{ "schema_version": "evidenceops-demo-delivery-v2", "generated_at": "2026-05-06", "language": "de", "package": "Rapid Screen", "vendor": "Notion", "decision": "Go unter Bedingungen", "evidence_count": 28, "source_count": 9, "open_checks": 5, "intake": [ [ "Anwendungsfall", "Interne Knowledge Base und Prozessdokumentation" ], [ "Team / Wachstum", "25 Personen heute, Zielbild 60 Personen" ], [ "Budgetrahmen", "300-1.000 EUR pro Monat" ], [ "Pflichtkriterien", "SSO, Audit Logs, Export, DPA" ], [ "Entscheidungsfrage", "Ist ein begrenzter Pilot vertretbar, ohne einen Vollrollout zu implizieren?" ] ], "sources": [ { "title": "Notion Help Center - Audit log", "url": "https://www.notion.com/help/audit-log?id=988097", "note": "Audit Log wird als Enterprise-Plan-Funktion für Organization Owner beschrieben; exportierte Events können Security Reviews unterstützen." }, { "title": "Notion Help Center - SAML SSO", "url": "https://www.notion.com/help/saml-sso-configuration", "note": "SSO-Setup und Enforcement sind plan- und organisationsabhängige Kontrollen, die für den Ziel-Workspace bestätigt werden müssen." }, { "title": "Notion Pricing", "url": "https://www.notion.com/pricing", "note": "Plan- und Kostenmodell für Nutzerwachstum und Pflichtkontrollen." }, { "title": "Notion Security", "url": "https://www.notion.com/security", "note": "Security- und Trust-Signale für interne Freigabe." }, { "title": "Notion Help Center - Export", "url": "https://www.notion.com/help/export-your-content", "note": "Export- und Portabilitätsprüfung für Exit-Test." }, { "title": "Notion Help Center - Admin Controls", "url": "https://www.notion.com/help", "note": "Admin-, Workspace- und Berechtigungslogik für Pilot-Governance." }, { "title": "Notion Help Center - Enterprise", "url": "https://www.notion.com/help", "note": "Enterprise-nahe Kontrollen, Rollen und Betriebsannahmen." }, { "title": "Notion Trust / Privacy", "url": "https://www.notion.com/security", "note": "DPA-, Datenschutz- und Sicherheitsannahmen für Review-Queue." }, { "title": "Notion Status", "url": "https://www.notion-status.com", "note": "Betriebs- und Verfügbarkeitsindikator für Vendor-Risk-Kontext." } ], "evidence_extract": [ [ "CL-01", "Kontrollen", "Notion beschreibt Audit Log als Enterprise-Plan-Funktion.", "Primärquelle", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan und Audit-Log-Retention schriftlich bestätigen." ], [ "CL-02", "Kontrollen", "SAML SSO ist plan- und Organisations-Setup-abhängig.", "Primärquelle", "Hoch", "Hoch", "Vendor-Bestätigung offen", "SSO/SCIM-Verfügbarkeit für 60 Nutzer prüfen." ], [ "CL-03", "Export", "Export muss praktisch getestet werden, bevor Lock-in als niedrig bewertet wird.", "Analystensynthese", "Mittel", "Mittel", "Pilot-Test offen", "Exportpaket mit realistischen Seiten prüfen." ], [ "CL-04", "Operations", "Knowledge-Base-Wert hängt am Owner-Modell, nicht nur am Tool.", "Kundenkontext", "Hoch", "Mittel", "prüfbereit", "Owner, Review-Cadence und Archivregeln festlegen." ] ], "evidence": [ [ "CL-01", "Kontrollen", "Notion beschreibt Audit Log als Enterprise-Plan-Funktion.", "Primärquelle", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan und Audit-Log-Retention schriftlich bestätigen." ], [ "CL-02", "Kontrollen", "SAML SSO ist plan- und Organisations-Setup-abhängig.", "Primärquelle", "Hoch", "Hoch", "Vendor-Bestätigung offen", "SSO/SCIM-Verfügbarkeit für 60 Nutzer prüfen." ], [ "CL-03", "Export", "Export muss praktisch getestet werden, bevor Lock-in als niedrig bewertet wird.", "Analystensynthese", "Mittel", "Mittel", "Pilot-Test offen", "Exportpaket mit realistischen Seiten prüfen." ], [ "CL-04", "Operations", "Knowledge-Base-Wert hängt am Owner-Modell, nicht nur am Tool.", "Kundenkontext", "Hoch", "Mittel", "prüfbereit", "Owner, Review-Cadence und Archivregeln festlegen." ], [ "CL-005", "Pricing & Plan-Fit", "Business-Plan bei 60 Nutzern: kann die Budgetannahme verändern und muss vor Vollrollout bepreist werden.", "Primärquelle / Anbieter-Dokumentation", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan, Nutzerzahl und Control-Verfügbarkeit schriftlich bestätigen." ], [ "CL-006", "Kontrollen", "SAML SSO: ist für interne Governance wichtiger als allgemeine Feature-Abdeckung.", "Primärquelle / Help Center", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Control-Verfügbarkeit im Zielplan dokumentieren." ], [ "CL-007", "Export / Portabilität", "Seitenexport: ist vor Vollrollout ein Exit-Kriterium.", "Pilot-Test / Analystensynthese", "Mittel", "Mittel-Hoch", "prüfbereit", "Repräsentatives Exportpaket ziehen und lesbar prüfen." ], [ "CL-008", "DPA / Subprocessor", "DPA-Annahme: ist keine Rechtsbewertung, aber ein klarer Verifizierungspunkt.", "Primärquelle / Datenschutzunterlagen", "Mittel-Hoch", "Mittel-Hoch", "Review offen", "Offene Datenschutzfragen vor Vollrollout schließen." ], [ "CL-009", "Operations", "Owner-Modell: entscheidet, ob der Knowledge-Base-Pilot operativ stabil bleibt.", "Kundenkontext / Analystensynthese", "Hoch", "Mittel", "prüfbereit", "Owner, Review-Zyklus und Archivregeln festlegen." ], [ "CL-010", "Pricing & Plan-Fit", "Enterprise-Upgrade: muss gegen Pflichtkriterien gemappt werden, nicht gegen Featurewunsch.", "Primärquelle / Anbieter-Dokumentation", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan, Nutzerzahl und Control-Verfügbarkeit schriftlich bestätigen." ], [ "CL-011", "Kontrollen", "SCIM: braucht einen benannten Owner und dokumentierte Betriebsregel.", "Primärquelle / Help Center", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Control-Verfügbarkeit im Zielplan dokumentieren." ], [ "CL-012", "Export / Portabilität", "Datenbankexport: muss praktisch geprüft werden, weil dokumentierter Export nicht automatisch nutzbare Portabilität bedeutet.", "Pilot-Test / Analystensynthese", "Mittel", "Mittel-Hoch", "prüfbereit", "Repräsentatives Exportpaket ziehen und lesbar prüfen." ], [ "CL-013", "DPA / Subprocessor", "Subprocessor-Liste: bleibt ein Freigabepunkt für interne Datenschutzprüfung.", "Primärquelle / Datenschutzunterlagen", "Mittel-Hoch", "Mittel-Hoch", "Review offen", "Offene Datenschutzfragen vor Vollrollout schließen." ], [ "CL-014", "Operations", "Review-Cadence: muss vor Skalierung definiert werden.", "Kundenkontext / Analystensynthese", "Hoch", "Mittel", "prüfbereit", "Owner, Review-Zyklus und Archivregeln festlegen." ], [ "CL-015", "Pricing & Plan-Fit", "Gast- und Editor-Modell: kann die Budgetannahme verändern und muss vor Vollrollout bepreist werden.", "Primärquelle / Anbieter-Dokumentation", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan, Nutzerzahl und Control-Verfügbarkeit schriftlich bestätigen." ], [ "CL-016", "Kontrollen", "Audit Log: ist für interne Governance wichtiger als allgemeine Feature-Abdeckung.", "Primärquelle / Help Center", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Control-Verfügbarkeit im Zielplan dokumentieren." ], [ "CL-017", "Export / Portabilität", "Anhänge: ist vor Vollrollout ein Exit-Kriterium.", "Pilot-Test / Analystensynthese", "Mittel", "Mittel-Hoch", "prüfbereit", "Repräsentatives Exportpaket ziehen und lesbar prüfen." ], [ "CL-018", "DPA / Subprocessor", "Transferlage: ist keine Rechtsbewertung, aber ein klarer Verifizierungspunkt.", "Primärquelle / Datenschutzunterlagen", "Mittel-Hoch", "Mittel-Hoch", "Review offen", "Offene Datenschutzfragen vor Vollrollout schließen." ], [ "CL-019", "Operations", "Archivregeln: entscheidet, ob der Knowledge-Base-Pilot operativ stabil bleibt.", "Kundenkontext / Analystensynthese", "Hoch", "Mittel", "prüfbereit", "Owner, Review-Zyklus und Archivregeln festlegen." ], [ "CL-020", "Pricing & Plan-Fit", "SSO-/SCIM-Abhängigkeit: muss gegen Pflichtkriterien gemappt werden, nicht gegen Featurewunsch.", "Primärquelle / Anbieter-Dokumentation", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan, Nutzerzahl und Control-Verfügbarkeit schriftlich bestätigen." ], [ "CL-021", "Kontrollen", "Workspace Ownership: braucht einen benannten Owner und dokumentierte Betriebsregel.", "Primärquelle / Help Center", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Control-Verfügbarkeit im Zielplan dokumentieren." ], [ "CL-022", "Export / Portabilität", "Backlinks: muss praktisch geprüft werden, weil dokumentierter Export nicht automatisch nutzbare Portabilität bedeutet.", "Pilot-Test / Analystensynthese", "Mittel", "Mittel-Hoch", "prüfbereit", "Repräsentatives Exportpaket ziehen und lesbar prüfen." ], [ "CL-023", "DPA / Subprocessor", "Datenlöschung: bleibt ein Freigabepunkt für interne Datenschutzprüfung.", "Primärquelle / Datenschutzunterlagen", "Mittel-Hoch", "Mittel-Hoch", "Review offen", "Offene Datenschutzfragen vor Vollrollout schließen." ], [ "CL-024", "Operations", "Template-Governance: muss vor Skalierung definiert werden.", "Kundenkontext / Analystensynthese", "Hoch", "Mittel", "prüfbereit", "Owner, Review-Zyklus und Archivregeln festlegen." ], [ "CL-025", "Pricing & Plan-Fit", "Audit-Log-Verfügbarkeit: kann die Budgetannahme verändern und muss vor Vollrollout bepreist werden.", "Primärquelle / Anbieter-Dokumentation", "Mittel-Hoch", "Hoch", "Vendor-Bestätigung offen", "Zielplan, Nutzerzahl und Control-Verfügbarkeit schriftlich bestätigen." ], [ "CL-026", "Kontrollen", "Admin-Rollen: ist für interne Governance wichtiger als allgemeine Feature-Abdeckung.", "Primärquelle / Help Center", "Hoch", "Hoch", "Vendor-Bestätigung offen", "Control-Verfügbarkeit im Zielplan dokumentieren." ], [ "CL-027", "Export / Portabilität", "verschachtelte Seiten: ist vor Vollrollout ein Exit-Kriterium.", "Pilot-Test / Analystensynthese", "Mittel", "Mittel-Hoch", "prüfbereit", "Repräsentatives Exportpaket ziehen und lesbar prüfen." ], [ "CL-028", "DPA / Subprocessor", "Datenresidenz-Annahme: ist keine Rechtsbewertung, aber ein klarer Verifizierungspunkt.", "Primärquelle / Datenschutzunterlagen", "Mittel-Hoch", "Mittel-Hoch", "Review offen", "Offene Datenschutzfragen vor Vollrollout schließen." ] ], "interpretation": null, "alternatives": null, "decision_gates": null, "tco_model": null, "vendor_questions": null, "no_go_triggers": null, "scenario_matrix": null, "acceptance_criteria": null }