# SaferPage PrivacyOps-Reifegrad fuer vdav.de

Score: 67/100 - etabliert mit Lücken
Check: 2026-06-07 12:43:33.200848+02

> Automatisch abgeleiteter PrivacyOps-Reifegrad. Interne Prozesse, Verträge, Schulungen, Systeme und Freigaben muss der Betreiber ergänzen.

## Roadmap

- **0-14 Tage / hoch**: PIA/DPIA & Privacy by Design verbessern - DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden. Owner: Datenschutz/Product.
- **0-14 Tage / hoch**: Incident & Breach Response verbessern - Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten. Owner: DSB/Legal/IT.
- **30-90 Tage / mittel**: Security & Barrierefreiheit verbessern - Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern. Owner: IT/Web.
- **30-90 Tage / mittel**: Betroffenenrechte / DSAR verbessern - Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren. Owner: Support/Datenschutz.
- **30-90 Tage / mittel**: Vendor Risk & Vertragsmanagement verbessern - Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren. Owner: Legal/Vendor Owner.
- **30-90 Tage / mittel**: Dateninventar, RoPA & Data Map verbessern - Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen. Owner: Datenschutz/IT.
- **30-90 Tage / mittel**: Remediation & Programmsteuerung verbessern - Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen. Owner: Programm-Owner.
- **30-90 Tage / mittel**: Consent & Cookie Governance verbessern - Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen. Owner: Marketing/IT.

## Schwächste Dimensionen

- PIA/DPIA & Privacy by Design: 33/100, reaktiv und unvollständig - DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.
- Incident & Breach Response: 35/100, reaktiv und unvollständig - Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.
- Security & Barrierefreiheit: 54/100, etabliert mit Lücken - Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.
- Betroffenenrechte / DSAR: 64/100, etabliert mit Lücken - Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.
- Vendor Risk & Vertragsmanagement: 69/100, etabliert mit Lücken - Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.
- Dateninventar, RoPA & Data Map: 72/100, gesteuert und nachweisfähig - Interne Systeme, Datenquellen und Löschfristen in RoPA/Data Map ergänzen.
- Remediation & Programmsteuerung: 75/100, gesteuert und nachweisfähig - Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.
- Consent & Cookie Governance: 78/100, gesteuert und nachweisfähig - Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.

Links:
- maturity_center: https://saferpage.de/reifegrad/vdav.de
- json: https://saferpage.de/reifegrad/vdav.de/export
- csv: https://saferpage.de/reifegrad/vdav.de/export-csv
- roadmap_markdown: https://saferpage.de/reifegrad/vdav.de/roadmap-md
- report: https://saferpage.de/vdav.de
- trust_center: https://saferpage.de/trust/vdav.de
- assessment_center: https://saferpage.de/assessment/vdav.de
- operator_board: https://saferpage.de/betreiber/vdav.de
- risk_center: https://saferpage.de/risiko/vdav.de
- methodology: https://saferpage.de/methodik