", "fulfillment": "Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen.", "intake_fields": "Identität, Suchumfang, relevante Dienste, Antwortkanal" }, { "id": "erasure", "label": "Löschung", "owner": "Fachbereich/IT/Vendor Owner", "deadline": "1 Monat", "evidence": "Löschprotokoll, Sperrvermerk, Ausnahmenbegründung.", "fulfillment": "Löschfähigkeit je System prüfen, Aufbewahrung/Legal Hold ausnehmen, Vendor-Aufgaben auslösen.", "intake_fields": "Betroffene Dienste, Konto/E-Mail, Rechtsgrund der Löschung" }, { "id": "rectification", "label": "Berichtigung", "owner": "Support/Fachbereich", "deadline": "1 Monat", "evidence": "Änderungsprotokoll und Bestätigung.", "fulfillment": "System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen.", "intake_fields": "Korrekturwert, Nachweis, betroffene Systeme" }, { "id": "objection_optout", "label": "Widerspruch / Opt-out", "owner": "Marketing/Datenschutz", "deadline": "1 Monat", "evidence": "Preference-Log, Suppression-List, Consent-State-Test.", "fulfillment": "Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren.", "intake_fields": "Zweck, Kanal, Profiling/Marketing/Tracking-Bezug" }, { "id": "portability", "label": "Datenübertragbarkeit", "owner": "Datenschutz/IT", "deadline": "1 Monat", "evidence": "Exportdatei, Formatbeschreibung, Zustellnachweis.", "fulfillment": "Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen.", "intake_fields": "Datenbereich, Ziel, Format" } ], "intake_fields": [ { "id": "request_type", "label": "Anfragetyp", "purpose": "Auskunft, Löschung, Berichtigung, Widerspruch, Einschränkung oder Portabilität auswählen.", "requirement": "erforderlich" }, { "id": "contact_channel", "label": "Antwortkanal", "purpose": "Sicheren Rückkanal für Rückfragen und Antwort festlegen.", "requirement": "erforderlich" }, { "id": "identity_reference", "label": "Identitätsbezug", "purpose": "Nur notwendige Angaben wie Kundennummer, Nutzerkonto oder E-Mail-Adresse erheben.", "requirement": "situativ" }, { "id": "scope", "label": "Umfang", "purpose": "Betroffene Dienste, Newsletter, Konto, Formular oder Zeitraum eingrenzen.", "requirement": "optional" }, { "id": "verification", "label": "Identitätsprüfung", "purpose": "Bei Risiko zusätzliche Prüfung verlangen, aber keine unnötigen Ausweiskopien speichern.", "requirement": "situativ" } ], "readiness_checks": [ { "id": "privacy_notice", "label": "Datenschutzerklärung erreichbar", "action": "Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.", "passed": false, "status": "fehlt", "weight": 16, "evidence": "Keine gut erkennbare Datenschutzerklärung im Scan.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "rights_description", "label": "Betroffenenrechte beschrieben", "action": "Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.", "passed": false, "status": "fehlt", "weight": 16, "evidence": "Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "privacy_contact", "label": "Kontaktkanal für Datenschutzanfragen", "action": "Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.", "passed": false, "status": "fehlt", "weight": 14, "evidence": "Kein klarer Datenschutzkontakt, E-Mail- oder Telefonkontakt erkannt.", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen", "manual_review": false }, { "id": "operator_identity", "label": "Verantwortlicher/Anbieter erkennbar", "action": "Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.", "passed": false, "status": "fehlt", "weight": 10, "evidence": "Impressum oder Anbieterkennzeichnung nicht klar erkannt.", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen", "manual_review": false }, { "id": "data_entry_context", "label": "Formulare mit Datenschutzkontext", "action": "Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.", "passed": false, "status": "fehlt", "weight": 12, "evidence": "Formulare/Newsletter erkannt, aber Datenschutzkontext fehlt.", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "manual_review": false }, { "id": "data_inventory", "label": "Datenarten und Systeme ableitbar", "action": "Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "2 Datenart(en), 2 Anbieter/Processor im Report ableitbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "disclosure_consistency", "label": "Datenschutzhinweis passt zur Technik", "action": "Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.", "passed": false, "status": "fehlt", "weight": 10, "evidence": "4 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "secure_response", "label": "Sichere Antwort- und Identitätsprüfung definiert", "action": "Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht sicher beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true } ], "workflow_steps": [ { "id": "public_intake", "label": "Öffentlicher Anfrageweg und Intake-Felder", "owner": "Support/Datenschutz", "action": "DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.", "passed": false, "status": "fehlt", "weight": 12, "evidence": "Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "identity_verification", "label": "Risikobasierte Identitätsprüfung", "owner": "Support/Legal", "action": "E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "deadline_management", "label": "Fristen und Eskalationen steuerbar", "owner": "Datenschutz/Programm-Owner", "action": "DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.", "passed": false, "status": "fehlt", "weight": 10, "evidence": "Regulatory-Watch 68/100, Rights-Lücken 7.", "guide_url": "/datenschutz-webseiten-report/", "manual_review": false }, { "id": "data_discovery_scope", "label": "Datenquellen aus RoPA/Data Map ableitbar", "owner": "Datenschutz/IT", "action": "Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.", "passed": true, "status": "vorhanden", "weight": 14, "evidence": "4 Verarbeitungstätigkeiten, 27 Data-Map-Knoten, 29 Kanten.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "vendor_tasking", "label": "Vendor-/Processor-Aufgaben ableitbar", "owner": "Vendor Owner/Legal", "action": "Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "2 Anbieter, 2 AVV-/DPA-Prüfungen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "manual_review": false }, { "id": "preference_optout_link", "label": "Widerspruch/Opt-out mit Präferenzen verknüpft", "owner": "Marketing/Datenschutz", "action": "Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.", "passed": true, "status": "vorhanden", "weight": 8, "evidence": "Preference-Center-Readiness 70/100; 6/9 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/tracking-und-consent-reparieren", "manual_review": false }, { "id": "redaction_exemptions", "label": "Redaction, Drittpersonen und Ausnahmen prüfbar", "owner": "Legal/Datenschutz", "action": "Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "secure_delivery", "label": "Sichere Zustellung und Antwortpaket", "owner": "IT/Support", "action": "Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "audit_trail", "label": "Audit-Trail und Integritätsnachweis", "owner": "Compliance/IT", "action": "Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Prüfbeleg vorhanden, Root-Hash be673a246b80dcb8.", "guide_url": "/methodik", "manual_review": false }, { "id": "workflow_metrics", "label": "Workflow-Kennzahlen und Backlog steuerbar", "owner": "Programm-Owner", "action": "Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.", "passed": true, "status": "vorhanden", "weight": 6, "evidence": "Remediation Workflow mit 8 Ticket(s): 6 sofort starten, 2 einplanen, 0 im Backlog.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false } ], "portal_launch_checklist": [ { "label": "Öffentliche Rechte-Seite", "ready": false, "evidence": "Zentrale Seite für Betroffenenrechte veröffentlichen." }, { "label": "Formularfelder minimiert", "ready": false, "evidence": "Nur notwendige Felder abfragen." }, { "label": "Fristenkalender", "ready": false, "evidence": "1-Monatsfrist und Verlängerung steuerbar machen." }, { "label": "Sichere Antwort", "ready": false, "evidence": "Antwortweg und Identitätsprüfung dokumentieren." } ], "regional_localization": [ { "label": "Deutschland", "language": "de-DE", "authority": "BfDI/Landesdatenschutzbehörden", "dsar_deadline": "1 Monat" }, { "label": "Österreich", "language": "de-AT", "authority": "Datenschutzbehörde Österreich", "dsar_deadline": "1 Monat" }, { "label": "Schweiz", "language": "de-CH", "authority": "EDÖB", "dsar_deadline": "in der Regel 30 Tage" }, { "label": "EU/EWR", "language": "de/en", "authority": "EDPB und nationale Aufsichten", "dsar_deadline": "1 Monat" } ], "operator_actions": [ { "label": "Anfragekanal veröffentlichen", "action": "Rechte-Seite oder Formular direkt aus Datenschutzerklärung, Footer und Datenschutz-Center verlinken.", "href": "/guides/datenschutzerklaerung-verbessern" }, { "label": "Friststeuerung einrichten", "action": "Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.", "href": "/bmel.de#dsar-workflow" }, { "label": "Suchscope definieren", "action": "Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.", "href": "/bmel.de#data-discovery" }, { "label": "Sichere Antwort vorbereiten", "action": "Identitätsprüfung, Redaction, sichere Zustellung und Freigabe vor Produktivstart testen.", "href": "/bmel.de#betroffenenrechte" } ], "response_policy": { "default_deadline": "1 Monat", "extension_note": "Bei komplexen oder zahlreichen Anfragen kann eine Verlängerung nach DSGVO dokumentiert werden.", "identity_minimization": "Identitätsnachweise nur erheben, soweit zur Vermeidung unberechtigter Auskünfte erforderlich.", "secure_delivery": "Antwortweg, Redaction, Vier-Augen-Prüfung und Versandnachweis im Betreiberprozess dokumentieren." }, "disclaimer": "Automatisch aus SaferPage-Website-Evidenz abgeleiteter DSAR-Workflow-Entwurf. Er ersetzt kein echtes Betroffenenrechte-Portal, keine Identitätsprüfung und keine rechtliche Einzelfallentscheidung." }