{ "schema": "https://saferpage.de/schemas/privacy-program-maturity.v1", "generated_at": "2026-06-08T19:41:42+00:00", "domain": "aktienkurs-orderbuch.finanznachrichten.de", "available": true, "scan": { "id": "bb408580-851b-4afd-9bbd-c9fc24e77e96", "checked_at": "2026-06-07 13:52:32.385958+02" }, "summary": "PrivacyOps-Reifegrad 56/100 (etabliert mit Lücken): 6 Dimension(en) unter 50 Punkten, 5 kritisch.", "maturity_score": 56, "maturity_level": 3, "stage_label": "etabliert mit Lücken", "dimension_count": 17, "critical_gap_count": 5, "dimensions": [ { "id": "consent_governance", "label": "Consent & Cookie Governance", "score": 0, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "Consent-Score 9, Cookie-Retention-Risiken 2.", "operator_action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "owner": "Marketing/IT", "review_cadence": "monatlich", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "vendor_risk", "label": "Vendor Risk & Vertragsmanagement", "score": 5, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "9 Anbieter, 9 AVV-/DPA-Prüfungen, 7 Transferfragen.", "operator_action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "ai_governance", "label": "AI Governance & Automated Decisioning", "score": 11, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "AI-Governance-Readiness 11/100; 4 Signal(e), 3 erkannt, 1 hohes Risiko, 5 offene Kontrolle(n).", "operator_action": "AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.", "owner": "Datenschutz/Product/Legal", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "pia_dpia", "label": "PIA/DPIA & Privacy by Design", "score": 20, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 70/100, 5 ausgelöste Risikofaktor(en), 4 hoch.", "operator_action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "owner": "Datenschutz/Product", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "incident_breach_response", "label": "Incident & Breach Response", "score": 35, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 3 kritisch, 4 hoch/kritisch und 4 offene Nachweisposition(en).", "operator_action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "owner": "DSB/Legal/IT", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "security_accessibility", "label": "Security & Barrierefreiheit", "score": 46, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "owner": "IT/Web", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "privacy_rights", "label": "Betroffenenrechte / DSAR", "score": 64, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Betroffenenrechte-Readiness: 64/100 Punkte, 3 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "operator_action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "owner": "Support/Datenschutz", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "remediation_workflow", "label": "Remediation & Programmsteuerung", "score": 65, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Remediation Workflow mit 6 Ticket(s): 6 sofort starten, 0 einplanen, 0 im Backlog.", "operator_action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.", "owner": "Programm-Owner", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "preference_center", "label": "Preference Center & Consent Ledger", "score": 66, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Preference-Center-Readiness 66/100; 6/9 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.", "operator_action": "Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.", "owner": "Marketing/IT/Compliance", "review_cadence": "monatlich", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "regulatory_watch", "label": "Regulatory Watch & Rechtsänderungsmonitoring", "score": 68, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Regulatory-Watch-Readiness 68/100; 10 Quellen, 6 offizielle Quelle(n), 10 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.", "operator_action": "Offizielle DACH/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.", "owner": "Datenschutz/Legal/Compliance", "review_cadence": "monatlich", "guide_url": "/datenschutz-webseiten-report/" }, { "id": "dsar_workflow", "label": "DSAR Workflow Automation", "score": 70, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "DSAR-Workflow-Readiness 70/100; 7/10 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "operator_action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.", "owner": "Datenschutz/Support/IT", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "data_inventory_mapping", "label": "Dateninventar, RoPA & Data Map", "score": 72, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "4 Verarbeitungstätigkeiten, 40 Knoten, 55 Kanten.", "operator_action": "Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.", "owner": "Datenschutz/IT", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "retention_deletion", "label": "Retention & Deletion Governance", "score": 79, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "Retention-/Deletion-Readiness 79/100; 8/10 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "operator_action": "Speicherfristen, Löschtrigger, Backup-/Legal-Hold-Regeln, Vendor-Löschung und Löschprotokolle operationalisieren.", "owner": "Datenschutz/Legal/IT", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "notices_transparency", "label": "Hinweise & Transparenz", "score": 80, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "Datenschutzhinweis vorhanden, Disclosure-Lücken 3.", "operator_action": "Datenschutzerklärung, Anbieterregister und beobachtete Technik regelmäßig abgleichen.", "owner": "Datenschutz/Content", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "monitoring_evidence", "label": "Monitoring, Audit-Belege & Change Management", "score": 85, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Prüfbeleg vorhanden, Integritätsmanifest vorhanden, Alerts 0.", "operator_action": "Wiederholungsscans, Hash-Belege und Alert-Routing als Regelprozess betreiben.", "owner": "Compliance/IT", "review_cadence": "monatlich", "guide_url": "/monitoring" }, { "id": "trust_center", "label": "Trust Center & externe Nachweise", "score": 93, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Trust-Center-Readiness: 93/100 Punkte. 15/17 Baustein(e) sind aus dem Scan heraus belegbar.", "operator_action": "Trust-Center-Bausteine veröffentlichen und Nachweise versionieren.", "owner": "Legal/Marketing", "review_cadence": "monatlich", "guide_url": "/datenschutz-webseiten-report/" }, { "id": "privacy_assessment_automation", "label": "Assessment Automation", "score": 94, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Assessment-Automation-Readiness 94/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder manuelle Nachweise offen.", "operator_action": "PIA/DPIA/TIA/Vendor/AI-Questionnaires mit Vorbefüllung, Freigabe, Evidence und Mitigation-Workflow betreiben.", "owner": "Datenschutz/Legal/Product", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" } ], "roadmap": [ { "horizon": "0-14 Tage", "priority": "hoch", "title": "Consent & Cookie Governance verbessern", "owner": "Marketing/IT", "action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Vendor Risk & Vertragsmanagement verbessern", "owner": "Legal/Vendor Owner", "action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "AI Governance & Automated Decisioning verbessern", "owner": "Datenschutz/Product/Legal", "action": "AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "PIA/DPIA & Privacy by Design verbessern", "owner": "Datenschutz/Product", "action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Incident & Breach Response verbessern", "owner": "DSB/Legal/IT", "action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/security-header-setzen" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "Security & Barrierefreiheit verbessern", "owner": "IT/Web", "action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/security-header-setzen" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Betroffenenrechte / DSAR verbessern", "owner": "Support/Datenschutz", "action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Remediation & Programmsteuerung verbessern", "owner": "Programm-Owner", "action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" } ], "board_questions": [ "Welche drei Datenschutzrisiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?", "Sind Owner, Fristen und Nachweise für Consent, Anbieter, DSAR, Assessments, Controls und Monitoring benannt?", "Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?", "Wie werden neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-/Automated-Decisioning-Use-Cases vor Go-live geprüft?" ], "links": { "maturity_center": "https://saferpage.de/reifegrad/aktienkurs-orderbuch.finanznachrichten.de", "json": "https://saferpage.de/reifegrad/aktienkurs-orderbuch.finanznachrichten.de/export", "csv": "https://saferpage.de/reifegrad/aktienkurs-orderbuch.finanznachrichten.de/export-csv", "roadmap_markdown": "https://saferpage.de/reifegrad/aktienkurs-orderbuch.finanznachrichten.de/roadmap-md", "report": "https://saferpage.de/aktienkurs-orderbuch.finanznachrichten.de", "trust_center": "https://saferpage.de/trust/aktienkurs-orderbuch.finanznachrichten.de", "assessment_center": "https://saferpage.de/assessment/aktienkurs-orderbuch.finanznachrichten.de", "operator_board": "https://saferpage.de/betreiber/aktienkurs-orderbuch.finanznachrichten.de", "risk_center": "https://saferpage.de/risiko/aktienkurs-orderbuch.finanznachrichten.de", "methodology": "https://saferpage.de/methodik" }, "benchmark_hint": "Reifegrad aus öffentlicher Website-Evidenz, SaferPage-Modulen und Betreiber-Artefakt-Hinweisen. Kein internes Rechtsaudit.", "disclaimer": "Automatisch abgeleiteter PrivacyOps-Reifegrad. Interne Prozesse, Verträge, Schulungen, Systeme und Freigaben muss der Betreiber ergänzen." }