{ "schema": "https://saferpage.de/schemas/privacy-program-maturity.v1", "generated_at": "2026-06-08T21:09:41+00:00", "domain": "businessbike.de", "available": true, "scan": { "id": "8dea6b9b-8adc-4fea-b2d6-5f9dd5049740", "checked_at": "2026-06-07 13:18:01.586771+02" }, "summary": "PrivacyOps-Reifegrad 54/100 (etabliert mit Lücken): 6 Dimension(en) unter 50 Punkten, 5 kritisch.", "maturity_score": 54, "maturity_level": 3, "stage_label": "etabliert mit Lücken", "dimension_count": 14, "critical_gap_count": 5, "dimensions": [ { "id": "ai_governance", "label": "AI Governance & Automated Decisioning", "score": 11, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "AI-Governance-Readiness 11/100; 4 Signal(e), 4 erkannt, 1 hohes Risiko, 5 offene Kontrolle(n).", "operator_action": "AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.", "owner": "Datenschutz/Product/Legal", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "vendor_risk", "label": "Vendor Risk & Vertragsmanagement", "score": 15, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "10 Anbieter, 10 AVV-/DPA-Prüfungen, 5 Transferfragen.", "operator_action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "pia_dpia", "label": "PIA/DPIA & Privacy by Design", "score": 20, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "DPIA/DSFA-Screening: dpia_empfohlen, Risiko-Score 90/100, 7 ausgelöste Risikofaktor(en), 4 hoch.", "operator_action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "owner": "Datenschutz/Product", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "privacy_rights", "label": "Betroffenenrechte / DSAR", "score": 26, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "Betroffenenrechte-Readiness: 26/100 Punkte, 6 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.", "operator_action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "owner": "Support/Datenschutz", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "incident_breach_response", "label": "Incident & Breach Response", "score": 35, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Incident-/Breach-Readiness 35/100; 5 Szenario(s), 3 kritisch, 3 hoch/kritisch und 4 offene Nachweisposition(en).", "operator_action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "owner": "DSB/Legal/IT", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "security_accessibility", "label": "Security & Barrierefreiheit", "score": 45, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. CSP nur Report-Only mit 15 Direktive(n), 2 Warnung(en), 2 Hinweis(e).", "operator_action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "owner": "IT/Web", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "preference_center", "label": "Preference Center & Consent Ledger", "score": 66, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Preference-Center-Readiness 66/100; 6/9 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.", "operator_action": "Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.", "owner": "Marketing/IT/Compliance", "review_cadence": "monatlich", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "regulatory_watch", "label": "Regulatory Watch & Rechtsänderungsmonitoring", "score": 68, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Regulatory-Watch-Readiness 68/100; 10 Quellen, 6 offizielle Quelle(n), 10 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.", "operator_action": "Offizielle DACH/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.", "owner": "Datenschutz/Legal/Compliance", "review_cadence": "monatlich", "guide_url": "/datenschutz-webseiten-report/" }, { "id": "notices_transparency", "label": "Hinweise & Transparenz", "score": 70, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "Datenschutzhinweis vorhanden, Disclosure-Lücken 11.", "operator_action": "Datenschutzerklärung, Anbieterregister und beobachtete Technik regelmäßig abgleichen.", "owner": "Datenschutz/Content", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "id": "data_inventory_mapping", "label": "Dateninventar, RoPA & Data Map", "score": 72, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "4 Verarbeitungstätigkeiten, 42 Knoten, 53 Kanten.", "operator_action": "Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.", "owner": "Datenschutz/IT", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "remediation_workflow", "label": "Remediation & Programmsteuerung", "score": 75, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "Remediation Workflow mit 8 Ticket(s): 8 sofort starten, 0 einplanen, 0 im Backlog.", "operator_action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.", "owner": "Programm-Owner", "review_cadence": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "id": "trust_center", "label": "Trust Center & externe Nachweise", "score": 82, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "Trust-Center-Readiness: 82/100 Punkte. 11/14 Baustein(e) sind aus dem Scan heraus belegbar.", "operator_action": "Trust-Center-Bausteine veröffentlichen und Nachweise versionieren.", "owner": "Legal/Marketing", "review_cadence": "monatlich", "guide_url": "/datenschutz-webseiten-report/" }, { "id": "monitoring_evidence", "label": "Monitoring, Audit-Belege & Change Management", "score": 85, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Prüfbeleg vorhanden, Integritätsmanifest vorhanden, Alerts 0.", "operator_action": "Wiederholungsscans, Hash-Belege und Alert-Routing als Regelprozess betreiben.", "owner": "Compliance/IT", "review_cadence": "monatlich", "guide_url": "/monitoring" }, { "id": "consent_governance", "label": "Consent & Cookie Governance", "score": 92, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Consent-Score 92, Cookie-Retention-Risiken 0.", "operator_action": "Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.", "owner": "Marketing/IT", "review_cadence": "monatlich", "guide_url": "/guides/tracking-und-consent-reparieren" } ], "roadmap": [ { "horizon": "0-14 Tage", "priority": "hoch", "title": "AI Governance & Automated Decisioning verbessern", "owner": "Datenschutz/Product/Legal", "action": "AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Vendor Risk & Vertragsmanagement verbessern", "owner": "Legal/Vendor Owner", "action": "Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "PIA/DPIA & Privacy by Design verbessern", "owner": "Datenschutz/Product", "action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Betroffenenrechte / DSAR verbessern", "owner": "Support/Datenschutz", "action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Incident & Breach Response verbessern", "owner": "DSB/Legal/IT", "action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/security-header-setzen" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "Security & Barrierefreiheit verbessern", "owner": "IT/Web", "action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/security-header-setzen" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Preference Center & Consent Ledger verbessern", "owner": "Marketing/IT/Compliance", "action": "Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "horizon": "30-90 Tage", "priority": "mittel", "title": "Regulatory Watch & Rechtsänderungsmonitoring verbessern", "owner": "Datenschutz/Legal/Compliance", "action": "Offizielle DACH/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/datenschutz-webseiten-report/" } ], "board_questions": [ "Welche drei Datenschutzrisiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?", "Sind Owner, Fristen und Nachweise für Consent, Anbieter, DSAR, Assessments, Controls und Monitoring benannt?", "Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?", "Wie werden neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-/Automated-Decisioning-Use-Cases vor Go-live geprüft?" ], "links": { "maturity_center": "https://saferpage.de/reifegrad/businessbike.de", "json": "https://saferpage.de/reifegrad/businessbike.de/export", "csv": "https://saferpage.de/reifegrad/businessbike.de/export-csv", "roadmap_markdown": "https://saferpage.de/reifegrad/businessbike.de/roadmap-md", "report": "https://saferpage.de/businessbike.de", "trust_center": "https://saferpage.de/trust/businessbike.de", "assessment_center": "https://saferpage.de/assessment/businessbike.de", "operator_board": "https://saferpage.de/betreiber/businessbike.de", "risk_center": "https://saferpage.de/risiko/businessbike.de", "methodology": "https://saferpage.de/methodik" }, "benchmark_hint": "Reifegrad aus öffentlicher Website-Evidenz, SaferPage-Modulen und Betreiber-Artefakt-Hinweisen. Kein internes Rechtsaudit.", "disclaimer": "Automatisch abgeleiteter PrivacyOps-Reifegrad. Interne Prozesse, Verträge, Schulungen, Systeme und Freigaben muss der Betreiber ergänzen." }