{ "schema": "https://saferpage.de/schemas/trust-audit-package.v1", "generated_at": "2026-06-08T19:12:00+00:00", "domain": "shop.spiegel.de", "scan": { "id": "5dfe126b-0078-489c-82a9-ec700802d99e", "checked_at": "2026-06-07 10:56:25.803654+02" }, "summary": "shop.spiegel.de Trust Center: ausbaufähig mit 10 Dokument-/Nachweisbaustein(en), 6 Kontrolle(n) und 4 Audit-Antwort(en).", "status": "ausbaufähig", "score": 66, "metrics": { "readiness_score": 66, "control_score": 56, "response_score": 63, "documentation_score": 80, "document_count": 10, "control_count": 6, "response_count": 4, "evidence_request_count": 4 }, "links": { "trust_center": "https://saferpage.de/trust/shop.spiegel.de", "json": "https://saferpage.de/trust/shop.spiegel.de/export", "csv": "https://saferpage.de/trust/shop.spiegel.de/export-csv", "report": "https://saferpage.de/shop.spiegel.de", "privacy_center": "https://saferpage.de/datenschutz/shop.spiegel.de", "risk_governance": "https://saferpage.de/risiko/shop.spiegel.de/export", "operator_tickets": "https://saferpage.de/betreiber/shop.spiegel.de/tickets", "consent_evidence": "https://saferpage.de/consent/shop.spiegel.de/nachweise", "vendor_service_cards": "https://saferpage.de/anbieter/shop.spiegel.de/servicekarten", "cookie_declaration": "https://saferpage.de/cookies/shop.spiegel.de", "methodology": "https://saferpage.de/methodik" }, "public_links": [ { "label": "Kurzreport", "url": "https://saferpage.de/shop.spiegel.de", "detail": "Öffentliche technische Zusammenfassung" }, { "label": "Datenschutz-Center", "url": "https://saferpage.de/datenschutz/shop.spiegel.de", "detail": "Besucherfreundlicher Datenschutz-Hub" }, { "label": "Betroffenenrechte-Center", "url": "https://saferpage.de/rechte/shop.spiegel.de", "detail": "Anfragearten, Intake, Fristen und Workflow" }, { "label": "Consent Center", "url": "https://saferpage.de/consent/shop.spiegel.de", "detail": "Einwilligungen, Cookie-Erklärung, Reject/GPC und TCF-Signale" }, { "label": "Betreiber-Board", "url": "https://saferpage.de/betreiber/shop.spiegel.de", "detail": "Tickets, Owner, SLA, Guides und Re-Scan-Abnahme" }, { "label": "Risiko-Center", "url": "https://saferpage.de/risiko/shop.spiegel.de", "detail": "Risikoregister, DSFA-Screening, Data Map und Retention" }, { "label": "Benchmark", "url": "https://saferpage.de/benchmark/shop.spiegel.de", "detail": "Rang, Perzentil, Median und Zielschwellen" }, { "label": "Änderungs-Center", "url": "https://saferpage.de/aenderungen/shop.spiegel.de", "detail": "Audit-Timeline, Score-Delta, neue und behobene Findings" }, { "label": "Anbieterregister", "url": "https://saferpage.de/anbieter/shop.spiegel.de", "detail": "Drittanbieter, Rollen und Transferfragen" }, { "label": "Methodik", "url": "https://saferpage.de/methodik", "detail": "Prüflogik und Grenzen" }, { "label": "SaferPageBot", "url": "https://saferpage.de/bot", "detail": "Crawler- und User-Agent-Transparenz" }, { "label": "ZIP-Nachweispaket", "url": "https://saferpage.de/api/report/export?id=5dfe126b-0078-489c-82a9-ec700802d99e&format=zip", "detail": "Sanitisierte Belege und Tabellen" }, { "label": "Excel-Audit-Tabellen", "url": "https://saferpage.de/api/report/export?id=5dfe126b-0078-489c-82a9-ec700802d99e&format=xlsx", "detail": "Audit-Workbook" } ], "documentation_library": [ { "id": "DOC-01", "title": "Öffentlicher Kurzreport", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 90, "url": "https://saferpage.de/shop.spiegel.de", "evidence": "Kanonische Kurz-URL vorhanden.", "owner": "Marketing/Datenschutz", "review_cadence": "bei jedem Scan" }, { "id": "DOC-02", "title": "Datenschutz-Center", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 85, "url": "/datenschutz/shop.spiegel.de", "evidence": "Notice, Cookies, Rechte, Anbieter und Nachweise als Besucherhub.", "owner": "Datenschutz/Content", "review_cadence": "monatlich" }, { "id": "DOC-03", "title": "Betroffenenrechte-Center", "category": "Governance", "share_level": "öffentlich", "status": "veröffentlicht", "score": 80, "url": "/rechte/shop.spiegel.de", "evidence": "Anfragearten, Intake, Workflow und DACH/EU-Fristen.", "owner": "Datenschutz/Support", "review_cadence": "quartalsweise" }, { "id": "DOC-04", "title": "Anbieterregister", "category": "Vendor Risk", "share_level": "sanitisiert", "status": "exportierbar", "score": 80, "url": "/anbieter/shop.spiegel.de", "evidence": "Drittanbieter, Risiko, Transferfragen und AVV/DPA-Prüfung.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich" }, { "id": "DOC-05", "title": "Benchmark", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 82, "url": "/benchmark/shop.spiegel.de", "evidence": "Rang, Perzentil, Median, Top-Quartil und Zielschwellen.", "owner": "Compliance/Marketing", "review_cadence": "bei jedem Scan" }, { "id": "DOC-06", "title": "Änderungs-Center", "category": "Monitoring", "share_level": "öffentlich", "status": "veröffentlicht", "score": 82, "url": "/aenderungen/shop.spiegel.de", "evidence": "Audit-Timeline, Score-Delta, neue und behobene Findings.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-07", "title": "Nachweispaket ZIP", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/api/report/export?id=5dfe126b-0078-489c-82a9-ec700802d99e&format=zip", "evidence": "Sanitisierte JSON/CSV-Nachweise und Belege.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-08", "title": "Excel-Audit-Tabellen", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/api/report/export?id=5dfe126b-0078-489c-82a9-ec700802d99e&format=xlsx", "evidence": "Tabellen für Betreiber, Audits und Fragebögen.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-09", "title": "Prüfbeleg und Integritätsmanifest", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/shop.spiegel.de#nachweise", "evidence": "Root-Hash 2c7edcbe603e9b6b…", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-10", "title": "Interne Verträge, TOMs, RoPA und DPIA", "category": "Operator Evidence", "share_level": "Betreiber-Nachweis", "status": "Betreiber-Nachweis", "score": 35, "url": "", "evidence": "Aus öffentlichem Scan nicht beweisbar.", "owner": "Betreiber/DSB", "review_cadence": "bei Änderung" } ], "control_framework": [ { "control_id": "PCF-01", "domain": "Transparency", "title": "Kurzreport und Methodik öffentlich verlinken", "status": "wirksam", "control_score": 90, "evidence": "Kurzreport unter https://saferpage.de/shop.spiegel.de", "owner": "Datenschutz/Marketing", "frequency": "bei jedem Scan", "guide_url": "/methodik" }, { "control_id": "PCF-02", "domain": "Consent", "title": "Consent und Cookie-Zustände prüfen", "status": "lücke", "control_score": 0, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "owner": "Marketing/IT", "frequency": "bei Tag-Änderung", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "control_id": "PCF-03", "domain": "Vendor Risk", "title": "Drittanbieter und AVV/DPA nachweisen", "status": "lücke", "control_score": 40, "evidence": "Anbieterregister aus Browser- und Cookie-Evidenz aufbauen.", "owner": "Legal/Vendor Owner", "frequency": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "control_id": "PCF-04", "domain": "DSAR", "title": "Betroffenenrechte-Prozess dokumentieren", "status": "lücke", "control_score": 45, "evidence": "Rechte-Center und Anfrageprozess prüfen.", "owner": "Datenschutz/Support", "frequency": "quartalsweise", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "control_id": "PCF-05", "domain": "Security", "title": "Technische Schutzmaßnahmen sichtbar halten", "status": "wirksam", "control_score": 70, "evidence": "4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.", "owner": "IT/Security", "frequency": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "control_id": "PCF-06", "domain": "Audit Evidence", "title": "Prüfbeleg und Integritätsnachweise sichern", "status": "wirksam", "control_score": 90, "evidence": "Root-Hash 2c7edcbe603e9b6b…", "owner": "Compliance/IT", "frequency": "bei jedem Scan", "guide_url": "/methodik" } ], "audit_responses": [ { "id": "TAR-01", "category": "Privacy Program", "requester_question": "Gibt es eine aktuelle Datenschutz- und Vertrauensübersicht?", "answer_status": "antwortbereit", "answer_score": 85, "short_answer": "SaferPage stellt Kurzreport, Datenschutz-Center, Rechte-Center, Anbieterregister und Trust Center bereit.", "evidence": "https://saferpage.de/shop.spiegel.de", "owner": "Compliance" }, { "id": "TAR-02", "category": "Controls", "requester_question": "Welche Datenschutzkontrollen sind prüfbar?", "answer_status": "offen", "answer_score": 56, "short_answer": "Fallback-Kontrollkatalog aus gespeicherter SaferPage-Evidenz.", "evidence": "Privacy Controls Framework.", "owner": "Compliance/IT" }, { "id": "TAR-03", "category": "Evidence", "requester_question": "Welche Nachweise können exportiert werden?", "answer_status": "teilweise", "answer_score": 75, "short_answer": "JSON, CSV, Excel und ZIP-Nachweispaket sind verfügbar.", "evidence": "Scan-ID 5dfe126b-0078-489c-82a9-ec700802d99e", "owner": "Compliance/IT" }, { "id": "TAR-04", "category": "Internal Evidence", "requester_question": "Sind interne Verträge, TOMs, RoPA und DPIA freigegeben?", "answer_status": "Betreiber-Nachweis", "answer_score": 35, "short_answer": "Aus öffentlichem Scan nicht beweisbar; Betreiber muss interne Nachweise freigeben.", "evidence": "Nachreichliste erforderlich.", "owner": "Betreiber/DSB" } ], "evidence_requests": [ { "label": "AVV/DPA, TOMs und Transferunterlagen", "status": "Betreiber-Nachweis", "expected_evidence": "Vertragsakte, TOM-Anlage, Subprozessorenliste, Transferbewertung.", "owner": "Legal/Vendor Owner" }, { "label": "RoPA, DPIA/DSFA und Kontrolltests", "status": "Betreiber-Nachweis", "expected_evidence": "Verarbeitungstätigkeiten, Risikobewertung, Testprotokolle, Freigabe.", "owner": "Datenschutz/Compliance" }, { "label": "Vertrags- und TOM-Nachweise", "status": "Betreiber-Nachweis", "expected_evidence": "AVV/DPA, TOMs, Subprozessoren, SCC/TIA.", "owner": "Legal/Vendor Owner" }, { "label": "Governance-Nachweise", "status": "Betreiber-Nachweis", "expected_evidence": "RoPA, DPIA, Freigaben, Kontrolltest-Protokolle.", "owner": "Datenschutz/Compliance" } ], "integrity": { "audit_receipt_available": true, "receipt": { "url": "https://shop.spiegel.de/", "host": "shop.spiegel.de", "status": "verfügbar", "bot_url": "https://saferpage.de/bot", "summary": "Prüfbeleg für shop.spiegel.de: kontrollierter HTTP-/Browser-Kurzcheck mit 64 Request(s), 4 Consent-Zustand/Zuständen und 7 Artefakt(en).", "renderer": "playwright-chromium", "artifacts": [ { "label": "Öffentlicher Kurzreport", "detail": "https://saferpage.de/shop.spiegel.de", "status": "verfügbar" }, { "label": "JSON-Export", "detail": "Maschinenlesbarer Report mit Modulen, Nachweisen und Tabellen.", "status": "verfügbar" }, { "label": "CSV-Export", "detail": "Tabellarische Prüfzeilen für Betreiber, Datenschutz und Technik.", "status": "verfügbar" }, { "label": "100x100 Screenshot", "detail": "/cache/screenshots/shop.spiegel.de-100x100-fa9d58ce89b2474903.png", "status": "verfügbar" }, { "label": "Cookie-Erklärung", "detail": "11 Cookie-/Storage-Eintrag/Einträge.", "status": "auffällig" }, { "label": "Empfänger-/Anbieterinventar", "detail": "4 Anbieterzeile(n), 1 AVV-/Rollenprüfung(en).", "status": "unauffällig" }, { "label": "Barrierefreiheitserklärung-Entwurf", "detail": "1 bekannte Barrierefreiheits-Punkt(e).", "status": "Teilweise konform im automatischen Basischeck" } ], "available": true, "final_url": "https://shop.spiegel.de/", "checked_at": "2026-06-07T08:56:25+00:00", "share_text": "SaferPage Prüfbeleg shop.spiegel.de: 64 Browser-Request(s), 4 Drittanbieter, 11 Cookie-/Storage-Einträge, geprüft am 2026-06-07T08:56:25.", "user_agent": "SaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests)", "limitations": [ "Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.", "Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.", "Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern." ], "scan_context": "crawler", "coverage_items": [ { "label": "HTTP/DNS/TLS", "value": "HTTP 200 · DNS ok · TLS ok" }, { "label": "Browserlauf", "value": "64 Request(s), 4 Drittanbieter-Domain(s), 5 Browser-Cookie(s)." }, { "label": "Consent-Zustände", "value": "4 Zustand/Zustände: Default, Ablehnen, Akzeptieren und GPC soweit verfügbar." }, { "label": "Seitenabdeckung", "value": "8 priorisierte Unterseite(n) im Nachweispack." }, { "label": "Drittanbieter-Auszug", "value": "4 Anbieterzeile(n) im öffentlichen Nachweis." }, { "label": "Cookie-Auszug", "value": "6 Cookie-Zeile(n) im öffentlichen Nachweis." } ], "confidence_score": 87, "browser_final_url": "https://shop.spiegel.de/", "methodology_steps": [ "URL normalisieren, DNS/TLS/HTTP abrufen und Weiterleitungsziel dokumentieren.", "Startseite mit SaferPage-User-Agent und Headless Chromium aufrufen.", "Netzwerk-Requests, Cookies, Web Storage, Screenshot und sichtbare Consent-Controls erfassen.", "Consent-Zustände Default, Ablehnen, Akzeptieren und GPC soweit möglich gegenüberstellen.", "Cookies, Anbieter, Rechtsgrundlagen, Banner-UX, Security-Header, Barrierefreiheit und Betreiberaufgaben ableiten." ] }, "integrity_manifest_available": true, "manifest": { "host": "shop.spiegel.de", "status": "verfügbar", "summary": "Integritätsmanifest für shop.spiegel.de: 9/9 Nachweisbereich(e) mit SHA-256-Hash dokumentiert.", "sections": [ { "id": "audit_receipt", "hash": "d24894ca6b1d7d0de68dfbe1606523a598a0e4c3479736075baac1e1e75d763f", "count": 18, "label": "Prüfbeleg", "detail": "Kanonischer JSON-Hash des kompakten Prüfbelegs.", "status": "verfügbar" }, { "id": "protocol", "hash": "9e0ca119038dab2895ada42d0241b8c31c919c2681a46ac9b82b51f8d01a9a05", "count": 15, "label": "Scan-Protokoll", "detail": "URL, Endziel, User-Agent, Zeitstempel, HTTP/DNS/TLS und Renderer.", "status": "verfügbar" }, { "id": "checkpoints", "hash": "a56db1bcbee7d817b247d81cd6aecf97bfc7a275179a531a0c24565c816ed80d", "count": 6, "label": "Prüfschritte", "detail": "Kanonischer JSON-Hash der dokumentierten Prüfstationen.", "status": "verfügbar" }, { "id": "consent_states", "hash": "c1991b44beb17398a271a1a036972b66b3abd899db2ea10432d6cac68a074db2", "count": 4, "label": "Consent-Zustände", "detail": "Default-, Ablehnen-, Akzeptieren- und GPC-Nachweise soweit verfügbar.", "status": "verfügbar" }, { "id": "third_party_evidence", "hash": "e552476a86d4ec28f3bbdb892fab4755cad377be143a98ff017c6e88030d88b3", "count": 4, "label": "Drittanbieter-Auszug", "detail": "Sanitisierte Anbieter-, Kategorie-, Transfer- und Request-Zählwerte.", "status": "verfügbar" }, { "id": "cookie_evidence", "hash": "cdc928d356dafba263c596ed4b03111cc0c8ca3f5adebc93f782259ce6a609ee", "count": 6, "label": "Cookie-Auszug", "detail": "Sanitisierte Cookie-Metadaten ohne Cookie-Werte.", "status": "verfügbar" }, { "id": "request_samples", "hash": "0adef6ee5a79ad5e81a186c94b715cdde1790c5078c1a495b0f359a1c456b42e", "count": 10, "label": "Request-Samples", "detail": "Sanitisierte Drittanbieter-Samples ohne vollständige Request-URLs.", "status": "verfügbar" }, { "id": "checked_pages", "hash": "ee6f0d72296655e21376fe2f1d4dd93e7410409814bc4d932127361e94485b2d", "count": 8, "label": "Geprüfte Unterseiten", "detail": "Priorisierte Pfade aus Sitemap, Pflichtseiten und interner Linkstruktur.", "status": "verfügbar" }, { "id": "screenshot_file", "hash": "e95e90cc0c08e35eac99eda8fe3fe669bdb8de99e9c06afc44acf2cca6a26f94", "count": 2838, "label": "100x100 Screenshot-Datei", "detail": "/cache/screenshots/shop.spiegel.de-100x100-fa9d58ce89b2474903.png", "status": "verfügbar" } ], "algorithm": "sha256", "available": true, "root_hash": "2c7edcbe603e9b6bcec758431ceb3ea3c4eb91a5b17c41c594b9f97a2c646b2c", "checked_at": "2026-06-07T08:56:25+00:00", "limitations": [ "Das Manifest schützt die im Report veröffentlichten/sanitisierten Nachweise, nicht verdeckte Cookie-Werte oder vollständige Request-URLs.", "Ohne externe qualifizierte Zeitstempelung beweist der Hash Integrität des exportierten Artefakts, aber keine amtliche Zustellung." ], "section_count": 9, "canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; Screenshot als rohe Datei-Bytes.", "verification_steps": [ "JSON-Export speichern und den jeweiligen Abschnitt kanonisch mit sortierten Schlüsseln serialisieren.", "SHA-256 des kanonischen Abschnitts bilden und mit dem Manifest vergleichen.", "Screenshot-Datei separat als rohe Datei-Bytes hashen, falls ein Screenshot-Artefakt vorhanden ist.", "Bei einem Wiederholungsscan Root-Hash, Zeitstempel und Abschnitts-Hashes getrennt vergleichen." ], "available_hash_count": 9 } }, "sharing_guidance": { "public": "Öffentliche Links, Kurzreport, Datenschutz-Center, Methodik und sichtbare Trust-Bausteine können ohne interne Vertragsdaten geteilt werden.", "sanitized": "Exportpakete und Anbieter-/Risikoauszüge vor externer Weitergabe auf interne Hinweise, personenbezogene Daten und Vertragsdetails prüfen.", "operator_evidence": "AVV/DPA, TOMs, RoPA, DSFA, interne Löschläufe und Freigaben muss der Betreiber separat beilegen." }, "disclaimer": "Automatisch aus SaferPage-Nachweisen aufgebautes Trust Center. Externe Weitergabe, Vertraulichkeit und interne Betreiber-Nachweise müssen fachlich freigegeben werden." }