# Trust-Viewer-Datenschutz fuer barrierefrei.leipzig.de

Trust-Viewer-Privacy für barrierefrei.leipzig.de: 6 Datensatzklasse(n), 6 mit Personenbezug, 5 verbundene Systeme, Readiness 72.

> Viewer-Privacy ist ein Betreiber-Blueprint. Diese öffentliche Seite löscht keine echten Trust-Center-Daten und exportiert keine Viewer-Identitäten.

## Datensatzklassen
- **Viewer-Profil**: Name und E-Mail entfernen, Viewer-ID rotieren, Zugriff widerrufen. Audit: Strukturdaten ohne Identifikator erhalten.
- **Access Requests**: Pending Requests ablehnen, Identifikatoren de-identifizieren. Audit: Entscheidung, Ressourcenscope und Zeitstempel pseudonymisiert behalten.
- **Download- und View-Events**: Viewer-Referenz redigieren, Roh-IP/User-Agent nicht exportieren. Audit: Aggregierte Ereigniszähler behalten.
- **Update-Abos**: Abmelden, E-Mail de-identifizieren, Bounce-/Suppression-Minimaldaten prüfen. Audit: Opt-out-Nachweis minimal und zweckgebunden speichern.
- **AI-/FAQ-Fragen**: Requester-Referenz entfernen; manuelle Prüfung für Freitext mit Personenbezug. Audit: Quellen-/Reviewstatus ohne Freitext-Personenbezug behalten.
- **CRM-/Webhook-Sync**: Downstream-Löschung oder De-Identifizierung in CRM/Slack/DocuSign separat anstoßen. Audit: Sync-Job-ID, Zielsystem und Ergebnis ohne Kontaktidentität behalten.

## Workflow
- [ ] Viewer-Löschanfrage erfassen (Datenschutz/Support, 24h)
- [ ] Trust-Center-Datenscope bestimmen (Compliance/IT, 48h)
- [ ] Zugriff und Links widerrufen (Platform/IT, 72h)
- [ ] Personenbezug entfernen (Datenschutz/IT, 120h)
- [ ] Verbundene Systeme nachziehen (CRM/Legal/IT, 168h)
- [ ] Abschluss und Nachweis dokumentieren (Datenschutz, 720h)

## Access Journey
- **Zugriff anfragen**: Besucher geben geschäftlichen Zweck, Unternehmensdomain und gewünschte Nachweise an. Gate: Zweck, Domain und Ressourcenscope prüfen.
- **Unternehmensbezug prüfen**: Freigaben werden nicht allein an private oder Wegwerf-Adressen gebunden. Gate: Domain, Kunde/Interessent, Partnerstatus oder Auditorrolle verifizieren.
- **NDA oder Nutzungsbedingungen bestätigen**: Private Nachweise werden erst nach passender Vertraulichkeitsstufe geöffnet. Gate: NDA-Version, Rechtsraum, Dokumentklasse und Ablaufdatum zuordnen.
- **Ressourcen begrenzt freigeben**: Viewer erhalten nur die Nachweise, die zum Zweck passen. Gate: Access Group, Dokumentliste, Wasserzeichen und Downloadregel setzen.
- **Ablauf und Widerruf sichtbar halten**: Zugriffe laufen automatisch ab und können vorzeitig widerrufen werden. Gate: Expiry, Revocation und Re-Approval als Pflichtfelder führen.
- **Verlängern oder Viewer-Daten löschen**: Nach Zweckende wird Zugriff beendet oder fachlich verlängert. Gate: Renewal-Entscheidung, Lösch-/De-Identifizierungsworkflow und Downstream-Aufgaben starten.

## Self-Service
- **Zugriffsstatus und Ablaufdatum anzeigen**: Viewer sieht, welche Freigabe aktiv, abgelaufen oder widerrufen ist. Datenschutz: Keine öffentliche Anzeige anderer Viewer oder Accounts.
- **Zweck oder Rolle aktualisieren**: Viewer kann Zweckänderung einreichen, ohne neue Magic Links zu erzeugen. Datenschutz: Änderung bleibt bis Operator-Review begrenzt.
- **Eigenen Nachweis herunterladen**: Viewer erhält sanitisierte Request-/Access-Receipt ohne interne Notizen. Datenschutz: Keine IPs, Roh-User-Agents, andere Kontakte oder private Dokument-URLs.
- **Trust-Updates abbestellen**: Viewer beendet Update-Abo für Subprozessoren, Security oder Statusmeldungen. Datenschutz: Suppression minimal speichern und nicht öffentlich exportieren.
- **Löschung oder Widerruf anfordern**: Viewer kann Access-Revocation, De-Identifizierung oder DSAR-Routing starten. Datenschutz: Identitätsprüfung und Downstream-Löschung bleiben Betreiberaufgabe.

## Access Decision Matrix
- **Öffentlich** erlaubt: Methodik, Status, Subprozessor-Auszug, Zertifikatsnamen, Public FAQs. blockiert: Private Berichte, Kundennamen, interne Findings.
- **Gated Standard** erlaubt: Security-Fragebogen, DPA-Auszüge, technische Nachweise mit Wasserzeichen. blockiert: Rohlogs, vollständige Pen-Test-Berichte, personenbezogene Viewer-Daten.
- **NDA / Private** erlaubt: Private Dokumente mit Ablauf, Wasserzeichen und Audit-Receipt. blockiert: Unreviewed Uploads, private Download-Tokens im Export.
- **Abgelehnt oder abgelaufen** erlaubt: Status, Grundklasse und erneuter Anfrageweg. blockiert: Dokumentzugriff, Downloads, Update-Abos ohne neue Freigabe.

## Evidence Receipts
- **Anfragebeleg** Felder: ["request_id","purpose","resource_scope","submitted_at"] Redaction: Keine internen Notizen oder andere Viewer.
- **Entscheidungsbeleg** Felder: ["decision","decision_class","reviewer_role","decided_at"] Redaction: Reviewer-Identität rollenbasiert statt namentlich.
- **Access-Beleg** Felder: ["access_group","document_classes","expires_at","watermark_policy"] Redaction: Keine privaten Download-URLs oder Tokens.
- **Widerrufs-/Löschbeleg** Felder: ["revoked_at","reason_class","deidentification_status","downstream_tasks"] Redaction: Keine Rohlogs, IPs oder User-Agent-Werte.