From 24fb1e14e05a6ad9a8ff5a89e2ec62588fc35f64 Mon Sep 17 00:00:00 2001 From: Benjamin Admin Date: Tue, 28 Apr 2026 15:20:12 +0200 Subject: [PATCH] =?UTF-8?q?docs:=20add=20Phase=204b=20=E2=80=94=20SOLL/IST?= =?UTF-8?q?=20Dienstleister-Abgleich=20(DSE=20vs.=20Website)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Automated comparison: services mentioned in privacy policy vs. actually embedded on website. Three categories: undocumented (Art. 13 violation), outdated (cleanup), correctly documented (check third country only). Co-Authored-By: Claude Opus 4.6 (1M context) --- zeroclaw/PLAN-control-relevance-filter.md | 60 +++++++++++++++++++++++ 1 file changed, 60 insertions(+) diff --git a/zeroclaw/PLAN-control-relevance-filter.md b/zeroclaw/PLAN-control-relevance-filter.md index 714e8c8..03458cd 100644 --- a/zeroclaw/PLAN-control-relevance-filter.md +++ b/zeroclaw/PLAN-control-relevance-filter.md @@ -343,6 +343,66 @@ Externe Dienste erkannt: → FOLLOW-UP: "Wird das CDN aus der EU oder einem Drittland geladen?" ``` +### Phase 4b: Soll-Ist-Abgleich (Dienstleister DSE vs. Website) + +Der wertvollste Output des Agents: automatischer Abgleich zwischen dem was in der +Datenschutzerklaerung STEHT und dem was tatsaechlich auf der Website EINGEBUNDEN ist. + +**Schritt 1: IST — Website scannen (bereits in Phase 4)** +Alle eingebundenen externen Dienste per HTML/Script-Analyse erkennen. + +**Schritt 2: SOLL — Datenschutzerklaerung parsen** +Aus dem DSE-Text extrahieren welche Dienstleister erwaehnt werden: +```python +# Qwen/LLM extrahiert strukturiert: +PROMPT = """ +Extrahiere aus dieser Datenschutzerklaerung ALLE erwaehnten Dienstleister/Tools. +Fuer jeden Dienstleister nenne: +- Name (z.B. "Google Analytics") +- Zweck (z.B. "Webanalyse") +- Land/Sitz (z.B. "USA") +- Genannte Rechtsgrundlage (z.B. "Einwilligung" oder "berechtigtes Interesse") +- Genannte Schutzmassnahme (z.B. "Standardvertragsklauseln") + +Antworte als JSON-Array. +""" +``` + +**Schritt 3: Abgleich → 3 Kategorien** + +| Kategorie | Bedeutung | Finding-Typ | +|-----------|-----------|-------------| +| Eingebunden + NICHT in DSE | Informationspflicht verletzt | HIGH — Art. 13 DSGVO Verstoss | +| In DSE + NICHT eingebunden | Veraltete/irrefuehrende DSE | LOW — Aufraumbedarf | +| Eingebunden + in DSE | Korrekt dokumentiert | OK — nur Drittland pruefen | + +**Beispiel-Output fuer Opodo:** +``` +Dienstleister-Abgleich (opodo.de) +══════════════════════════════════ + +Eingebunden auf Website In DSE erwaehnt? Status +─────────────────────────────── ─────────────────── ─────── +Google Analytics (G-03F834EHLM) Ja (Abschnitt 3.6) ✓ OK — aber USA, SCCs pruefen +Didomi CMP Ja (Cookie Notice) ✓ OK — Frankreich/EU +Bootstrap CDN (jsdelivr) Nein ✗ FINDING: Nicht in DSE +Google Tag Manager Ja (Abschnitt 3.6) ✓ OK + +In DSE erwaehnt Auf Website gefunden? Status +─────────────────────────────── ───────────────────── ─────── +Amadeus IT (Buchungssystem) Nicht pruefbar ? Backend-Dienst +Adyen (Zahlungsabwicklung) Nicht pruefbar ? Backend-Dienst +Salesforce (CRM) Nicht pruefbar ? Backend-Dienst + +Zusammenfassung: +- 1 Dienstleister eingebunden aber NICHT in DSE dokumentiert (jsdelivr CDN) +- 3 Backend-Dienste in DSE erwaehnt, nicht im Frontend pruefbar +- Empfehlung: jsdelivr CDN in Datenschutzerklaerung aufnehmen oder lokal hosten +``` + +Dieser Output allein ist fuer einen Datenschutzbeauftragten Gold wert — er spart +Stunden manueller Arbeit und deckt Luecken auf die bei Website-Updates entstehen. + ### Controls die durch Drittland-Dienste ausgeloest werden | Erkannter Dienst | Control |