{ "schema": "https://saferpage.de/schemas/trust-audit-package.v1", "generated_at": "2026-06-08T19:15:28+00:00", "domain": "spiegelgruppe.de", "scan": { "id": "cd23fbc7-8b67-4c11-bdec-4790ba87bcde", "checked_at": "2026-06-07 10:56:32.62941+02" }, "summary": "spiegelgruppe.de Trust Center: ausbaufähig mit 10 Dokument-/Nachweisbaustein(en), 6 Kontrolle(n) und 4 Audit-Antwort(en).", "status": "ausbaufähig", "score": 70, "metrics": { "readiness_score": 70, "control_score": 66, "response_score": 65, "documentation_score": 80, "document_count": 10, "control_count": 6, "response_count": 4, "evidence_request_count": 4 }, "links": { "trust_center": "https://saferpage.de/trust/spiegelgruppe.de", "json": "https://saferpage.de/trust/spiegelgruppe.de/export", "csv": "https://saferpage.de/trust/spiegelgruppe.de/export-csv", "report": "https://saferpage.de/spiegelgruppe.de", "privacy_center": "https://saferpage.de/datenschutz/spiegelgruppe.de", "risk_governance": "https://saferpage.de/risiko/spiegelgruppe.de/export", "operator_tickets": "https://saferpage.de/betreiber/spiegelgruppe.de/tickets", "consent_evidence": "https://saferpage.de/consent/spiegelgruppe.de/nachweise", "vendor_service_cards": "https://saferpage.de/anbieter/spiegelgruppe.de/servicekarten", "cookie_declaration": "https://saferpage.de/cookies/spiegelgruppe.de", "methodology": "https://saferpage.de/methodik" }, "public_links": [ { "label": "Kurzreport", "url": "https://saferpage.de/spiegelgruppe.de", "detail": "Öffentliche technische Zusammenfassung" }, { "label": "Datenschutz-Center", "url": "https://saferpage.de/datenschutz/spiegelgruppe.de", "detail": "Besucherfreundlicher Datenschutz-Hub" }, { "label": "Betroffenenrechte-Center", "url": "https://saferpage.de/rechte/spiegelgruppe.de", "detail": "Anfragearten, Intake, Fristen und Workflow" }, { "label": "Consent Center", "url": "https://saferpage.de/consent/spiegelgruppe.de", "detail": "Einwilligungen, Cookie-Erklärung, Reject/GPC und TCF-Signale" }, { "label": "Betreiber-Board", "url": "https://saferpage.de/betreiber/spiegelgruppe.de", "detail": "Tickets, Owner, SLA, Guides und Re-Scan-Abnahme" }, { "label": "Risiko-Center", "url": "https://saferpage.de/risiko/spiegelgruppe.de", "detail": "Risikoregister, DSFA-Screening, Data Map und Retention" }, { "label": "Benchmark", "url": "https://saferpage.de/benchmark/spiegelgruppe.de", "detail": "Rang, Perzentil, Median und Zielschwellen" }, { "label": "Änderungs-Center", "url": "https://saferpage.de/aenderungen/spiegelgruppe.de", "detail": "Audit-Timeline, Score-Delta, neue und behobene Findings" }, { "label": "Anbieterregister", "url": "https://saferpage.de/anbieter/spiegelgruppe.de", "detail": "Drittanbieter, Rollen und Transferfragen" }, { "label": "Methodik", "url": "https://saferpage.de/methodik", "detail": "Prüflogik und Grenzen" }, { "label": "SaferPageBot", "url": "https://saferpage.de/bot", "detail": "Crawler- und User-Agent-Transparenz" }, { "label": "ZIP-Nachweispaket", "url": "https://saferpage.de/api/report/export?id=cd23fbc7-8b67-4c11-bdec-4790ba87bcde&format=zip", "detail": "Sanitisierte Belege und Tabellen" }, { "label": "Excel-Audit-Tabellen", "url": "https://saferpage.de/api/report/export?id=cd23fbc7-8b67-4c11-bdec-4790ba87bcde&format=xlsx", "detail": "Audit-Workbook" } ], "documentation_library": [ { "id": "DOC-01", "title": "Öffentlicher Kurzreport", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 90, "url": "https://saferpage.de/spiegelgruppe.de", "evidence": "Kanonische Kurz-URL vorhanden.", "owner": "Marketing/Datenschutz", "review_cadence": "bei jedem Scan" }, { "id": "DOC-02", "title": "Datenschutz-Center", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 85, "url": "/datenschutz/spiegelgruppe.de", "evidence": "Notice, Cookies, Rechte, Anbieter und Nachweise als Besucherhub.", "owner": "Datenschutz/Content", "review_cadence": "monatlich" }, { "id": "DOC-03", "title": "Betroffenenrechte-Center", "category": "Governance", "share_level": "öffentlich", "status": "veröffentlicht", "score": 80, "url": "/rechte/spiegelgruppe.de", "evidence": "Anfragearten, Intake, Workflow und DACH/EU-Fristen.", "owner": "Datenschutz/Support", "review_cadence": "quartalsweise" }, { "id": "DOC-04", "title": "Anbieterregister", "category": "Vendor Risk", "share_level": "sanitisiert", "status": "exportierbar", "score": 80, "url": "/anbieter/spiegelgruppe.de", "evidence": "Drittanbieter, Risiko, Transferfragen und AVV/DPA-Prüfung.", "owner": "Legal/Vendor Owner", "review_cadence": "monatlich" }, { "id": "DOC-05", "title": "Benchmark", "category": "Public Trust", "share_level": "öffentlich", "status": "veröffentlicht", "score": 82, "url": "/benchmark/spiegelgruppe.de", "evidence": "Rang, Perzentil, Median, Top-Quartil und Zielschwellen.", "owner": "Compliance/Marketing", "review_cadence": "bei jedem Scan" }, { "id": "DOC-06", "title": "Änderungs-Center", "category": "Monitoring", "share_level": "öffentlich", "status": "veröffentlicht", "score": 82, "url": "/aenderungen/spiegelgruppe.de", "evidence": "Audit-Timeline, Score-Delta, neue und behobene Findings.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-07", "title": "Nachweispaket ZIP", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/api/report/export?id=cd23fbc7-8b67-4c11-bdec-4790ba87bcde&format=zip", "evidence": "Sanitisierte JSON/CSV-Nachweise und Belege.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-08", "title": "Excel-Audit-Tabellen", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/api/report/export?id=cd23fbc7-8b67-4c11-bdec-4790ba87bcde&format=xlsx", "evidence": "Tabellen für Betreiber, Audits und Fragebögen.", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-09", "title": "Prüfbeleg und Integritätsmanifest", "category": "Evidence Package", "share_level": "sanitisiert", "status": "exportierbar", "score": 90, "url": "/spiegelgruppe.de#nachweise", "evidence": "Root-Hash 2fa3ceb126a0c7fc…", "owner": "Compliance/IT", "review_cadence": "bei jedem Scan" }, { "id": "DOC-10", "title": "Interne Verträge, TOMs, RoPA und DPIA", "category": "Operator Evidence", "share_level": "Betreiber-Nachweis", "status": "Betreiber-Nachweis", "score": 35, "url": "", "evidence": "Aus öffentlichem Scan nicht beweisbar.", "owner": "Betreiber/DSB", "review_cadence": "bei Änderung" } ], "control_framework": [ { "control_id": "PCF-01", "domain": "Transparency", "title": "Kurzreport und Methodik öffentlich verlinken", "status": "wirksam", "control_score": 90, "evidence": "Kurzreport unter https://saferpage.de/spiegelgruppe.de", "owner": "Datenschutz/Marketing", "frequency": "bei jedem Scan", "guide_url": "/methodik" }, { "control_id": "PCF-02", "domain": "Consent", "title": "Consent und Cookie-Zustände prüfen", "status": "lücke", "control_score": 46, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "owner": "Marketing/IT", "frequency": "bei Tag-Änderung", "guide_url": "/guides/tracking-und-consent-reparieren" }, { "control_id": "PCF-03", "domain": "Vendor Risk", "title": "Drittanbieter und AVV/DPA nachweisen", "status": "lücke", "control_score": 40, "evidence": "Anbieterregister aus Browser- und Cookie-Evidenz aufbauen.", "owner": "Legal/Vendor Owner", "frequency": "monatlich", "guide_url": "/guides/drittanbieter-datenschutz-erklaeren" }, { "control_id": "PCF-04", "domain": "DSAR", "title": "Betroffenenrechte-Prozess dokumentieren", "status": "lücke", "control_score": 45, "evidence": "Rechte-Center und Anfrageprozess prüfen.", "owner": "Datenschutz/Support", "frequency": "quartalsweise", "guide_url": "/guides/datenschutzerklaerung-verbessern" }, { "control_id": "PCF-05", "domain": "Security", "title": "Technische Schutzmaßnahmen sichtbar halten", "status": "wirksam", "control_score": 82, "evidence": "6 von 9 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 2 Direktive(n), 0 Warnung(en), 1 Hinweis(e).", "owner": "IT/Security", "frequency": "monatlich", "guide_url": "/guides/security-header-setzen" }, { "control_id": "PCF-06", "domain": "Audit Evidence", "title": "Prüfbeleg und Integritätsnachweise sichern", "status": "wirksam", "control_score": 90, "evidence": "Root-Hash 2fa3ceb126a0c7fc…", "owner": "Compliance/IT", "frequency": "bei jedem Scan", "guide_url": "/methodik" } ], "audit_responses": [ { "id": "TAR-01", "category": "Privacy Program", "requester_question": "Gibt es eine aktuelle Datenschutz- und Vertrauensübersicht?", "answer_status": "antwortbereit", "answer_score": 85, "short_answer": "SaferPage stellt Kurzreport, Datenschutz-Center, Rechte-Center, Anbieterregister und Trust Center bereit.", "evidence": "https://saferpage.de/spiegelgruppe.de", "owner": "Compliance" }, { "id": "TAR-02", "category": "Controls", "requester_question": "Welche Datenschutzkontrollen sind prüfbar?", "answer_status": "teilweise", "answer_score": 66, "short_answer": "Fallback-Kontrollkatalog aus gespeicherter SaferPage-Evidenz.", "evidence": "Privacy Controls Framework.", "owner": "Compliance/IT" }, { "id": "TAR-03", "category": "Evidence", "requester_question": "Welche Nachweise können exportiert werden?", "answer_status": "teilweise", "answer_score": 75, "short_answer": "JSON, CSV, Excel und ZIP-Nachweispaket sind verfügbar.", "evidence": "Scan-ID cd23fbc7-8b67-4c11-bdec-4790ba87bcde", "owner": "Compliance/IT" }, { "id": "TAR-04", "category": "Internal Evidence", "requester_question": "Sind interne Verträge, TOMs, RoPA und DPIA freigegeben?", "answer_status": "Betreiber-Nachweis", "answer_score": 35, "short_answer": "Aus öffentlichem Scan nicht beweisbar; Betreiber muss interne Nachweise freigeben.", "evidence": "Nachreichliste erforderlich.", "owner": "Betreiber/DSB" } ], "evidence_requests": [ { "label": "AVV/DPA, TOMs und Transferunterlagen", "status": "Betreiber-Nachweis", "expected_evidence": "Vertragsakte, TOM-Anlage, Subprozessorenliste, Transferbewertung.", "owner": "Legal/Vendor Owner" }, { "label": "RoPA, DPIA/DSFA und Kontrolltests", "status": "Betreiber-Nachweis", "expected_evidence": "Verarbeitungstätigkeiten, Risikobewertung, Testprotokolle, Freigabe.", "owner": "Datenschutz/Compliance" }, { "label": "Vertrags- und TOM-Nachweise", "status": "Betreiber-Nachweis", "expected_evidence": "AVV/DPA, TOMs, Subprozessoren, SCC/TIA.", "owner": "Legal/Vendor Owner" }, { "label": "Governance-Nachweise", "status": "Betreiber-Nachweis", "expected_evidence": "RoPA, DPIA, Freigaben, Kontrolltest-Protokolle.", "owner": "Datenschutz/Compliance" } ], "integrity": { "audit_receipt_available": true, "receipt": { "url": "https://spiegelgruppe.de/", "host": "spiegelgruppe.de", "status": "verfügbar", "bot_url": "https://saferpage.de/bot", "summary": "Prüfbeleg für spiegelgruppe.de: kontrollierter HTTP-/Browser-Kurzcheck mit 19 Request(s), 4 Consent-Zustand/Zuständen und 6 Artefakt(en).", "renderer": "playwright-chromium", "artifacts": [ { "label": "Öffentlicher Kurzreport", "detail": "https://saferpage.de/spiegelgruppe.de", "status": "verfügbar" }, { "label": "JSON-Export", "detail": "Maschinenlesbarer Report mit Modulen, Nachweisen und Tabellen.", "status": "verfügbar" }, { "label": "CSV-Export", "detail": "Tabellarische Prüfzeilen für Betreiber, Datenschutz und Technik.", "status": "verfügbar" }, { "label": "100x100 Screenshot", "detail": "/cache/screenshots/spiegelgruppe.de-100x100-8543c193dd3daab68d.png", "status": "verfügbar" }, { "label": "Empfänger-/Anbieterinventar", "detail": "3 Anbieterzeile(n), 3 AVV-/Rollenprüfung(en).", "status": "prüfen" }, { "label": "Barrierefreiheitserklärung-Entwurf", "detail": "1 bekannte Barrierefreiheits-Punkt(e).", "status": "Teilweise konform im automatischen Basischeck" } ], "available": true, "final_url": "https://gruppe.spiegel.de/", "checked_at": "2026-06-07T08:56:32+00:00", "share_text": "SaferPage Prüfbeleg spiegelgruppe.de: 19 Browser-Request(s), 3 Drittanbieter, 0 Cookie-/Storage-Einträge, geprüft am 2026-06-07T08:56:32.", "user_agent": "SaferPageCrawler/0.3 (+https://saferpage.de/bot; schedules passive DACH website checks; report examples: https://saferpage.de/tests)", "limitations": [ "Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.", "Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.", "Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern." ], "scan_context": "crawler", "coverage_items": [ { "label": "HTTP/DNS/TLS", "value": "HTTP 200 · DNS ok · TLS ok" }, { "label": "Browserlauf", "value": "19 Request(s), 3 Drittanbieter-Domain(s), 0 Browser-Cookie(s)." }, { "label": "Consent-Zustände", "value": "4 Zustand/Zustände: Default, Ablehnen, Akzeptieren und GPC soweit verfügbar." }, { "label": "Seitenabdeckung", "value": "0 priorisierte Unterseite(n) im Nachweispack." }, { "label": "Drittanbieter-Auszug", "value": "3 Anbieterzeile(n) im öffentlichen Nachweis." }, { "label": "Cookie-Auszug", "value": "0 Cookie-Zeile(n) im öffentlichen Nachweis." } ], "confidence_score": 78, "browser_final_url": "https://gruppe.spiegel.de/", "methodology_steps": [ "URL normalisieren, DNS/TLS/HTTP abrufen und Weiterleitungsziel dokumentieren.", "Startseite mit SaferPage-User-Agent und Headless Chromium aufrufen.", "Netzwerk-Requests, Cookies, Web Storage, Screenshot und sichtbare Consent-Controls erfassen.", "Consent-Zustände Default, Ablehnen, Akzeptieren und GPC soweit möglich gegenüberstellen.", "Cookies, Anbieter, Rechtsgrundlagen, Banner-UX, Security-Header, Barrierefreiheit und Betreiberaufgaben ableiten." ] }, "integrity_manifest_available": true, "manifest": { "host": "spiegelgruppe.de", "status": "verfügbar", "summary": "Integritätsmanifest für spiegelgruppe.de: 9/9 Nachweisbereich(e) mit SHA-256-Hash dokumentiert.", "sections": [ { "id": "audit_receipt", "hash": "b941c75afae517fc4c82b0972dfc67dfa08d25aa88c238ed90f94959658b9c07", "count": 18, "label": "Prüfbeleg", "detail": "Kanonischer JSON-Hash des kompakten Prüfbelegs.", "status": "verfügbar" }, { "id": "protocol", "hash": "8292a74912165b6a53054ca0b8ee715830a73ebf3702f1000e2f31aaed206544", "count": 15, "label": "Scan-Protokoll", "detail": "URL, Endziel, User-Agent, Zeitstempel, HTTP/DNS/TLS und Renderer.", "status": "verfügbar" }, { "id": "checkpoints", "hash": "91775be768a7cc1690a82bb965bd4f0805a96b09dcacb291faf235ced4c745b4", "count": 6, "label": "Prüfschritte", "detail": "Kanonischer JSON-Hash der dokumentierten Prüfstationen.", "status": "verfügbar" }, { "id": "consent_states", "hash": "469e2388119aacc9dc920cf5ab9227540f8dad50f38f595f2068c651d1af2cdb", "count": 4, "label": "Consent-Zustände", "detail": "Default-, Ablehnen-, Akzeptieren- und GPC-Nachweise soweit verfügbar.", "status": "verfügbar" }, { "id": "third_party_evidence", "hash": "da88b07fccedd18e161c98e92806c236e92af4370577bc3b1f55343f2bdfe03f", "count": 3, "label": "Drittanbieter-Auszug", "detail": "Sanitisierte Anbieter-, Kategorie-, Transfer- und Request-Zählwerte.", "status": "verfügbar" }, { "id": "cookie_evidence", "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945", "count": 0, "label": "Cookie-Auszug", "detail": "Sanitisierte Cookie-Metadaten ohne Cookie-Werte.", "status": "leer" }, { "id": "request_samples", "hash": "2abba9426ba8702c70ea080a68e688d602bb30628bdf837ec8642bb506fe8c02", "count": 6, "label": "Request-Samples", "detail": "Sanitisierte Drittanbieter-Samples ohne vollständige Request-URLs.", "status": "verfügbar" }, { "id": "checked_pages", "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945", "count": 0, "label": "Geprüfte Unterseiten", "detail": "Priorisierte Pfade aus Sitemap, Pflichtseiten und interner Linkstruktur.", "status": "leer" }, { "id": "screenshot_file", "hash": "1e4eac391a1904dac9b8d73146b71a3a8e6517dfa56bae825ba602f584c9c0b0", "count": 3618, "label": "100x100 Screenshot-Datei", "detail": "/cache/screenshots/spiegelgruppe.de-100x100-8543c193dd3daab68d.png", "status": "verfügbar" } ], "algorithm": "sha256", "available": true, "root_hash": "2fa3ceb126a0c7fc89073da5766aa13eb38ada76325796906bf1faa4684d1cab", "checked_at": "2026-06-07T08:56:32+00:00", "limitations": [ "Das Manifest schützt die im Report veröffentlichten/sanitisierten Nachweise, nicht verdeckte Cookie-Werte oder vollständige Request-URLs.", "Ohne externe qualifizierte Zeitstempelung beweist der Hash Integrität des exportierten Artefakts, aber keine amtliche Zustellung." ], "section_count": 9, "canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; Screenshot als rohe Datei-Bytes.", "verification_steps": [ "JSON-Export speichern und den jeweiligen Abschnitt kanonisch mit sortierten Schlüsseln serialisieren.", "SHA-256 des kanonischen Abschnitts bilden und mit dem Manifest vergleichen.", "Screenshot-Datei separat als rohe Datei-Bytes hashen, falls ein Screenshot-Artefakt vorhanden ist.", "Bei einem Wiederholungsscan Root-Hash, Zeitstempel und Abschnitts-Hashes getrennt vergleichen." ], "available_hash_count": 9 } }, "sharing_guidance": { "public": "Öffentliche Links, Kurzreport, Datenschutz-Center, Methodik und sichtbare Trust-Bausteine können ohne interne Vertragsdaten geteilt werden.", "sanitized": "Exportpakete und Anbieter-/Risikoauszüge vor externer Weitergabe auf interne Hinweise, personenbezogene Daten und Vertragsdetails prüfen.", "operator_evidence": "AVV/DPA, TOMs, RoPA, DSFA, interne Löschläufe und Freigaben muss der Betreiber separat beilegen." }, "disclaimer": "Automatisch aus SaferPage-Nachweisen aufgebautes Trust Center. Externe Weitergabe, Vertraulichkeit und interne Betreiber-Nachweise müssen fachlich freigegeben werden." }