{ "schema": "https://saferpage.de/schemas/dsar-rights-workflow.v1", "generated_at": "2026-06-08T17:24:05+00:00", "domain": "d-s-e-e.de", "scan": { "id": "8448f22c-bace-4cf4-86d6-96b9b760d049", "checked_at": "2026-06-07 20:02:32.827555+02" }, "summary": "d-s-e-e.de Betroffenenrechte-Center: ausbaufähig mit 5 Anfrageart(en), 6 Intake-Feld(ern) und 3 offenen Lücke(n)/Prüfpunkt(en).", "status": "ausbaufähig", "score": 73, "metrics": { "rights_score": 64, "workflow_score": 62, "portal_score": 92, "gap_count": 3, "field_count": 6, "request_type_count": 5 }, "links": { "rights_center": "https://saferpage.de/rechte/d-s-e-e.de", "json": "https://saferpage.de/rechte/d-s-e-e.de/export", "csv": "https://saferpage.de/rechte/d-s-e-e.de/export-csv", "report": "https://saferpage.de/d-s-e-e.de", "privacy_center": "https://saferpage.de/datenschutz/d-s-e-e.de", "trust_package": "https://saferpage.de/trust/d-s-e-e.de/export", "risk_governance": "https://saferpage.de/risiko/d-s-e-e.de/export", "operator_tickets": "https://saferpage.de/betreiber/d-s-e-e.de/tickets", "change_timeline": "https://saferpage.de/aenderungen/d-s-e-e.de/export", "guide": "https://saferpage.de/guides/datenschutzerklaerung-verbessern" }, "request_types": [ { "id": "access", "label": "Auskunft", "owner": "Datenschutz/IT", "deadline": "1 Monat", "evidence": "Suchprotokoll, Export, Redaction-Log, Antwortnachweis.", "fulfillment": "Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen.", "intake_fields": "Identität, Suchumfang, relevante Dienste, Antwortkanal" }, { "id": "erasure", "label": "Löschung", "owner": "Fachbereich/IT/Vendor Owner", "deadline": "1 Monat", "evidence": "Löschprotokoll, Sperrvermerk, Ausnahmenbegründung.", "fulfillment": "Löschfähigkeit je System prüfen, Aufbewahrung/Legal Hold ausnehmen, Vendor-Aufgaben auslösen.", "intake_fields": "Betroffene Dienste, Konto/E-Mail, Rechtsgrund der Löschung" }, { "id": "rectification", "label": "Berichtigung", "owner": "Support/Fachbereich", "deadline": "1 Monat", "evidence": "Änderungsprotokoll und Bestätigung.", "fulfillment": "System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen.", "intake_fields": "Korrekturwert, Nachweis, betroffene Systeme" }, { "id": "objection_optout", "label": "Widerspruch / Opt-out", "owner": "Marketing/Datenschutz", "deadline": "1 Monat", "evidence": "Preference-Log, Suppression-List, Consent-State-Test.", "fulfillment": "Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren.", "intake_fields": "Zweck, Kanal, Profiling/Marketing/Tracking-Bezug" }, { "id": "portability", "label": "Datenübertragbarkeit", "owner": "Datenschutz/IT", "deadline": "1 Monat", "evidence": "Exportdatei, Formatbeschreibung, Zustellnachweis.", "fulfillment": "Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen.", "intake_fields": "Datenbereich, Ziel, Format" } ], "intake_fields": [ { "id": "request_type", "type": "select", "label": "Worum geht es?", "options": "Auskunft; Löschung; Berichtigung; Widerspruch/Opt-out; Einschränkung; Datenübertragbarkeit", "required": true, "privacy_note": "Nur den passenden Betroffenenrechts-Typ auswählen; keine Freitextdaten nötig." }, { "id": "contact_email", "type": "email", "label": "Kontakt für Rückfragen", "options": "", "required": true, "privacy_note": "E-Mail-Adresse nur zur Bearbeitung dieser Anfrage verwenden." }, { "id": "identity_reference", "type": "text", "label": "Woran erkennen wir Sie?", "options": "", "required": false, "privacy_note": "Nur notwendige Referenz wie Konto, Kundennummer oder Newsletter-Adresse abfragen." }, { "id": "scope", "type": "checkboxes", "label": "Welche Bereiche sollen geprüft werden?", "options": "Website-Formular; Newsletter; Kundenkonto; Tracking/Marketing; Supportkontakt; Sonstiger Zeitraum", "required": false, "privacy_note": "Scope begrenzen, damit keine unnötigen Systeme durchsucht werden." }, { "id": "message", "type": "textarea", "label": "Zusätzliche Angaben", "options": "", "required": false, "privacy_note": "Freitext klar als optional kennzeichnen und vor sensiblen Angaben warnen." }, { "id": "secure_reply", "type": "select", "label": "Sicherer Antwortweg", "options": "Sicheres Portal; verschlüsselte Datei; postalisch; Rückfrage erforderlich", "required": true, "privacy_note": "Antwortpakete nicht unverschlüsselt als offene Datei versenden." } ], "readiness_checks": [ { "id": "privacy_notice", "label": "Datenschutzerklärung erreichbar", "action": "Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.", "passed": true, "status": "vorhanden", "weight": 16, "evidence": "Datenschutzerklärung im Link-/Unterseiten-Audit erkannt.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "rights_description", "label": "Betroffenenrechte beschrieben", "action": "Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.", "passed": false, "status": "fehlt", "weight": 16, "evidence": "Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "privacy_contact", "label": "Kontaktkanal für Datenschutzanfragen", "action": "Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.", "passed": true, "status": "vorhanden", "weight": 14, "evidence": "Kontakt-/DPO-Signal erkannt.", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen", "manual_review": false }, { "id": "operator_identity", "label": "Verantwortlicher/Anbieter erkennbar", "action": "Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Impressum/Anbieterkennzeichnung erkannt.", "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen", "manual_review": false }, { "id": "data_entry_context", "label": "Formulare mit Datenschutzkontext", "action": "Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Dateneingabe ohne erhöhten Kontextbedarf oder mit Datenschutzhinweis.", "guide_url": "/guides/formulare-datenschutzkonform-absichern", "manual_review": false }, { "id": "data_inventory", "label": "Datenarten und Systeme ableitbar", "action": "Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "2 Datenart(en), 1 Anbieter/Processor im Report ableitbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "disclosure_consistency", "label": "Datenschutzhinweis passt zur Technik", "action": "Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.", "passed": false, "status": "fehlt", "weight": 10, "evidence": "1 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "secure_response", "label": "Sichere Antwort- und Identitätsprüfung definiert", "action": "Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht sicher beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true } ], "workflow_steps": [ { "id": "public_intake", "label": "Öffentlicher Anfrageweg und Intake-Felder", "owner": "Support/Datenschutz", "action": "DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.", "passed": true, "status": "vorhanden", "weight": 12, "evidence": "Betroffenenrechte-Readiness: 64/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "identity_verification", "label": "Risikobasierte Identitätsprüfung", "owner": "Support/Legal", "action": "E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "deadline_management", "label": "Fristen und Eskalationen steuerbar", "owner": "Datenschutz/Programm-Owner", "action": "DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Regulatory-Watch 68/100, Rights-Lücken 3.", "guide_url": "/datenschutz-webseiten-report/", "manual_review": false }, { "id": "data_discovery_scope", "label": "Datenquellen aus RoPA/Data Map ableitbar", "owner": "Datenschutz/IT", "action": "Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.", "passed": true, "status": "vorhanden", "weight": 14, "evidence": "3 Verarbeitungstätigkeiten, 19 Data-Map-Knoten, 19 Kanten.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "vendor_tasking", "label": "Vendor-/Processor-Aufgaben ableitbar", "owner": "Vendor Owner/Legal", "action": "Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "1 Anbieter, 1 AVV-/DPA-Prüfungen.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "manual_review": false }, { "id": "preference_optout_link", "label": "Widerspruch/Opt-out mit Präferenzen verknüpft", "owner": "Marketing/Datenschutz", "action": "Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.", "passed": false, "status": "fehlt", "weight": 8, "evidence": "Preference-Center-Readiness 50/100; 4/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/guides/tracking-und-consent-reparieren", "manual_review": false }, { "id": "redaction_exemptions", "label": "Redaction, Drittpersonen und Ausnahmen prüfbar", "owner": "Legal/Datenschutz", "action": "Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "secure_delivery", "label": "Sichere Zustellung und Antwortpaket", "owner": "IT/Support", "action": "Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.", "passed": false, "status": "prüfen", "weight": 10, "evidence": "Aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "audit_trail", "label": "Audit-Trail und Integritätsnachweis", "owner": "Compliance/IT", "action": "Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.", "passed": true, "status": "vorhanden", "weight": 10, "evidence": "Prüfbeleg vorhanden, Root-Hash 0c006b4298aa2de0.", "guide_url": "/methodik", "manual_review": false }, { "id": "workflow_metrics", "label": "Workflow-Kennzahlen und Backlog steuerbar", "owner": "Programm-Owner", "action": "Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.", "passed": true, "status": "vorhanden", "weight": 6, "evidence": "Remediation Workflow mit 8 Ticket(s): 7 sofort starten, 1 einplanen, 0 im Backlog.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false } ], "portal_launch_checklist": [ { "id": "public_entrypoint", "label": "Öffentlichen Anfrageweg veröffentlichen", "owner": "Datenschutz/Content", "phase": "Veröffentlichung", "action": "Datenschutzerklärung, Footer und Cookie-/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.", "passed": true, "status": "bereit", "weight": 14, "evidence": "Rights-Score 64/100, Kontaktkanal erkannt.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "data_minimal_form", "label": "Datensparsames Formular mit Pflichtfeldern", "owner": "IT/Datenschutz", "phase": "Formular", "action": "Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.", "passed": true, "status": "bereit", "weight": 14, "evidence": "6 Intake-Feld(er), Intake-Score 90/100.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "jurisdiction_routing", "label": "Rechtsraum- und Fristenlogik aktivieren", "owner": "Legal/Datenschutz", "phase": "Lokalisierung", "action": "DE/AT/CH/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.", "passed": true, "status": "bereit", "weight": 10, "evidence": "4 Rechtsraum-Variante(n), regionale Lokalisierung 85/100.", "guide_url": "/datenschutz-webseiten-report/", "manual_review": false }, { "id": "identity_and_abuse_controls", "label": "Identitätsprüfung und Missbrauchsschutz definieren", "owner": "Support/Legal/IT", "phase": "Sicherheit", "action": "E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.", "passed": true, "status": "bereit", "weight": 12, "evidence": "DSAR-Score 62/100, 5 Anfrageart(en).", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "workflow_owner_sla", "label": "Owner, SLA und Eskalation je Schritt hinterlegen", "owner": "Programm-Owner", "phase": "Workflow", "action": "Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.", "passed": true, "status": "bereit", "weight": 12, "evidence": "5 Routing-Schritt(e), DSAR-Score 62/100.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false }, { "id": "data_discovery_connector_plan", "label": "Datenquellen und Vendor-Aufgaben anbinden", "owner": "IT/Data Owner", "phase": "Data Discovery", "action": "System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.", "passed": true, "status": "bereit", "weight": 12, "evidence": "Discovery-Score 83/100.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "manual_review": false }, { "id": "secure_response_delivery", "label": "Sichere Antwortzustellung vorbereiten", "owner": "IT/Support", "phase": "Antwort", "action": "Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.", "passed": true, "status": "bereit", "weight": 10, "evidence": "DSAR-Score 62/100.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": true }, { "id": "preference_link", "label": "Opt-out und Preference Center verbinden", "owner": "Marketing/Datenschutz", "phase": "Präferenzen", "action": "Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.", "passed": false, "status": "offen", "weight": 8, "evidence": "Preference-Center-Score 50/100.", "guide_url": "/guides/tracking-und-consent-reparieren", "manual_review": false }, { "id": "copy_and_notice_sync", "label": "Texte, Datenschutzhinweis und Antwortvorlagen synchronisieren", "owner": "Datenschutz/Content", "phase": "Texte", "action": "Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.", "passed": true, "status": "bereit", "weight": 8, "evidence": "4 Textbaustein(e), Datenschutzhinweis vorhanden.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "manual_review": false } ], "regional_localization": [ { "id": "de", "label": "Deutschland", "owner": "Datenschutz/Legal", "status": "priorisiert", "evidence": "Betreiberregion de, Zielregion dach, Profil general/mixed.", "language": "de-DE", "authority": "BfDI/Landesdatenschutzbehörden, DSK", "cookie_rule": "TTDSG/TDDDG + DSGVO: nicht notwendige Cookies/Tracker nur nach Einwilligung.", "dsar_deadline": "1 Monat", "notice_variant": "Deutsche Datenschutzerklärung mit Impressum, DSB/Kontakt, Betroffenenrechten, Cookies, Empfängern und Drittlandtransfer.", "incident_deadline": "72 Stunden" }, { "id": "at", "label": "Österreich", "owner": "Datenschutz/Legal", "status": "prüfen", "evidence": "Betreiberregion de, Zielregion dach, Profil general/mixed.", "language": "de-AT", "authority": "Datenschutzbehörde Österreich", "cookie_rule": "TKG/DSGVO: Einwilligung und klare Information für nicht notwendige Speicherung/Zugriffe.", "dsar_deadline": "1 Monat", "notice_variant": "Österreichische Datenschutzhinweise mit Verantwortlichem, Kontakt, Rechtsgrundlagen, Betroffenenrechten und Aufsichtsbehörde.", "incident_deadline": "72 Stunden" }, { "id": "ch", "label": "Schweiz", "owner": "Datenschutz/Legal", "status": "prüfen", "evidence": "Betreiberregion de, Zielregion dach, Profil general/mixed.", "language": "de-CH", "authority": "EDÖB", "cookie_rule": "revDSG/Fernmelderecht: Transparenz, Zweckbindung und Widerspruchsmöglichkeiten klar erklären.", "dsar_deadline": "in der Regel 30 Tage", "notice_variant": "Schweizer Datenschutzerklärung mit Bearbeitungszwecken, Empfängern, Auslandsbekanntgaben und Betroffenenrechten.", "incident_deadline": "so rasch als möglich bei hohem Risiko" }, { "id": "eu", "label": "EU/EWR", "owner": "Datenschutz/Legal", "status": "prüfen", "evidence": "Betreiberregion de, Zielregion dach, Profil general/mixed.", "language": "de/en je Markt", "authority": "EDPB und nationale Aufsichtsbehörden", "cookie_rule": "ePrivacy/DSGVO: nationale Umsetzung je Markt prüfen.", "dsar_deadline": "1 Monat", "notice_variant": "EU-Notice mit lokaler Behörde, Sprache, DSAR-Kanal und Rechtsgrundlagen je Markt.", "incident_deadline": "72 Stunden" } ], "operator_actions": [ { "label": "Anfragekanal veröffentlichen", "action": "Rechte-Seite oder Formular direkt aus Datenschutzerklärung, Footer und Datenschutz-Center verlinken.", "href": "/guides/datenschutzerklaerung-verbessern" }, { "label": "Friststeuerung einrichten", "action": "Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.", "href": "/d-s-e-e.de#dsar-workflow" }, { "label": "Suchscope definieren", "action": "Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.", "href": "/d-s-e-e.de#data-discovery" }, { "label": "Sichere Antwort vorbereiten", "action": "Identitätsprüfung, Redaction, sichere Zustellung und Freigabe vor Produktivstart testen.", "href": "/d-s-e-e.de#betroffenenrechte" } ], "response_policy": { "default_deadline": "1 Monat", "extension_note": "Bei komplexen oder zahlreichen Anfragen kann eine Verlängerung nach DSGVO dokumentiert werden.", "identity_minimization": "Identitätsnachweise nur erheben, soweit zur Vermeidung unberechtigter Auskünfte erforderlich.", "secure_delivery": "Antwortweg, Redaction, Vier-Augen-Prüfung und Versandnachweis im Betreiberprozess dokumentieren." }, "disclaimer": "Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen." }