Revocation / De-Identifizierung / Downstream

Trust-Viewer-Datenschutz für hs-bremen.de

Trust-Viewer-Privacy für hs-bremen.de: 6 Datensatzklasse(n), 6 mit Personenbezug, 5 verbundene Systeme, Readiness 74.

Viewer-Privacy ist ein Betreiber-Blueprint. Diese öffentliche Seite löscht keine echten Trust-Center-Daten und exportiert keine Viewer-Identitäten.

74 viewer_privacy_review_required

Trust Center Zugriffe Datenraum Analytics CRM Sync Team-Rollen Löschung Rechte-Intake JSON CSV Markdown

6Klassen 6Personenbezug 5Systeme 6Schritte 6Access Journey 5Self-Service 4Access Level 4Receipts

Datensatzklassen

Welche Trust-Viewer-Daten widerrufen oder de-identifiziert werden müssen

CSV exportieren

Viewer-Profil personenbezogen · ["name","email","company_domain","role"]

Name und E-Mail entfernen, Viewer-ID rotieren, Zugriff widerrufen.

Strukturdaten ohne Identifikator erhalten.

Access Requests personenbezogen · ["requester_email","company","requested_resources","decision","approver"]

Pending Requests ablehnen, Identifikatoren de-identifizieren.

Entscheidung, Ressourcenscope und Zeitstempel pseudonymisiert behalten.

Download- und View-Events personenbezogen · ["viewer_id","resource_id","timestamp","ip_hint","user_agent_hint"]

Viewer-Referenz redigieren, Roh-IP/User-Agent nicht exportieren.

Aggregierte Ereigniszähler behalten.

Update-Abos personenbezogen · ["email","segments","subscription_status"]

Abmelden, E-Mail de-identifizieren, Bounce-/Suppression-Minimaldaten prüfen.

Opt-out-Nachweis minimal und zweckgebunden speichern.

AI-/FAQ-Fragen personenbezogen · ["requester_reference","question_text","source_refs","review_status"]

Requester-Referenz entfernen; manuelle Prüfung für Freitext mit Personenbezug.

Quellen-/Reviewstatus ohne Freitext-Personenbezug behalten.

CRM-/Webhook-Sync personenbezogen · ["account_id","contact_id","activity_type","resource_refs"]

Downstream-Löschung oder De-Identifizierung in CRM/Slack/DocuSign separat anstoßen.

Sync-Job-ID, Zielsystem und Ergebnis ohne Kontaktidentität behalten.

Workflow

Wie Betreiber Viewer-Löschung und Revocation abarbeiten

Viewer-Löschanfrage erfassen Datenschutz/Support · 24h

Anfrage-ID, Authentizität, Kontaktweg, betroffene E-Mail/Domain.

Trust-Center-Datenscope bestimmen Compliance/IT · 48h

Viewer, Access Requests, Downloads, Abos, CRM Sync und Chat/FAQ prüfen.

Zugriff und Links widerrufen Platform/IT · 72h

Access revoked, signed links expired, pending requests denied.

Personenbezug entfernen Datenschutz/IT · 120h

Name/E-Mail/Kontakt-IDs entfernt, Auditstruktur minimal erhalten.

Verbundene Systeme nachziehen CRM/Legal/IT · 168h

CRM, Slack/Teams, eSignature, Webhooks und Logs separat bestätigt.

Abschluss und Nachweis dokumentieren Datenschutz · 720h

Abschlusszeitpunkt, Ausnahmen, Rechtsgrund für Restdaten, Hash-/Auditbeleg.

Access Journey

Wie Besucher private Trust-Nachweise sauber anfragen

Access Requests öffnen

Zugriff anfragen Zweck, Domain und Ressourcenscope prüfen.

Besucher geben geschäftlichen Zweck, Unternehmensdomain und gewünschte Nachweise an.

Request-ID, Zweck und Ressourcenscope.

Unternehmensbezug prüfen Domain, Kunde/Interessent, Partnerstatus oder Auditorrolle verifizieren.

Freigaben werden nicht allein an private oder Wegwerf-Adressen gebunden.

Verifikationsmethode und Entscheidung.

NDA oder Nutzungsbedingungen bestätigen NDA-Version, Rechtsraum, Dokumentklasse und Ablaufdatum zuordnen.

Private Nachweise werden erst nach passender Vertraulichkeitsstufe geöffnet.

Agreement-Version, Status und Ablauf.

Ressourcen begrenzt freigeben Access Group, Dokumentliste, Wasserzeichen und Downloadregel setzen.

Viewer erhalten nur die Nachweise, die zum Zweck passen.

Access Group, Dokumentklasse und Ablaufzeit.

Ablauf und Widerruf sichtbar halten Expiry, Revocation und Re-Approval als Pflichtfelder führen.

Zugriffe laufen automatisch ab und können vorzeitig widerrufen werden.

Expiry-Zeitpunkt, Widerrufsgrund und Bearbeiterrolle.

Verlängern oder Viewer-Daten löschen Renewal-Entscheidung, Lösch-/De-Identifizierungsworkflow und Downstream-Aufgaben starten.

Nach Zweckende wird Zugriff beendet oder fachlich verlängert.

Renewal-Entscheidung oder Löschabschluss.

Self-Service

Was Viewer selbst sehen, ändern oder widerrufen können

Zugriffsstatus und Ablaufdatum anzeigen Viewer sieht, welche Freigabe aktiv, abgelaufen oder widerrufen ist.

Keine öffentliche Anzeige anderer Viewer oder Accounts.

Zweck oder Rolle aktualisieren Viewer kann Zweckänderung einreichen, ohne neue Magic Links zu erzeugen.

Änderung bleibt bis Operator-Review begrenzt.

Eigenen Nachweis herunterladen Viewer erhält sanitisierte Request-/Access-Receipt ohne interne Notizen.

Keine IPs, Roh-User-Agents, andere Kontakte oder private Dokument-URLs.

Trust-Updates abbestellen Viewer beendet Update-Abo für Subprozessoren, Security oder Statusmeldungen.

Suppression minimal speichern und nicht öffentlich exportieren.

Löschung oder Widerruf anfordern Viewer kann Access-Revocation, De-Identifizierung oder DSAR-Routing starten.

Identitätsprüfung und Downstream-Löschung bleiben Betreiberaufgabe.

Access-Level

Welche Inhalte öffentlich, gated oder NDA-pflichtig sind

Öffentlich Erlaubt: Methodik, Status, Subprozessor-Auszug, Zertifikatsnamen, Public FAQs.

Blockiert: Private Berichte, Kundennamen, interne Findings.

Automatisch veröffentlichbar, wenn No-Secret-Check grün ist.

Gated Standard Erlaubt: Security-Fragebogen, DPA-Auszüge, technische Nachweise mit Wasserzeichen.

Blockiert: Rohlogs, vollständige Pen-Test-Berichte, personenbezogene Viewer-Daten.

Domain- und Zweckprüfung durch Trust Owner.

NDA / Private Erlaubt: Private Dokumente mit Ablauf, Wasserzeichen und Audit-Receipt.

Blockiert: Unreviewed Uploads, private Download-Tokens im Export.

Legal/Compliance-Freigabe und Agreement-Version erforderlich.

Abgelehnt oder abgelaufen Erlaubt: Status, Grundklasse und erneuter Anfrageweg.

Blockiert: Dokumentzugriff, Downloads, Update-Abos ohne neue Freigabe.

Re-Request oder Lösch-/De-Identifizierungsworkflow.

Missbrauchsschutz

Welche Freigaben vor Datenraum-Zugriff stoppen müssen

Unternehmensdomain und Rolle prüfen Freemailer, Wegwerf-Mail, Rollenadresse oder Domain-Mismatch.

Manuelle Prüfung oder Ablehnung.

Request- und Download-Limits setzen Viele Anfragen, wiederholte Downloads oder ungewöhnliche Ressourcenmuster.

Temporär drosseln, Access Group verkleinern oder Security-Review.

Sensible Dokumentklassen eskalieren Pen-Test, Architektur, Incident- oder Kundennachweis angefragt.

Legal/Compliance-Approval statt automatischer Freigabe.

Region und Organisation abgleichen Rechtsraum, Kunde oder Auditorrolle passt nicht zum angefragten Zweck.

Zusatznachweis oder begrenzte Public-Alternative anbieten.

Wasserzeichen und Widerruf koppeln Private Downloads oder Re-Share-Risiko.

Wasserzeichen, Ablaufdatum, Revocation und Receipt erzwingen.

Evidence Receipts

Welche Nachweise Viewer und Betreiber auditierbar erhalten

Anfragebeleg ["request_id","purpose","resource_scope","submitted_at"]

Keine internen Notizen oder andere Viewer.

Entscheidungsbeleg ["decision","decision_class","reviewer_role","decided_at"]

Reviewer-Identität rollenbasiert statt namentlich.

Access-Beleg ["access_group","document_classes","expires_at","watermark_policy"]

Keine privaten Download-URLs oder Tokens.

Widerrufs-/Löschbeleg ["revoked_at","reason_class","deidentification_status","downstream_tasks"]

Keine Rohlogs, IPs oder User-Agent-Werte.

Verbundene Systeme

Was nicht automatisch im Trust Center erledigt ist

Trust Center Blueprint · Viewer, Access Requests, Downloads, Update-Abos

Zugriff widerrufen und Viewer-Daten de-identifizieren.

Datenraum / Dokumentzustellung Blueprint · Gated Ressourcen, signed Links, Wasserzeichen-Referenzen

Links widerrufen, Ablauf setzen, Download-Audit minimieren.

CRM externe Aktion erforderlich · Account, Opportunity, Kontakt, Aktivität

Kontakt- oder Aktivitätsdaten nach Feldallowlist löschen/de-identifizieren.

Slack/Teams/Webhooks externe Aktion erforderlich · Benachrichtigungen und Approve/Deny-Aktionen

Nachrichten, Payloads und personenbezogene Felder nach Zielsystem-Policy prüfen.

AI Assistant / FAQ Review erforderlich · Fragen, Quellen, Reviewstatus

Requester entfernen; Freitexte mit Personenbezug manuell redigieren.