{ "schema": "https://saferpage.de/schemas/trust-audit-package.v1", "generated_at": "2026-06-08T15:51:43+00:00", "domain": "frauenrat.de", "scan": { "id": "b16b1a5b-9f45-4011-b1a0-9189151a9a22", "checked_at": "2026-06-08 00:35:39.333043+02" }, "summary": "frauenrat.de Trust Center: ausbaufähig mit 19 Dokument-/Nachweisbaustein(en), 16 Kontrolle(n) und 10 Audit-Antwort(en).", "status": "ausbaufähig", "score": 69, "metrics": { "readiness_score": 84, "control_score": 63, "response_score": 62, "documentation_score": 65, "document_count": 19, "control_count": 16, "response_count": 10, "evidence_request_count": 8 }, "links": { "trust_center": "https://saferpage.de/trust/frauenrat.de", "json": "https://saferpage.de/trust/frauenrat.de/export", "csv": "https://saferpage.de/trust/frauenrat.de/export-csv", "report": "https://saferpage.de/frauenrat.de", "privacy_center": "https://saferpage.de/datenschutz/frauenrat.de", "risk_governance": "https://saferpage.de/risiko/frauenrat.de/export", "operator_tickets": "https://saferpage.de/betreiber/frauenrat.de/tickets", "consent_evidence": "https://saferpage.de/consent/frauenrat.de/nachweise", "vendor_service_cards": "https://saferpage.de/anbieter/frauenrat.de/servicekarten", "cookie_declaration": "https://saferpage.de/cookies/frauenrat.de", "methodology": "https://saferpage.de/methodik" }, "public_links": [ { "label": "Kurzreport", "url": "https://saferpage.de/frauenrat.de", "detail": "Öffentliche technische Zusammenfassung" }, { "label": "Datenschutz-Center", "url": "https://saferpage.de/datenschutz/frauenrat.de", "detail": "Besucherfreundlicher Datenschutz-Hub" }, { "label": "Betroffenenrechte-Center", "url": "https://saferpage.de/rechte/frauenrat.de", "detail": "Anfragearten, Intake, Fristen und Workflow" }, { "label": "Consent Center", "url": "https://saferpage.de/consent/frauenrat.de", "detail": "Einwilligungen, Cookie-Erklärung, Reject/GPC und TCF-Signale" }, { "label": "Betreiber-Board", "url": "https://saferpage.de/betreiber/frauenrat.de", "detail": "Tickets, Owner, SLA, Guides und Re-Scan-Abnahme" }, { "label": "Risiko-Center", "url": "https://saferpage.de/risiko/frauenrat.de", "detail": "Risikoregister, DSFA-Screening, Data Map und Retention" }, { "label": "Benchmark", "url": "https://saferpage.de/benchmark/frauenrat.de", "detail": "Rang, Perzentil, Median und Zielschwellen" }, { "label": "Änderungs-Center", "url": "https://saferpage.de/aenderungen/frauenrat.de", "detail": "Audit-Timeline, Score-Delta, neue und behobene Findings" }, { "label": "Anbieterregister", "url": "https://saferpage.de/anbieter/frauenrat.de", "detail": "Drittanbieter, Rollen und Transferfragen" }, { "label": "Methodik", "url": "https://saferpage.de/methodik", "detail": "Prüflogik und Grenzen" }, { "label": "SaferPageBot", "url": "https://saferpage.de/bot", "detail": "Crawler- und User-Agent-Transparenz" }, { "label": "ZIP-Nachweispaket", "url": "https://saferpage.de/api/report/export?id=b16b1a5b-9f45-4011-b1a0-9189151a9a22&format=zip", "detail": "Sanitisierte Belege und Tabellen" }, { "label": "Excel-Audit-Tabellen", "url": "https://saferpage.de/api/report/export?id=b16b1a5b-9f45-4011-b1a0-9189151a9a22&format=xlsx", "detail": "Audit-Workbook" } ], "documentation_library": [ { "id": "DOC-01", "url": "https://saferpage.de/frauenrat.de", "owner": "Marketing/Datenschutz", "score": 90, "title": "Öffentlicher Domain-Report", "source": "report", "status": "veröffentlicht", "category": "Public Trust", "evidence": "Kurz-URL https://saferpage.de/frauenrat.de; Scan-ID b16b1a5b-9f45-4011-b1a0-9189151a9a22.", "guide_url": "/methodik", "share_level": "öffentlich", "last_updated": "", "review_cadence": "bei jedem Scan" }, { "id": "DOC-02", "url": "https://saferpage.de/methodik", "owner": "Compliance", "score": 90, "title": "Methodik und Prüfgrenzen", "source": "methodik", "status": "veröffentlicht", "category": "Public Trust", "evidence": "Methodik, Bot-Transparenz und sanitisierte Nachweislogik sind öffentlich verlinkbar.", "guide_url": "/methodik", "share_level": "öffentlich", "last_updated": "", "review_cadence": "quartalsweise" }, { "id": "DOC-03", "url": "https://saferpage.de/bot", "owner": "IT/Compliance", "score": 93, "title": "Crawler- und User-Agent-Transparenz", "source": "scan_configuration_readiness", "status": "veröffentlicht", "category": "Public Trust", "evidence": "Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.", "guide_url": "/methodik", "share_level": "öffentlich", "last_updated": "", "review_cadence": "monatlich" }, { "id": "DOC-04", "url": "https://saferpage.de/monitoring/frauenrat.de", "owner": "IT/Compliance", "score": 80, "title": "Monitoring- und letzte-Checks-Übersicht", "source": "monitoring_alert_digest,checked_pages", "status": "veröffentlicht", "category": "Public Trust", "evidence": "Monitoring, Kurz-URL und zuletzt geprüfte Seiten bleiben als Betreiber- und Nutzerkontext auffindbar.", "guide_url": "/methodik", "share_level": "öffentlich", "last_updated": "", "review_cadence": "laufend" }, { "id": "DOC-05", "url": "/frauenrat.de#datenschutzerklaerung", "owner": "Datenschutz/Content", "score": 85, "title": "Datenschutzhinweis-Draft", "source": "privacy_notice_draft", "status": "veröffentlicht", "category": "Transparenz", "evidence": "Entwurf aus Scan-Evidenz: 2 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s).", "guide_url": "/guides/datenschutzerklaerung-verbessern", "share_level": "öffentlich", "last_updated": "", "review_cadence": "bei Technikänderung" }, { "id": "DOC-06", "url": "/frauenrat.de#cookies", "owner": "Marketing/IT", "score": 85, "title": "Cookie- und Storage-Erklärung", "source": "cookie_declaration_document", "status": "veröffentlicht", "category": "Transparenz", "evidence": "4 Cookie-/Storage-Zeile(n) dokumentiert.", "guide_url": "/guides/cookie-laufzeiten-und-zwecke-pruefen", "share_level": "öffentlich", "last_updated": "", "review_cadence": "bei Tag-Änderung" }, { "id": "DOC-07", "url": "/frauenrat.de#drittanbieter", "owner": "Legal/Vendor Owner", "score": 45, "title": "Drittanbieter- und Processor-Register", "source": "vendor_processor_register", "status": "teilweise", "category": "Transparenz", "evidence": "0 Anbieter-/Processor-Eintrag(e) dokumentiert.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "monatlich" }, { "id": "DOC-08", "url": "/frauenrat.de#control-framework", "owner": "Compliance", "score": 63, "title": "Privacy Controls Framework", "source": "privacy_control_framework", "status": "exportierbar", "category": "Audit Evidence", "evidence": "Privacy Controls Framework 63/100; 4/16 Kontrolle(n) wirksam, 5 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "quartalsweise" }, { "id": "DOC-09", "url": "/frauenrat.de#risk-register", "owner": "Programm-Owner", "score": 31, "title": "Privacy Risk Register Executive View", "source": "privacy_risk_register", "status": "aufbauen", "category": "Audit Evidence", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 0 kritisch, 4 hoch/kritisch, 0 sofort fällig, 3 binnen 7 Tagen und 15 binnen 30 Tagen.", "guide_url": "/methodik", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "monatlich" }, { "id": "DOC-10", "url": "/frauenrat.de#audit-response", "owner": "Sales/Legal/Compliance", "score": 62, "title": "Trust-/Audit-Response-Katalog", "source": "trust_audit_response_center", "status": "exportierbar", "category": "Audit Evidence", "evidence": "Trust-/Audit-Response-Center 62/100; 2 antwortbereit, 5 teilweise, 3 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "bei Anfrage" }, { "id": "DOC-11", "url": "", "owner": "Compliance/IT", "score": 45, "title": "ZIP-Nachweispaket", "source": "evidence_bundle_zip", "status": "teilweise", "category": "Evidence Package", "evidence": "Sanitisierte JSON/CSV-Nachweise, Tabellen und Belege exportierbar.", "guide_url": "/methodik", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "bei jedem Scan" }, { "id": "DOC-12", "url": "", "owner": "Compliance/IT", "score": 45, "title": "Excel-Audit-Tabellen", "source": "excel_workbook_export", "status": "teilweise", "category": "Evidence Package", "evidence": "Audit-Tabellen als XLSX für Betreiber, Kundenfragebögen und interne Reviews exportierbar.", "guide_url": "/methodik", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "bei jedem Scan" }, { "id": "DOC-13", "url": "/frauenrat.de#nachweise", "owner": "Compliance/IT", "score": 90, "title": "Prüfbeleg und Integritätsmanifest", "source": "audit_receipt,evidence_integrity_manifest", "status": "veröffentlicht", "category": "Evidence Package", "evidence": "Prüfbeleg vorhanden, Root-Hash cccfef2b2b66e1fe.", "guide_url": "/methodik", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "bei jedem Scan" }, { "id": "DOC-14", "url": "/frauenrat.de#regulatory-watch", "owner": "Datenschutz/Legal", "score": 68, "title": "Regulatory-Watch-Quellenmappe", "source": "regulatory_watch_readiness", "status": "exportierbar", "category": "Governance", "evidence": "Regulatory-Watch-Readiness 68/100; 9 Quellen, 5 offizielle Quelle(n), 9 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.", "guide_url": "/datenschutz-webseiten-report/", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "monatlich" }, { "id": "DOC-15", "url": "/frauenrat.de#dsar-workflow", "owner": "Datenschutz/Support", "score": 60, "title": "DSAR-/Betroffenenrechte-Prozess", "source": "dsar_workflow_readiness", "status": "exportierbar", "category": "Governance", "evidence": "DSAR-Workflow-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "share_level": "sanitisiert", "last_updated": "", "review_cadence": "quartalsweise" }, { "id": "DOC-16", "url": "/frauenrat.de#incident-breach", "owner": "DSB/Legal/IT", "score": 58, "title": "Incident-/Breach-Playbook", "source": "incident_breach_readiness", "status": "teilweise", "category": "Governance", "evidence": "Incident-/Breach-Readiness 58/100; 5 Szenario(s), 0 kritisch, 2 hoch/kritisch und 3 offene Nachweisposition(en).", "guide_url": "/guides/security-header-setzen", "share_level": "Betreiber-Nachweis", "last_updated": "", "review_cadence": "halbjährlich" }, { "id": "DOC-17", "url": "/frauenrat.de#barrierefreiheit", "owner": "Content/UX", "score": 80, "title": "Barrierefreiheits- und UX-Erklärung", "source": "accessibility_statement_draft", "status": "veröffentlicht", "category": "Transparenz", "evidence": "Entwurf mit 3 bekannten Barrierefreiheits-Punkt(en) aus dem Scan.", "guide_url": "/guides/barrierefreiheit-cookie-banner-formulare", "share_level": "öffentlich", "last_updated": "", "review_cadence": "jährlich" }, { "id": "DOC-18", "url": "", "owner": "Legal/Vendor Owner", "score": 35, "title": "AVV/DPA, TOMs und Transferunterlagen", "source": "operator_evidence", "status": "Betreiber-Nachweis", "category": "Operator Evidence", "evidence": "Verträge, TOM-Anlagen und Transferbewertungen sind aus öffentlichem Scan nicht beweisbar.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "share_level": "Betreiber-Nachweis", "last_updated": "", "review_cadence": "bei Vendor-Änderung" }, { "id": "DOC-19", "url": "", "owner": "Datenschutz/Product/Compliance", "score": 35, "title": "RoPA, DPIA/DSFA und interne Entscheidungslogs", "source": "operator_evidence", "status": "Betreiber-Nachweis", "category": "Operator Evidence", "evidence": "Interne Verzeichnisse, DPIA-Entscheidungen, Freigaben und Kontrolltests muss der Betreiber nachreichen.", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "share_level": "Betreiber-Nachweis", "last_updated": "", "review_cadence": "bei Release oder Verarbeitung" } ], "control_framework": [ { "owner": "Marketing/IT", "title": "Nicht notwendige Verarbeitung vor Einwilligung blockieren", "domain": "Consent & Preferences", "source": "consent_audit", "status": "teilweise", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "frequency": "bei jedem Release", "guide_url": "/guides/tracking-und-consent-reparieren", "control_id": "PCF-01", "requirement": "Nicht notwendige Cookies, Tracker und Vendoren dürfen erst nach wirksamer Einwilligung starten.", "control_score": 76, "manual_review": false, "test_procedure": "Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Marketing/Compliance", "title": "Dauerhafter Widerruf und Preference Center", "domain": "Consent & Preferences", "source": "preference_center_readiness", "status": "teilweise", "evidence": "Preference-Center-Readiness 70/100; 6/9 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/tracking-und-consent-reparieren", "control_id": "PCF-02", "requirement": "Nutzer müssen Präferenzen dauerhaft, granular und gleichwertig ändern können.", "control_score": 70, "manual_review": false, "test_procedure": "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Content", "title": "Datenschutzhinweise versionieren und synchronisieren", "domain": "Transparency", "source": "notice_policy_lifecycle", "status": "teilweise", "evidence": "Policy-/Notice-Lifecycle-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/guides/datenschutzerklaerung-verbessern", "control_id": "PCF-03", "requirement": "Notice, Cookie-Erklärung, Anbieterregister und beobachtete Technik müssen konsistent sein.", "control_score": 60, "manual_review": false, "test_procedure": "Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/IT", "title": "Datenklassen und Discovery-Scope pflegen", "domain": "Data Governance", "source": "data_discovery_classification", "status": "wirksam", "evidence": "Data-Discovery-/Classification-Readiness 85/100; 9/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-04", "requirement": "Personenbezogene Datenarten, Quellen, PII-Risiken, Vendor Stores und DSAR-Suchscope sind klassifiziert.", "control_score": 85, "manual_review": false, "test_procedure": "Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "IT/Compliance", "title": "Reproduzierbarer Scan- und Monitoring-Prozess", "domain": "Monitoring", "source": "scan_configuration_readiness", "status": "wirksam", "evidence": "Scan-Configuration-/Monitoring-Readiness 93/100; 10/11 Kontrollpunkt(e) erfüllt, 1 Lücke(n) oder Betreiber-Nachweise offen.", "frequency": "laufend", "guide_url": "/methodik", "control_id": "PCF-05", "requirement": "User-Agent, Crawl-Scope, Recrawl, Performance-Grenzen und Betreiberfreigabe sind dokumentiert.", "control_score": 93, "manual_review": false, "test_procedure": "Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Programm-Owner", "title": "Top-Risiken mit Owner und SLA steuern", "domain": "Risk Management", "source": "privacy_risk_register", "status": "lücke", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 0 kritisch, 4 hoch/kritisch, 0 sofort fällig, 3 binnen 7 Tagen und 15 binnen 30 Tagen.", "frequency": "wöchentlich", "guide_url": "/methodik", "control_id": "PCF-06", "requirement": "Hohe Datenschutzrisiken brauchen Owner, SLA, Entscheidung, Nachweisquelle und Restrestrisiko.", "control_score": 31, "manual_review": false, "test_procedure": "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Legal", "title": "DACH/EU-Quellen und Pflichten rückverfolgbar halten", "domain": "Regulatory Watch", "source": "regulatory_watch_readiness", "status": "teilweise", "evidence": "Regulatory-Watch-Readiness 68/100; 9 Quellen, 5 offizielle Quelle(n), 9 Watch-Pflicht(en), 3 Lücke(n) oder manuelle Nachweise offen.", "frequency": "monatlich", "guide_url": "/datenschutz-webseiten-report/", "control_id": "PCF-07", "requirement": "Befunde müssen auf offizielle Quellen, Pflichten, Guides und Review-Kadenz rückverfolgbar sein.", "control_score": 68, "manual_review": false, "test_procedure": "Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Support", "title": "Betroffenenrechte und DSAR-Workflow operationalisieren", "domain": "DSAR", "source": "dsar_workflow_readiness", "status": "teilweise", "evidence": "Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/datenschutzerklaerung-verbessern", "control_id": "PCF-08", "requirement": "Auskunft, Löschung, Widerspruch, Fristen, Identitätsprüfung, Redaction und Antwortpakete sind vorbereitet.", "control_score": 60, "manual_review": false, "test_procedure": "Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product", "title": "PIA/DPIA/TIA/Vendor/AI-Assessments vorbefüllen", "domain": "Assessment Automation", "source": "privacy_assessment_automation", "status": "teilweise", "evidence": "Assessment-Automation-Readiness 63/100; 7/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.", "frequency": "bei jedem Release", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-09", "requirement": "Assessments werden aus Website-, Data-Map-, Vendor-, Risk- und Evidence-Signalen getriggert.", "control_score": 63, "manual_review": false, "test_procedure": "Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Legal/IT", "title": "Speicherfristen und Löschung nach Datenklasse steuern", "domain": "Retention", "source": "retention_deletion_readiness", "status": "wirksam", "evidence": "Retention-/Deletion-Readiness 83/100; 8/10 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.", "frequency": "quartalsweise", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-10", "requirement": "Retention Schedule, Löschtrigger, Vendor-Löschung, Backups und Löschprotokolle sind nachvollziehbar.", "control_score": 83, "manual_review": false, "test_procedure": "Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Legal/Vendor Owner", "title": "Vendor Lifecycle und Drittanbieterakten steuern", "domain": "Vendor Risk", "source": "vendor_lifecycle_risk", "status": "lücke", "evidence": "Vendor-Lifecycle-Readiness 49/100; 6/11 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen. Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.", "frequency": "quartalsweise", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "control_id": "PCF-11", "requirement": "Anbieterrollen, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding sind prüfbar.", "control_score": 49, "manual_review": false, "test_procedure": "Vendor Scores, DPA/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product/IT", "title": "DPIA/DSFA und Data Map verbinden", "domain": "Privacy by Design", "source": "dpia_screening", "status": "lücke", "evidence": "DPIA/DSFA-Screening: pruefen, Risiko-Score 18/100, 1 ausgelöste Risikofaktor(en), 1 hoch. Data Map mit 20 Knoten und 19 Datenfluss-Kanten; 0 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.", "frequency": "bei jedem Release", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-12", "requirement": "Hohe Risiken, Verarbeitungstätigkeiten und Datenflüsse werden vor Go-live bewertet.", "control_score": 43, "manual_review": false, "test_procedure": "DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Datenschutz/Product/Legal", "title": "AI-/Profiling-/Automated-Decisioning-Kontrollen", "domain": "AI Governance", "source": "ai_governance_readiness", "status": "lücke", "evidence": "AI-Governance-Readiness 40/100; 4 Signal(e), 2 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).", "frequency": "quartalsweise", "guide_url": "/guides/datenschutz-webseiten-pruefkatalog", "control_id": "PCF-13", "requirement": "AI-, Chat-, Profiling- und automatisierte Entscheidungs-Use-Cases sind inventarisiert und bewertet.", "control_score": 40, "manual_review": false, "test_procedure": "AI-Signale, Use Cases, Controls und Assessment Questions prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "IT/Security/DSB", "title": "Webschutz und Breach Readiness", "domain": "Security & Incident", "source": "incident_breach_readiness", "status": "teilweise", "evidence": "5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. Keine Content-Security-Policy gefunden. Incident-/Breach-Readiness 58/100; 5 Szenario(s), 0 kritisch, 2 hoch/kritisch und 3 offene Nachweisposition(en).", "frequency": "monatlich", "guide_url": "/guides/security-header-setzen", "control_id": "PCF-14", "requirement": "Security-Header, Beweissicherung, Incident Owner, 72h-Prüfung und Meldeentscheidung sind vorbereitet.", "control_score": 58, "manual_review": false, "test_procedure": "Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Compliance/IT", "title": "Auditfähige Nachweise und Integrität sichern", "domain": "Audit Evidence", "source": "audit_receipt", "status": "wirksam", "evidence": "Prüfbeleg vorhanden, Root-Hash cccfef2b2b66e1fe.", "frequency": "bei jedem Scan", "guide_url": "/methodik", "control_id": "PCF-15", "requirement": "Prüfbeleg, Hash-Manifest, Exportpaket und Screenshot sind versioniert und reproduzierbar.", "control_score": 90, "manual_review": false, "test_procedure": "Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.", "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise." }, { "owner": "Betreiber/DSB", "title": "Interne Betreiber-Nachweise einsammeln", "domain": "Operator Evidence", "source": "operator_evidence", "status": "Betreiber-Nachweis", "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.", "frequency": "laufend", "guide_url": "/datenschutz-webseiten-report/", "control_id": "PCF-16", "requirement": "Interne Systeme, Freigaben, Verträge, DSFA-Entscheidungen und Kontrolltests werden als Betreiberartefakte ergänzt.", "control_score": 35, "manual_review": true, "test_procedure": "Betreiberartefakte hochladen oder im Trust Center verlinken: AVV/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.", "acceptance_criterion": "Betreiber lädt Nachweis, Entscheidung und Freigabe hoch." } ], "audit_responses": [ { "id": "TAR-01", "owner": "Programm-Owner/DSB", "source": "privacy_control_framework", "category": "Privacy Program", "evidence": "Privacy Controls Framework 63/100; 4/16 Kontrolle(n) wirksam, 5 offen oder Betreiber-Nachweis.", "guide_url": "/methodik", "answer_score": 63, "short_answer": "Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.", "answer_status": "teilweise", "manual_review": false, "external_share": "Zusammenfassung ja, interne Rollen nur nach Freigabe.", "requester_question": "Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?" }, { "id": "TAR-02", "owner": "Marketing/IT", "source": "consent_audit", "category": "Consent", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "guide_url": "/guides/tracking-und-consent-reparieren", "answer_score": 76, "short_answer": "SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.", "answer_status": "teilweise", "manual_review": false, "external_share": "Technische Zusammenfassung und sanitisierte Tabellen teilbar.", "requester_question": "Wie werden Cookies, Tracker und Einwilligungen kontrolliert?" }, { "id": "TAR-03", "owner": "Datenschutz/Content", "source": "privacy_notice_draft,cookie_declaration_document", "category": "Transparency", "evidence": "Entwurf aus Scan-Evidenz: 2 Cookie(s), 0 Drittanbieter-Domain(s), 2 Storage-Key(s). Cookie-Erklärung mit 4 Eintrag/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 3 unklassifiziert.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "answer_score": 82, "short_answer": "Datenschutzhinweis, Cookie-/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Öffentliche Reportabschnitte teilbar.", "requester_question": "Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert?" }, { "id": "TAR-04", "owner": "Legal/Vendor Owner", "source": "vendor_due_diligence", "category": "Vendor Risk", "evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren", "answer_score": 100, "short_answer": "Vendor Due Diligence priorisiert Anbieter, AVV/DPA, Transfer und erwartete Betreiber-Nachweise.", "answer_status": "antwortbereit", "manual_review": false, "external_share": "Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.", "requester_question": "Wie werden Subprozessoren, Drittanbieter und Transfers geprüft?" }, { "id": "TAR-05", "owner": "Datenschutz/Support", "source": "dsar_workflow_readiness", "category": "DSAR", "evidence": "DSAR-Workflow-Readiness 60/100; 6/10 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Betreiber-Nachweise offen.", "guide_url": "/guides/datenschutzerklaerung-verbessern", "answer_score": 60, "short_answer": "DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.", "answer_status": "teilweise", "manual_review": false, "external_share": "Prozessantwort teilbar; echte Tickets intern.", "requester_question": "Wie werden Betroffenenanfragen bearbeitet?" }, { "id": "TAR-06", "owner": "IT/Security", "source": "security_header_analysis", "category": "Security", "evidence": "5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. Keine Content-Security-Policy gefunden.", "guide_url": "/guides/security-header-setzen", "answer_score": 70, "short_answer": "Security-Header, TLS-/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.", "answer_status": "teilweise", "manual_review": false, "external_share": "Technische Zusammenfassung teilbar; interne Architektur separat freigeben.", "requester_question": "Welche technischen Webschutzmaßnahmen sind sichtbar?" }, { "id": "TAR-07", "owner": "DSB/Legal/IT", "source": "incident_breach_readiness", "category": "Incident Response", "evidence": "Incident-/Breach-Readiness 58/100; 5 Szenario(s), 0 kritisch, 2 hoch/kritisch und 3 offene Nachweisposition(en).", "guide_url": "/guides/security-header-setzen", "answer_score": 58, "short_answer": "Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.", "answer_status": "teilweise", "manual_review": false, "external_share": "Prozessbeschreibung teilbar; Vorfalldetails intern.", "requester_question": "Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess?" }, { "id": "TAR-08", "owner": "Programm-Owner", "source": "privacy_risk_register", "category": "Risk Posture", "evidence": "Privacy Risk Register: 18 Risikozeile(n), 0 kritisch, 4 hoch/kritisch, 0 sofort fällig, 3 binnen 7 Tagen und 15 binnen 30 Tagen.", "guide_url": "/methodik", "answer_score": 31, "short_answer": "Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.", "answer_status": "offen", "manual_review": false, "external_share": "Executive Summary teilbar; Detailrisiken nach Freigabe.", "requester_question": "Welche offenen Datenschutzrisiken bestehen aktuell?" }, { "id": "TAR-09", "owner": "Compliance/IT", "source": "audit_receipt,evidence_integrity_manifest", "category": "Audit Evidence", "evidence": "Scan-ID b16b1a5b-9f45-4011-b1a0-9189151a9a22, Prüfbeleg ja, Root-Hash cccfef2b2b66e1fe.", "guide_url": "/methodik", "answer_score": 50, "short_answer": "JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 100x100 Screenshot sind exportierbar, sofern Scan gespeichert ist.", "answer_status": "offen", "manual_review": false, "external_share": "Sanitisierte Nachweispakete teilbar.", "requester_question": "Welche Nachweise können exportiert werden?" }, { "id": "TAR-10", "owner": "Betreiber/DSB", "source": "operator_evidence", "category": "Internal Evidence", "evidence": "Interne Betreiberartefakte nicht öffentlich abrufbar.", "guide_url": "/datenschutz-webseiten-report/", "answer_score": 35, "short_answer": "Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.", "answer_status": "Betreiber-Nachweis", "manual_review": true, "external_share": "Nur nach Betreiberfreigabe.", "requester_question": "Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?" } ], "evidence_requests": [ { "id": "internal_roles", "label": "Interne Rollen und DSB/Privacy Owner", "owner": "Betreiber/DSB", "status": "Betreiber-Nachweis", "expected_evidence": "RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum." }, { "id": "contracts", "label": "AVV/DPA, TOMs, Subprozessoren", "owner": "Legal/Vendor Owner", "status": "nach Bedarf", "expected_evidence": "Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste." }, { "id": "control_tests", "label": "Kontrolltest-Protokolle", "owner": "Compliance", "status": "teilweise", "expected_evidence": "Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test." }, { "id": "dsar_logs", "label": "DSAR-/Betroffenenrechte-Logs", "owner": "Datenschutz/Support", "status": "Betreiber-Nachweis", "expected_evidence": "Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung." }, { "id": "contracts_toms", "label": "AVV/DPA, TOMs und Transfer Impact Assessments", "owner": "Legal/Vendor Owner", "status": "Betreiber-Nachweis", "expected_evidence": "Vertragsakte, TOM-Anlage, Transferbewertung, Subprozessorenliste." }, { "id": "ropa_dpia", "label": "RoPA, DPIA/DSFA und Privacy-by-Design-Entscheidungen", "owner": "Datenschutz/Product", "status": "Betreiber-Nachweis", "expected_evidence": "Verarbeitungstätigkeit, Risikobewertung, Schutzmaßnahmen, Freigabe." }, { "id": "control_tests", "label": "Kontrolltest-Protokolle und Abnahmen", "owner": "Compliance", "status": "teilweise", "expected_evidence": "Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test." }, { "id": "change_approvals", "label": "Release-, Cookie-, Tag- und Vendor-Freigaben", "owner": "IT/Marketing/Datenschutz", "status": "Betreiber-Nachweis", "expected_evidence": "Ticket, Änderung, Datenschutzprüfung, Freigabedatum, Re-Scan." } ], "integrity": { "audit_receipt_available": true, "receipt": { "url": "https://frauenrat.de/", "host": "frauenrat.de", "status": "verfügbar", "bot_url": "https://saferpage.de/bot", "summary": "Prüfbeleg für frauenrat.de: kontrollierter HTTP-/Browser-Kurzcheck mit 53 Request(s), 4 Consent-Zustand/Zuständen und 7 Artefakt(en).", "renderer": "playwright-chromium", "artifacts": [ { "label": "Öffentlicher Kurzreport", "detail": "https://saferpage.de/frauenrat.de", "status": "verfügbar" }, { "label": "JSON-Export", "detail": "Maschinenlesbarer Report mit Modulen, Nachweisen und Tabellen.", "status": "verfügbar" }, { "label": "CSV-Export", "detail": "Tabellarische Prüfzeilen für Betreiber, Datenschutz und Technik.", "status": "verfügbar" }, { "label": "100x100 Screenshot", "detail": "/cache/screenshots/frauenrat.de-100x100-f4699f81061dd2d240.png", "status": "verfügbar" }, { "label": "Cookie-Erklärung", "detail": "4 Cookie-/Storage-Eintrag/Einträge.", "status": "prüfen" }, { "label": "Empfänger-/Anbieterinventar", "detail": "0 Anbieterzeile(n), 0 AVV-/Rollenprüfung(en).", "status": "unauffällig" }, { "label": "Barrierefreiheitserklärung-Entwurf", "detail": "3 bekannte Barrierefreiheits-Punkt(e).", "status": "Nicht vollständig konform im automatischen Basischeck" } ], "available": true, "final_url": "https://www.frauenrat.de/", "checked_at": "2026-06-07T22:35:39+00:00", "share_text": "SaferPage Prüfbeleg frauenrat.de: 53 Browser-Request(s), 0 Drittanbieter, 4 Cookie-/Storage-Einträge, geprüft am 2026-06-07T22:35:39.", "user_agent": "SaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests)", "limitations": [ "Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.", "Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.", "Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern." ], "scan_context": "crawler", "coverage_items": [ { "label": "HTTP/DNS/TLS", "value": "HTTP 200 · DNS ok · TLS ok" }, { "label": "Browserlauf", "value": "53 Request(s), 0 Drittanbieter-Domain(s), 2 Browser-Cookie(s)." }, { "label": "Consent-Zustände", "value": "4 Zustand/Zustände: Default, Ablehnen, Akzeptieren und GPC soweit verfügbar." }, { "label": "Seitenabdeckung", "value": "8 priorisierte Unterseite(n) im Nachweispack." }, { "label": "Drittanbieter-Auszug", "value": "0 Anbieterzeile(n) im öffentlichen Nachweis." }, { "label": "Cookie-Auszug", "value": "2 Cookie-Zeile(n) im öffentlichen Nachweis." } ], "confidence_score": 89, "browser_final_url": "https://www.frauenrat.de/", "methodology_steps": [ "URL normalisieren, DNS/TLS/HTTP abrufen und Weiterleitungsziel dokumentieren.", "Startseite mit SaferPage-User-Agent und Headless Chromium aufrufen.", "Netzwerk-Requests, Cookies, Web Storage, Screenshot und sichtbare Consent-Controls erfassen.", "Consent-Zustände Default, Ablehnen, Akzeptieren und GPC soweit möglich gegenüberstellen.", "Cookies, Anbieter, Rechtsgrundlagen, Banner-UX, Security-Header, Barrierefreiheit und Betreiberaufgaben ableiten." ] }, "integrity_manifest_available": true, "manifest": { "host": "frauenrat.de", "status": "verfügbar", "summary": "Integritätsmanifest für frauenrat.de: 9/9 Nachweisbereich(e) mit SHA-256-Hash dokumentiert.", "sections": [ { "id": "audit_receipt", "hash": "f415b0b72bd713e08b3f96ea9e624e68afd906fd5bfe21b7aaa9885d88eed435", "count": 18, "label": "Prüfbeleg", "detail": "Kanonischer JSON-Hash des kompakten Prüfbelegs.", "status": "verfügbar" }, { "id": "protocol", "hash": "5c6a6a5995a01d21432f1cd83e865701e04adc8be621fca6a074753500c294eb", "count": 15, "label": "Scan-Protokoll", "detail": "URL, Endziel, User-Agent, Zeitstempel, HTTP/DNS/TLS und Renderer.", "status": "verfügbar" }, { "id": "checkpoints", "hash": "8f5f896794f1844ba3e6c079d822f8486791041b4996b2e9538ed179fc20dbce", "count": 6, "label": "Prüfschritte", "detail": "Kanonischer JSON-Hash der dokumentierten Prüfstationen.", "status": "verfügbar" }, { "id": "consent_states", "hash": "4c6fd8288209437d4d29b7db6ad596252434052f1571b72aba7b0bcdb0aed8a7", "count": 4, "label": "Consent-Zustände", "detail": "Default-, Ablehnen-, Akzeptieren- und GPC-Nachweise soweit verfügbar.", "status": "verfügbar" }, { "id": "third_party_evidence", "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945", "count": 0, "label": "Drittanbieter-Auszug", "detail": "Sanitisierte Anbieter-, Kategorie-, Transfer- und Request-Zählwerte.", "status": "leer" }, { "id": "cookie_evidence", "hash": "2bb0b28c498d9129e0c664e6d20b5dbc20300b03beb5f97ee59d87cdab9008e9", "count": 2, "label": "Cookie-Auszug", "detail": "Sanitisierte Cookie-Metadaten ohne Cookie-Werte.", "status": "verfügbar" }, { "id": "request_samples", "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945", "count": 0, "label": "Request-Samples", "detail": "Sanitisierte Drittanbieter-Samples ohne vollständige Request-URLs.", "status": "leer" }, { "id": "checked_pages", "hash": "d5e0aa0a22a17da44c48f893294e8acaafc4d1d8b036913b4ab929f65ded84fb", "count": 8, "label": "Geprüfte Unterseiten", "detail": "Priorisierte Pfade aus Sitemap, Pflichtseiten und interner Linkstruktur.", "status": "verfügbar" }, { "id": "screenshot_file", "hash": "d4d02151fc092a2fda0f35fc3b047375e2037822b79d788e11c3e6f902f79105", "count": 3889, "label": "100x100 Screenshot-Datei", "detail": "/cache/screenshots/frauenrat.de-100x100-f4699f81061dd2d240.png", "status": "verfügbar" } ], "algorithm": "sha256", "available": true, "root_hash": "cccfef2b2b66e1fe99e9977cf5d84666636636c72399db319f7d5084ba8842ef", "checked_at": "2026-06-07T22:35:39+00:00", "limitations": [ "Das Manifest schützt die im Report veröffentlichten/sanitisierten Nachweise, nicht verdeckte Cookie-Werte oder vollständige Request-URLs.", "Ohne externe qualifizierte Zeitstempelung beweist der Hash Integrität des exportierten Artefakts, aber keine amtliche Zustellung." ], "section_count": 9, "canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; Screenshot als rohe Datei-Bytes.", "verification_steps": [ "JSON-Export speichern und den jeweiligen Abschnitt kanonisch mit sortierten Schlüsseln serialisieren.", "SHA-256 des kanonischen Abschnitts bilden und mit dem Manifest vergleichen.", "Screenshot-Datei separat als rohe Datei-Bytes hashen, falls ein Screenshot-Artefakt vorhanden ist.", "Bei einem Wiederholungsscan Root-Hash, Zeitstempel und Abschnitts-Hashes getrennt vergleichen." ], "available_hash_count": 9 } }, "sharing_guidance": { "public": "Öffentliche Links, Kurzreport, Datenschutz-Center, Methodik und sichtbare Trust-Bausteine können ohne interne Vertragsdaten geteilt werden.", "sanitized": "Exportpakete und Anbieter-/Risikoauszüge vor externer Weitergabe auf interne Hinweise, personenbezogene Daten und Vertragsdetails prüfen.", "operator_evidence": "AVV/DPA, TOMs, RoPA, DSFA, interne Löschläufe und Freigaben muss der Betreiber separat beilegen." }, "disclaimer": "Automatisch aus SaferPage-Nachweisen aufgebaute Dokumentationsbibliothek. Öffentliche, sanitisierte und interne Betreiber-Nachweise müssen vor externer Weitergabe redaktionell, rechtlich und fachlich freigegeben werden." }