# SaferPage Top-3-Fixes

arbeit-und-leben.de: Top-3-Betreibermaßnahmen aus Kurzreport, Findings, Modulscore und Betreiberplan.

> Top-Fixes sind priorisierte Betreibermaßnahmen aus öffentlicher SaferPage-Evidenz. Umsetzung und rechtliche Freigabe bleiben beim Betreiber.

## Konsolidierungscheck

Konsolidierungscheck für Top-Fixes: Duplikate, Google-Anwendbarkeit, Formular-Evidenz, Gate-Grenzen und Endnutzer-Wording.
- Kontrollen: 6/6 bestanden
- Grenzen erklärt: 6
- Claim-Grenze: Die Qualitätskontrollen erklären Grenzen der automatisierten Priorisierung. Sie beweisen keine Rechtskonformität und ersetzen keine Betreiberfreigabe.

## Aussage-Ampel

Aussage-Ampel für arbeit-und-leben.de: automatisch belegte Signale, manuelle Prüfpunkte und nicht freigegebene Claims bleiben getrennt.
- Aussage-Verlässlichkeit: Belastbares Signal mit manuellen Prüfpunkten (Signal + Betreiberprüfung)
- Verlässlichkeitsgrenze: Die sichtbare Evidence ist auswertbar, aber Formulare, Cookies, Drittanbieter, Google-Tags und Rechtsgrundlagen brauchen Betreiberkontext.
- Besucherhinweis: Der Report zeigt relevante Datenschutz-Signale; vor sensiblen Eingaben die markierten Punkte prüfen.
- Betreiberaktion: Formulare, Cookie-Zwecke, Anbieterrollen, Consent-Zustände und Datenschutzhinweise anhand der direkten Test-URLs prüfen.
- Claim-Grenze: Diese Aussage-Ampel ist ein Export der automatischen Report-Einordnung. Sie ist keine Rechtsberatung, kein Freigabesiegel und keine abschließende Compliance-Bewertung.

### Automatisch belegt
- Score 0/100 als Priorisierung aus passivem HTTP-, HTML-, Header-, Cookie- und Browserkontakt-Sample.
- 34 Browser-Request(s), 0 datenschutzrelevante Drittanbieter-Domain(s), 0 Tracking-Script(s) im gespeicherten Lauf.
- 4 direkt geprüfte Test-URL(s) im Crawl-Abschnitt; die Ziel-Links bleiben im Report nachvollziehbar.
- Crawl-Evidenz: 1 Formular(e) sichtbar, statt sie als nicht vorhanden zu verstecken.

### Manuell prüfen
- Formularzweck, Pflichtfelder, Absendeziel und Datenschutzhinweis je Formular fachlich prüfen.
- Cookies vor Einwilligung nach Funktionscookie, Sicherheit, Load-Balancing, Consent-Speicherung und Tracking trennen.
- Datenschutzerklärung, Impressum, Kontaktwege und Anbieterlisten über sichtbare Navigation und Footer manuell öffnen.
- Google-Tags wurden gesehen: Consent Defaults, Tag-Gating und Datenschutzhinweise mit den konkreten Requests abgleichen.

### Nicht behaupten
- keine DSGVO-Konformität, keine Rechtsberatung und keine Betreiberfreigabe
- kein abschließendes Seriositätsurteil über arbeit-und-leben.de
- keine Malwarefreiheit, kein Penetrationstest und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking

## Prüfumfang und Grenzen

Prüfumfang und Grenzen des passiven SaferPage-Kurzchecks: getestet, nicht getestet, manuell zu prüfen und erneut zu scannen.
- Status: normaler Passivlauf
- Getestet: 4 Bereiche
- Nicht getestet: 4 Grenzen
- Manuell prüfen: 4 Auslöser
- Re-Scan auslösen bei: 4 Änderungen
- Claim-Grenze: Der Prüfumfang beschreibt den gespeicherten passiven Kurzcheck. Er ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keinen Deep-Scan hinter Login, Paywall oder Interaktion.

### Getestet
- Passiver HTTP-/Browser-Sample: 34 Browser-Request(s), 0 datenschutzrelevante Drittanbieter-Domain(s).
- Cookies und Consent-Startzustand: 0 Cookie(s) vor Einwilligung im gespeicherten Lauf.
- Öffentlich erreichbare Test-URLs: 4 direkt geprüfte Test-URL(s) im Crawl-/Coverage-Abschnitt.
- Formular-Evidenz aus öffentlichem Crawl: 1 Formular(e) erkannt.

### Nicht getestet
- Keine Login-, Kundenkonto-, Checkout-, Abo- oder Paywall-Bereiche hinter Authentifizierung.
- Keine Formularübermittlung, keine Zahlungsauslösung und keine Prüfung realer Pflichtfeld-/Backend-Validierung.
- Kein vollständiger Rechtsaudit, keine DSGVO-Freigabe, kein Penetrationstest und keine Malware-Garantie.
- Keine abschließende Prüfung von Geoblocking, personalisierten Zuständen, nachgelagerten CMP-Entscheidungen oder Betreiber-Dokumenten außerhalb öffentlicher Seiten.

### Manuell prüfen
- Formulare, Cookie-Zwecke, Anbieterrollen und Datenschutztexte anhand der direkten Test-URLs fachlich prüfen.
- Funktionscookies, Sicherheitscookies und Load-Balancing getrennt von Tracking-/Marketing-Cookies bewerten.
- Impressum, Datenschutzerklärung, Kontaktwege und Consent-Optionen manuell öffnen, wenn Gate-, SPA- oder Footer-Kontexte vorliegen.
- Google-Tags wurden gesehen: Consent Defaults und Tag-Gating anhand konkreter Requests prüfen.

### Re-Scan-Auslöser
- Nach Einbau oder Änderung von Cookie-Banner, CMP, Google-/Marketing-Tags oder Consent Defaults.
- Nach Änderung von Formularen, Login-, Newsletter-, Checkout-, Bewerbungs- oder Kontaktstrecken.
- Nach Relaunch, Theme-/Plugin-Update, Tracking-/Vendor-Wechsel oder Anpassung von Datenschutz-/Impressumslinks.
- Nach Betreiberfreigabe für Deep-Scan, Staging, Login-Scope oder höhere Crawl-Tiefe.

## 1. CVE-2026-23918: Double Free and possible RCE vulnerability in Apache HTTP Server with the HTTP/2 protocol
- Priorität: hoch / Impact: 90/100
- Owner: Website-Betrieb/Datenschutz
- Aktion: Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.
- Evidenz: –
- Link: /guides/sichtbare-versionen-und-cves-beheben

## 2. Tracking und Consent zuerst prüfen
- Priorität: hoch / Impact: 88/100
- Owner: Marketing/IT/Datenschutz
- Aktion: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren; Ablehnen, GPC und Akzeptieren getrennt erneut testen.
- Evidenz: Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.
- Link: /consent/arbeit-und-leben.de

## 3. Sicherheitsprofil und Header härten
- Priorität: mittel / Impact: 72/100
- Owner: IT/Security
- Aktion: DACH-Sicherheitsprofil öffnen, Header/TLS/Skriptbefunde prüfen und Änderungen mit Re-Scan belegen.
- Evidenz: 3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.
- Link: /sicherheit/arbeit-und-leben.de