Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Beispiel-Befunde
Fehlende Beschreibung der GDPR-Rechte von Betroffenen
Ihre Datenschutzerklärung beschreibt nicht die Rechte, die Betroffenen nach GDPR Articles 15–22 zustehen (Zugriff, Berichtigung, Löschung, Datenübertragbarkeit, Einschränkung, Widerspruch). Diese Lücke ist für jede Website, die Daten von EU-Bewohnern verarbeitet, wesentlich — und gehört zu den am häufigsten zitierten Defiziten in Durchsetzungsmaßnahmen der DPA.
Raster-Punkt: gdpr.data-subject-rights Framework : GDPR Ergebnis : FAIL Evidence : (keine — Richtlinie enthält keine Rechtebeschreibung) Zitierung : GDPR Articles 15, 16, 17, 18, 20, 21
Keine CCPA-Offenlegung „Do Not Sell or Share“
Die Richtlinie erwähnt nicht das Recht kalifornischer Verbraucher, den Verkauf oder die Weitergabe personenbezogener Informationen abzulehnen, und beschreibt auch nicht, wie dieses Recht ausgeübt werden kann. CCPA/CPRA verlangt diese Offenlegung für jedes Unternehmen, das die Umsatz- oder Datenschwellen erfüllt — auch dann, wenn Sie nicht glauben, dass Sie Daten verkaufen. Die rechtliche Definition ist breiter als die umgangssprachliche.
Raster-Punkt: ccpa.do-not-sell Framework : CCPA / CPRA Ergebnis : FAIL Evidence : (keine — kein Opt-out-Mechanismus beschrieben) Zitierung : Cal. Civ. Code §1798.135
Keine Datenaufbewahrungsfristen angegeben
Die Richtlinie sagt, Sie behalten Daten „so lange wie notwendig“, ohne konkrete Zeiträume oder Kriterien zu nennen, anhand derer diese bestimmt werden. GDPR Article 13(2)(a) verlangt die Aufbewahrungsdauer — oder, falls das nicht möglich ist, die Kriterien zu deren Bestimmung. „So lange wie notwendig“ wurde allein von mehreren DPAs bereits als unzureichend abgelehnt.
Raster-Punkt: gdpr.retention-periods Framework : GDPR Ergebnis : FAIL Evidence : „Wir speichern Ihre Daten, solange es erforderlich ist, um den Service bereitzustellen.“ Zitierung : GDPR Article 13(2)(a), 14(2)(a) Fix: Listen Sie konkrete Zeiträume pro Datenkategorie auf, z. B. „Account-Daten: bis zur Löschung + 30 Tage. Logs: 30 Tage. Abrechnung: 7 Jahre (gesetzlich)“.
Scannen Sie Ihre Website in 60 Sekunden
25 kostenlose Credits. Keine Kreditkarte. Echte Befunde auf der Seite, die Ihnen wichtig ist.