{ "schema": "https://saferpage.de/schemas/privacy-program-maturity.v1", "generated_at": "2026-06-08T21:04:44+00:00", "domain": "spiele.heise.de", "available": true, "scan": { "id": "f37ebf2f-5767-4cf6-926b-5504c9d22e50", "checked_at": "2026-06-07 08:38:18.586932+02" }, "summary": "PrivacyOps-Reifegrad 49/100 (reaktiv und unvollständig): 8 Dimension(en) unter 50 Punkten, 2 kritisch.", "maturity_score": 49, "maturity_level": 2, "stage_label": "reaktiv und unvollständig", "dimension_count": 12, "critical_gap_count": 2, "dimensions": [ { "id": "public_trust_surface", "label": "Öffentliche Trust-Oberfläche", "score": 0, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "Kurzreport, Datenschutz-Center, Badge, Benchmark und Exporte als externe Transparenzfläche.", "operator_action": "Public Badge, Trust Center, Datenschutz-Center und Benchmark sichtbar verlinken und nach Änderungen neu prüfen.", "owner": "Datenschutz/Marketing/IT", "review_cadence": "monatlich", "guide_url": "/datenschutz/spiele.heise.de" }, { "id": "consent_cookie_governance", "label": "Consent und Cookie Governance", "score": 23, "level": 1, "status": "ad hoc", "priority": "hoch", "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "operator_action": "Nicht notwendige Dienste vor Einwilligung blockieren, Ablehnen/Widerruf/GPC testen und Cookie-Erklärung aktualisieren.", "owner": "Marketing/IT/Datenschutz", "review_cadence": "monatlich", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "id": "assessment_queue", "label": "DPIA, TIA und Assessment Queue", "score": 40, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Priorisierte Assessment-Trigger aus Consent, Vendor, Risiko und Monitoring.", "operator_action": "DPIA/DSFA, TIA, Vendor-, Consent-, Notice- und Incident-Assessments mit Owner und Freigabe starten.", "owner": "Datenschutz/Legal/Product", "review_cadence": "monatlich", "guide_url": "/assessment/spiele.heise.de" }, { "id": "subject_rights", "label": "Betroffenenrechte / DSAR", "score": 45, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Anfragekanal, Fristen und DSAR-Prozess aus öffentlicher Sicht.", "operator_action": "DSAR-Formular, Identitätsprüfung, Fristen, sichere Antwort und interne Suchpfade verbindlich betreiben.", "owner": "Datenschutz/Support", "review_cadence": "monatlich", "guide_url": "/rechte/spiele.heise.de" }, { "id": "localization_dach", "label": "DACH/EU Lokalisierung", "score": 45, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "DACH/EU-Pflichten, Sprache, Behörde, DSAR-Fristen und Cookie-Regeln.", "operator_action": "DE/AT/CH/EU-Varianten, Behördenhinweise, Fristen und lokale Cookie-/Notice-Texte freigeben.", "owner": "Datenschutz/Legal/Content", "review_cadence": "monatlich", "guide_url": "/lokalisierung/spiele.heise.de" }, { "id": "risk_register_controls", "label": "Risikoregister und Controls", "score": 45, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Kontrollkatalog und Risikoregister aus Findings, Vendor, Consent und Evidence.", "operator_action": "Top-Risiken mit Owner, SLA, Kontrolltest, Restrestrisiko und Nachweisquelle steuern.", "owner": "Programm-Owner/Compliance", "review_cadence": "monatlich", "guide_url": "/risiko/spiele.heise.de" }, { "id": "trust_documentation", "label": "Trust Documentation Library", "score": 45, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Öffentliche, sanitisierte und interne Nachweise für Audits und Betreiberfreigaben.", "operator_action": "Trust-/Audit-Dokumente mit Review-Kadenz, Share-Level, Exportlinks und Betreiber-Nachreichliste pflegen.", "owner": "Legal/Compliance/Marketing", "review_cadence": "monatlich", "guide_url": "/trust/spiele.heise.de" }, { "id": "vendor_risk", "label": "Vendor Risk und Transfers", "score": 45, "level": 2, "status": "reaktiv und unvollständig", "priority": "hoch", "evidence": "Drittanbieter, AVV/DPA und Transferfragen aus öffentlicher Evidenz.", "operator_action": "Anbieterakten mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren, SCC/TIA und Alternativen vervollständigen.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "id": "monitoring_evidence", "label": "Monitoring und Audit-Belege", "score": 50, "level": 3, "status": "etabliert mit Lücken", "priority": "mittel", "evidence": "Scan-ID, Prüfbeleg, Integritätsmanifest, öffentliche Links und Re-Scan-Status.", "operator_action": "Wiederkehrende Scans, Änderungsfeed, Hash-Belege, Alert-Routing und Abschlussnotizen als Regelprozess betreiben.", "owner": "Compliance/IT", "review_cadence": "monatlich", "guide_url": "/monitoring" }, { "id": "security_incident", "label": "Security und Incident Readiness", "score": 76, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "3 von 6 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Security-Header, Cookie-Attribute, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen vorbereiten.", "owner": "IT/Security/DSB", "review_cadence": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "id": "cookie_inventory", "label": "Cookie- und Storage-Inventar", "score": 82, "level": 4, "status": "gesteuert und nachweisfähig", "priority": "laufend", "evidence": "7 Cookie(s) inventarisiert: 0 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 1 langlebige Cookie(s), 0 sehr lange Laufzeit(en).", "operator_action": "Zweck, Anbieter, Laufzeit, Rechtsgrundlage und Consent-Status je Cookie fachlich freigeben.", "owner": "Datenschutz/IT", "review_cadence": "monatlich", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen" }, { "id": "notice_transparency", "label": "Hinweise und Transparenz", "score": 90, "level": 5, "status": "optimiert und laufend gesteuert", "priority": "laufend", "evidence": "Entwurf aus Scan-Evidenz: 7 Cookie(s), 7 Drittanbieter-Domain(s), 8 Storage-Key(s).", "operator_action": "Datenschutzerklärung, Cookie-Hinweise, Empfänger und Änderungsdatum mit realer Technik synchronisieren.", "owner": "Datenschutz/Content", "review_cadence": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern" } ], "roadmap": [ { "horizon": "0-14 Tage", "priority": "hoch", "title": "Öffentliche Trust-Oberfläche verbessern", "owner": "Datenschutz/Marketing/IT", "action": "Public Badge, Trust Center, Datenschutz-Center und Benchmark sichtbar verlinken und nach Änderungen neu prüfen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/datenschutz/spiele.heise.de" }, { "horizon": "0-14 Tage", "priority": "hoch", "title": "Consent und Cookie Governance verbessern", "owner": "Marketing/IT/Datenschutz", "action": "Nicht notwendige Dienste vor Einwilligung blockieren, Ablehnen/Widerruf/GPC testen und Cookie-Erklärung aktualisieren.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "DPIA, TIA und Assessment Queue verbessern", "owner": "Datenschutz/Legal/Product", "action": "DPIA/DSFA, TIA, Vendor-, Consent-, Notice- und Incident-Assessments mit Owner und Freigabe starten.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/assessment/spiele.heise.de" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "Betroffenenrechte / DSAR verbessern", "owner": "Datenschutz/Support", "action": "DSAR-Formular, Identitätsprüfung, Fristen, sichere Antwort und interne Suchpfade verbindlich betreiben.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/rechte/spiele.heise.de" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "DACH/EU Lokalisierung verbessern", "owner": "Datenschutz/Legal/Content", "action": "DE/AT/CH/EU-Varianten, Behördenhinweise, Fristen und lokale Cookie-/Notice-Texte freigeben.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/lokalisierung/spiele.heise.de" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "Risikoregister und Controls verbessern", "owner": "Programm-Owner/Compliance", "action": "Top-Risiken mit Owner, SLA, Kontrolltest, Restrestrisiko und Nachweisquelle steuern.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/risiko/spiele.heise.de" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "Trust Documentation Library verbessern", "owner": "Legal/Compliance/Marketing", "action": "Trust-/Audit-Dokumente mit Review-Kadenz, Share-Level, Exportlinks und Betreiber-Nachreichliste pflegen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/trust/spiele.heise.de" }, { "horizon": "0-30 Tage", "priority": "hoch", "title": "Vendor Risk und Transfers verbessern", "owner": "Legal/Vendor Owner", "action": "Anbieterakten mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren, SCC/TIA und Alternativen vervollständigen.", "evidence_gate": "Nachweis, Owner-Freigabe und Re-Scan mit SaferPage-Link dokumentieren.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" } ], "board_questions": [ "Welche drei Datenschutzrisiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?", "Sind Owner, Fristen und Nachweise für Consent, Anbieter, DSAR, Assessments, Controls und Monitoring benannt?", "Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?", "Wie werden neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-/Automated-Decisioning-Use-Cases vor Go-live geprüft?" ], "links": { "maturity_center": "https://saferpage.de/reifegrad/spiele.heise.de", "json": "https://saferpage.de/reifegrad/spiele.heise.de/export", "csv": "https://saferpage.de/reifegrad/spiele.heise.de/export-csv", "roadmap_markdown": "https://saferpage.de/reifegrad/spiele.heise.de/roadmap-md", "report": "https://saferpage.de/spiele.heise.de", "trust_center": "https://saferpage.de/trust/spiele.heise.de", "assessment_center": "https://saferpage.de/assessment/spiele.heise.de", "operator_board": "https://saferpage.de/betreiber/spiele.heise.de", "risk_center": "https://saferpage.de/risiko/spiele.heise.de", "methodology": "https://saferpage.de/methodik" }, "benchmark_hint": "Reifegrad aus öffentlicher Website-Evidenz, SaferPage-Modulen und Betreiber-Artefakt-Hinweisen. Kein internes Rechtsaudit.", "disclaimer": "Automatisch abgeleiteter PrivacyOps-Reifegrad. Interne Prozesse, Verträge, Schulungen, Systeme und Freigaben muss der Betreiber ergänzen." }