Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

docs: add Phase 4b — SOLL/IST Dienstleister-Abgleich (DSE vs. Website)

Browse Source 
Automated comparison: services mentioned in privacy policy vs. actually
embedded on website. Three categories: undocumented (Art. 13 violation),
outdated (cleanup), correctly documented (check third country only).

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-04-28 15:20:12 +02:00
parent 6aa753146f
commit 24fb1e14e0
1 changed files with 60 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

60
zeroclaw/PLAN-control-relevance-filter.md
View File

@@ -343,6 +343,66 @@ Externe Dienste erkannt:
→ FOLLOW-UP: "Wird das CDN aus der EU oder einem Drittland geladen?" → FOLLOW-UP: "Wird das CDN aus der EU oder einem Drittland geladen?"
``` ```
### Phase 4b: Soll-Ist-Abgleich (Dienstleister DSE vs. Website)
Der wertvollste Output des Agents: automatischer Abgleich zwischen dem was in der
Datenschutzerklaerung STEHT und dem was tatsaechlich auf der Website EINGEBUNDEN ist.
**Schritt 1: IST — Website scannen (bereits in Phase 4)**
Alle eingebundenen externen Dienste per HTML/Script-Analyse erkennen.
**Schritt 2: SOLL — Datenschutzerklaerung parsen**
Aus dem DSE-Text extrahieren welche Dienstleister erwaehnt werden:
```python
# Qwen/LLM extrahiert strukturiert:
PROMPT = """
Extrahiere aus dieser Datenschutzerklaerung ALLE erwaehnten Dienstleister/Tools.
Fuer jeden Dienstleister nenne:
- Name (z.B. "Google Analytics")
- Zweck (z.B. "Webanalyse")
- Land/Sitz (z.B. "USA")
- Genannte Rechtsgrundlage (z.B. "Einwilligung" oder "berechtigtes Interesse")
- Genannte Schutzmassnahme (z.B. "Standardvertragsklauseln")
Antworte als JSON-Array.
"""
```
**Schritt 3: Abgleich → 3 Kategorien**
| Kategorie | Bedeutung | Finding-Typ |
|-----------|-----------|-------------|
| Eingebunden + NICHT in DSE | Informationspflicht verletzt | HIGH — Art. 13 DSGVO Verstoss |
| In DSE + NICHT eingebunden | Veraltete/irrefuehrende DSE | LOW — Aufraumbedarf |
| Eingebunden + in DSE | Korrekt dokumentiert | OK — nur Drittland pruefen |
**Beispiel-Output fuer Opodo:**
```
Dienstleister-Abgleich (opodo.de)
══════════════════════════════════
Eingebunden auf Website In DSE erwaehnt? Status
─────────────────────────────── ─────────────────── ───────
Google Analytics (G-03F834EHLM) Ja (Abschnitt 3.6) ✓ OK — aber USA, SCCs pruefen
Didomi CMP Ja (Cookie Notice) ✓ OK — Frankreich/EU
Bootstrap CDN (jsdelivr) Nein ✗ FINDING: Nicht in DSE
Google Tag Manager Ja (Abschnitt 3.6) ✓ OK
In DSE erwaehnt Auf Website gefunden? Status
─────────────────────────────── ───────────────────── ───────
Amadeus IT (Buchungssystem) Nicht pruefbar ? Backend-Dienst
Adyen (Zahlungsabwicklung) Nicht pruefbar ? Backend-Dienst
Salesforce (CRM) Nicht pruefbar ? Backend-Dienst
Zusammenfassung:
- 1 Dienstleister eingebunden aber NICHT in DSE dokumentiert (jsdelivr CDN)
- 3 Backend-Dienste in DSE erwaehnt, nicht im Frontend pruefbar
- Empfehlung: jsdelivr CDN in Datenschutzerklaerung aufnehmen oder lokal hosten
```
Dieser Output allein ist fuer einen Datenschutzbeauftragten Gold wert — er spart
Stunden manueller Arbeit und deckt Luecken auf die bei Website-Updates entstehen.
### Controls die durch Drittland-Dienste ausgeloest werden ### Controls die durch Drittland-Dienste ausgeloest werden
| Erkannter Dienst | Control | | Erkannter Dienst | Control |