{ "schema": "https://saferpage.de/schemas/trust-audit-package.v1", "generated_at": "2026-06-08T17:22:02+00:00", "domain": "otto.de", "scan": { "id": "67cd7823-da66-47e0-a603-97a6e724d31c", "checked_at": "2026-06-07 04:14:43.622776+02" }, "summary": "otto.de Trust Center: ausbaufähig mit 10 Dokument-/Nachweisbaustein(en), 6 Kontrolle(n) und 4 Audit-Antwort(en).", "status": "ausbaufähig", "score": 62, "metrics": { "readiness_score": 62, "control_score": 48, "response_score": 61, "documentation_score": 76, "document_count": 10, "control_count": 6, "response_count": 4, "evidence_request_count": 4 }, "links": { "trust_center": "https://saferpage.de/trust/otto.de", "json": "https://saferpage.de/trust/otto.de/export", "csv": "https://saferpage.de/trust/otto.de/export-csv", "report": "https://saferpage.de/otto.de", "privacy_center": "https://saferpage.de/datenschutz/otto.de", "risk_governance": "https://saferpage.de/risiko/otto.de/export", "operator_tickets": "https://saferpage.de/betreiber/otto.de/tickets", "consent_evidence": "https://saferpage.de/consent/otto.de/nachweise", "vendor_service_cards": "https://saferpage.de/anbieter/otto.de/servicekarten", "cookie_declaration": "https://saferpage.de/cookies/otto.de", "methodology": "https://saferpage.de/methodik" }, "public_links": [ { "label": "Kurzreport", "url": "https://saferpage.de/otto.de", "detail": "Öffentliche technische Zusammenfassung" }, { "label": "Datenschutz-Center", "url": "https://saferpage.de/datenschutz/otto.de", "detail": "Besucherfreundlicher Datenschutz-Hub" }, { "label": "Betroffenenrechte-Center", "url": "https://saferpage.de/rechte/otto.de", "detail": "Anfragearten, Intake, Fristen und Workflow" }, { "label": "Consent Center", "url": "https://saferpage.de/consent/otto.de", "detail": "Einwilligungen, Cookie-Erklärung, Reject/GPC und TCF-Signale" }, { "label": "Betreiber-Board", "url": "https://saferpage.de/betreiber/otto.de", "detail": "Tickets, Owner, SLA, Guides und Re-Scan-Abnahme" }, { "label": "Risiko-Center", "url": "https://saferpage.de/risiko/otto.de", "detail": "Risikoregister, DSFA-Screening, Data Map und Retention" }, { "label": "Benchmark", "url": "https://saferpage.de/benchmark/otto.de", "detail": "Rang, Perzentil, Median und Zielschwellen" }, { "label": "Änderungs-Center", "url": "https://saferpage.de/aenderungen/otto.de", "detail": "Audit-Timeline, Score-Delta, neue und behobene Findings" }, { "label": "Anbieterregister", "url": "https://saferpage.de/anbieter/otto.de", "detail": "Drittanbieter, Rollen und Transferfragen" }, { "label": "Methodik", "url": "https://saferpage.de/methodik", "detail": "Prüflogik und Grenzen" }, { "label": "SaferPageBot", "url": "https://saferpage.de/bot", "detail": "Crawler- und User-Agent-Transparenz" }, { "label": "ZIP-Nachweispaket", "url": "https://saferpage.de/api/report/export?id=67cd7823-da66-47e0-a603-97a6e724d31c&format=zip", "detail": "Sanitisierte Belege und Tabellen" }, { "label": "Excel-Audit-Tabellen", "url": "https://saferpage.de/api/report/export?id=67cd7823-da66-47e0-a603-97a6e724d31c&format=xlsx", "detail": "Audit-Workbook" } ], "documentation_library": [ { "id": "DOC-01", "title": "Öffentlicher Kurzreport", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 90, "url": "https://saferpage.de/otto.de", "evidence": "Kanonische Kurz-URL vorhanden.", "owner": "Marketing/Datenschutz", "review_cadence": "bei jedem Scan" }, { "id": "DOC-02", "title": "Datenschutz-Center", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 85, "url": "/datenschutz/otto.de", "evidence": "Notice, Cookies, Rechte, Anbieter und Nachweise als Besucherhub.", "owner": "Datenschutz/Content", "review_cadence": "monatlich" }, { "id": "DOC-03", "title": "Betroffenenrechte-Center", "category": "Governance", "share_level": "öffentlich", "status": "veröffentlicht", "score": 80, "url": "/rechte/otto.de", "evidence": "Anfragearten, Intake, Workflow und DACH/EU-Fristen.", "owner": "Datenschutz/Support", "review_cadence": "quartalsweise" }, { "id": "DOC-04", "title": "Anbieterregister", "category": "Vendor Risk", "share_level": "sanitisiert", "status": "exportierbar", "score": 80, "url": "/anbieter/otto.de", "evidence": "Drittanbieter, Risiko, Transferfragen und AVV/DPA-Prüfung.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich" }, { "id": "DOC-05", "title": "Benchmark", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 82, "url": "/benchmark/otto.de", "evidence": "Rang, Perzentil, Median, Top-Quartil und Zielschwellen.", "owner": "Compliance/Marketing", "review_cadence": "bei jedem Scan" }, { "id": "DOC-06", "title": "Änderungs-Center", "category": "Monitoring", "share_level": "öffentlich", "status": "veröffentlicht", "score": 82, "url": "/aenderungen/otto.de", "evidence": "Audit-Timeline, Score-Delta, neue und behobene Findings.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-07", "title": "Nachweispaket ZIP", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/api/report/export?id=67cd7823-da66-47e0-a603-97a6e724d31c&format=zip", "evidence": "Sanitisierte JSON/CSV-Nachweise und Belege.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-08", "title": "Excel-Audit-Tabellen", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/api/report/export?id=67cd7823-da66-47e0-a603-97a6e724d31c&format=xlsx", "evidence": "Tabellen für Betreiber, Audits und Fragebögen.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-09", "title": "Prüfbeleg und Integritätsmanifest", "category": "Evidence Package", "share_level": "sanitisiert", "status": "teilweise", "score": 45, "url": "/otto.de#nachweise", "evidence": "Hash-Manifest fehlt.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-10", "title": "Interne Verträge, TOMs, RoPA und DPIA", "category": "Operator Evidence", "share_level": "Betreiber-Nachweis", "status": "Betreiber-Nachweis", "score": 35, "url": "", "evidence": "Aus öffentlichem Scan nicht beweisbar.", "owner": "Betreiber/DSB", "review_cadence": "bei Änderung" } ], "control_framework": [ { "control_id": "PCF-01", "domain": "Transparency", "title": "Kurzreport und Methodik öffentlich verlinken", "status": "wirksam", "control_score": 90, "evidence": "Kurzreport unter https://saferpage.de/otto.de", "owner": "Datenschutz/Marketing", "frequency": "bei jedem Scan", "guide_url": "/methodik" }, { "control_id": "PCF-02", "domain": "Consent", "title": "Consent und Cookie-Zustände prüfen", "status": "lücke", "control_score": 22, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "owner": "Marketing/IT", "frequency": "bei Tag-Änderung", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "control_id": "PCF-03", "domain": "Vendor Risk", "title": "Drittanbieter und AVV/DPA nachweisen", "status": "lücke", "control_score": 40, "evidence": "Anbieterregister aus Browser- und Cookie-Evidenz aufbauen.", "owner": "Legal/Vendor Owner", "frequency": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "control_id": "PCF-04", "domain": "DSAR", "title": "Betroffenenrechte-Prozess dokumentieren", "status": "lücke", "control_score": 45, "evidence": "Rechte-Center und Anfrageprozess prüfen.", "owner": "Datenschutz/Support", "frequency": "quartalsweise", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "control_id": "PCF-05", "domain": "Security", "title": "Technische Schutzmaßnahmen sichtbar halten", "status": "teilweise", "control_score": 45, "evidence": "Security-Header, TLS und Cookie-Attribute prüfen.", "owner": "IT/Security", "frequency": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "control_id": "PCF-06", "domain": "Audit Evidence", "title": "Prüfbeleg und Integritätsnachweise sichern", "status": "lücke", "control_score": 45, "evidence": "Audit Receipt oder Integritätsmanifest fehlt im gespeicherten Report.", "owner": "Compliance/IT", "frequency": "bei jedem Scan", "guide_url": "/methodik" } ], "audit_responses": [ { "id": "TAR-01", "category": "Privacy Program", "requester_question": "Gibt es eine aktuelle Datenschutz- und Vertrauensübersicht?", "answer_status": "antwortbereit", "answer_score": 85, "short_answer": "SaferPage stellt Kurzreport, Datenschutz-Center, Rechte-Center, Anbieterregister und Trust Center bereit.", "evidence": "https://saferpage.de/otto.de", "owner": "Compliance" }, { "id": "TAR-02", "category": "Controls", "requester_question": "Welche Datenschutzkontrollen sind prüfbar?", "answer_status": "offen", "answer_score": 48, "short_answer": "Fallback-Kontrollkatalog aus gespeicherter SaferPage-Evidenz.", "evidence": "Privacy Controls Framework.", "owner": "Compliance/IT" }, { "id": "TAR-03", "category": "Evidence", "requester_question": "Welche Nachweise können exportiert werden?", "answer_status": "teilweise", "answer_score": 75, "short_answer": "JSON, CSV, Excel und ZIP-Nachweispaket sind verfügbar.", "evidence": "Scan-ID 67cd7823-da66-47e0-a603-97a6e724d31c", "owner": "Compliance/IT" }, { "id": "TAR-04", "category": "Internal Evidence", "requester_question": "Sind interne Verträge, TOMs, RoPA und DPIA freigegeben?", "answer_status": "Betreiber-Nachweis", "answer_score": 35, "short_answer": "Aus öffentlichem Scan nicht beweisbar; Betreiber muss interne Nachweise freigeben.", "evidence": "Nachreichliste erforderlich.", "owner": "Betreiber/DSB" } ], "evidence_requests": [ { "label": "AVV/DPA, TOMs und Transferunterlagen", "status": "Betreiber-Nachweis", "expected_evidence": "Vertragsakte, TOM-Anlage, Subprozessorenliste, Transferbewertung.", "owner": "Legal/Vendor Owner" }, { "label": "RoPA, DPIA/DSFA und Kontrolltests", "status": "Betreiber-Nachweis", "expected_evidence": "Verarbeitungstätigkeiten, Risikobewertung, Testprotokolle, Freigabe.", "owner": "Datenschutz/Compliance" }, { "label": "Vertrags- und TOM-Nachweise", "status": "Betreiber-Nachweis", "expected_evidence": "AVV/DPA, TOMs, Subprozessoren, SCC/TIA.", "owner": "Legal/Vendor Owner" }, { "label": "Governance-Nachweise", "status": "Betreiber-Nachweis", "expected_evidence": "RoPA, DPIA, Freigaben, Kontrolltest-Protokolle.", "owner": "Datenschutz/Compliance" } ], "integrity": { "audit_receipt_available": false, "receipt": [], "integrity_manifest_available": false, "manifest": [] }, "sharing_guidance": { "public": "Öffentliche Links, Kurzreport, Datenschutz-Center, Methodik und sichtbare Trust-Bausteine können ohne interne Vertragsdaten geteilt werden.", "sanitized": "Exportpakete und Anbieter-/Risikoauszüge vor externer Weitergabe auf interne Hinweise, personenbezogene Daten und Vertragsdetails prüfen.", "operator_evidence": "AVV/DPA, TOMs, RoPA, DSFA, interne Löschläufe und Freigaben muss der Betreiber separat beilegen." }, "disclaimer": "Automatisch aus SaferPage-Nachweisen aufgebautes Trust Center. Externe Weitergabe, Vertraulichkeit und interne Betreiber-Nachweise müssen fachlich freigegeben werden." }