# Befund- und Fixplan für mindrefined.de mindrefined.de: 45 konsolidierte Befund(e), davon 8 hoch und 24 mittel priorisiert. Check: 2026-06-07 06:51:11.635884+02 > Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen. ## Browser-Nachweis - Priorität: hoch / Impact 100 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 87 Request(s), 18 Drittanbieter-Domain(s), davon 6 datenschutzrelevant, 4 Browser-Cookie(s), Transfer-Prüfbedarf: 7, Referrer-/URL-Leaks: 5, Fingerprinting-/Replay-Hinweise: 3. - Maßnahme: Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden. - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Consent-Audit zeigt Handlungsbedarf - Priorität: hoch / Impact 100 - Bereich: Consent & Tracking / Owner: Marketing/IT - Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig. - Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen. - Guide: https://saferpage.de/consent/mindrefined.de ## Datenschutz, Cookies & Consent - Priorität: hoch / Impact 100 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 1 Tracking-Script(s), 4 Cookie(s) vor Einwilligung, 3 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 0. - Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Referrer & URL-Leaks - Priorität: hoch / Impact 90 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 5 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 2 sensible Query-Kontexte. - Maßnahme: Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren. - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Google-Dienste & Drittanbieter - Priorität: hoch / Impact 74 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: Google-Tags: ja, 6 Google-nahe Domain(s), Consent-Default: nein, Analytics: ja, Werbung: ja, Fonts: nein. - Maßnahme: Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern. - Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## Cookie- und Storage-Inventar bereinigen - Priorität: hoch / Impact 70 - Bereich: Cookies & Storage / Owner: Marketing/IT - Nachweis: 4 Cookie(s) inventarisiert: 3 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 2 langlebige Cookie(s). - Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen. - Guide: https://saferpage.de/cookies/mindrefined.de ## Cookie-Inventar - Priorität: hoch / Impact 70 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 4 Cookie(s), 3 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s). - Maßnahme: Cookie-Liste mit Zweck, Anbieter, First-/Third-Party, Secure und SameSite gegen Consent-Banner und Datenschutzerklärung abgleichen. - Guide: https://saferpage.de/guides/cookies-sicher-konfigurieren ## Google-Tags und Consent Mode prüfen - Priorität: hoch / Impact 58 - Bereich: Google Consent Mode / Owner: GTM/Webentwicklung - Nachweis: Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet. - Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen. - Guide: https://saferpage.de/consent-mode/mindrefined.de ## Canvas-Auslese im Browser erkannt - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Canvas-Auslese im Browser erkannt - Maßnahme: Prüfen, ob Canvas-Zugriffe für Darstellung nötig sind oder Fingerprinting ermöglichen; Zweck und Rechtsgrundlage dokumentieren. - Guide: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen ## Content-Security-Policy fehlt - Priorität: mittel / Impact 70 - Bereich: security_headers / Owner: Website-Betrieb/Datenschutz - Nachweis: Content-Security-Policy fehlt - Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen. - Guide: https://saferpage.de/guides/security-header-setzen ## Cookie-Hinweis ohne klare Ablehnen-Option - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option - Maßnahme: Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf - Maßnahme: Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben. - Guide: https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden ## Datenschutzrelevante Drittanbieter im Browseraufruf - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Datenschutzrelevante Drittanbieter im Browseraufruf - Maßnahme: Prüfen, ob Anbieter wie Meta/Facebook, Google Tag Manager, Google Analytics in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden. - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Drittland-/US-Anbieter im Browseraufruf prüfen - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Drittland-/US-Anbieter im Browseraufruf prüfen - Maßnahme: Für Anbieter wie Google Tag Manager, Meta/Facebook, Meta/Facebook, Google Analytics, Google DoubleClick, google.com, google.de Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen. - Guide: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen ## Erkannte Anbieter fehlen in der Datenschutzerklärung - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Erkannte Anbieter fehlen in der Datenschutzerklärung - Maßnahme: Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen. - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Google Consent Mode Default nicht erkannt - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Google Consent Mode Default nicht erkannt - Maßnahme: Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied. - Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden ## HSTS fehlt - Priorität: mittel / Impact 70 - Bereich: security_headers / Owner: Website-Betrieb/Datenschutz - Nachweis: HSTS fehlt - Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Guide: https://saferpage.de/guides/security-header-setzen ## Seiten-URL wird in Drittanbieter-Requests übertragen - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Seiten-URL wird in Drittanbieter-Requests übertragen - Maßnahme: Tracking-/Tag-Parameter für Anbieter wie Meta/Facebook, google.com, Google Analytics so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden. - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Sensible URL-Schlüssel im Drittanbieter-Kontext - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Sensible URL-Schlüssel im Drittanbieter-Kontext - Maßnahme: Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren. - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Tracking ohne sichtbaren Cookie-Hinweis - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Tracking ohne sichtbaren Cookie-Hinweis - Maßnahme: Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Tracking-Cookies vor Einwilligung gesetzt - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Tracking-Cookies vor Einwilligung gesetzt - Maßnahme: Tracking-Cookies erst nach aktiver Einwilligung setzen. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Tracking-Hinweise im Browser-Storage - Priorität: mittel / Impact 70 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Tracking-Hinweise im Browser-Storage - Maßnahme: LocalStorage und SessionStorage wie Cookies inventarisieren und nicht notwendige IDs an Consent koppeln. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Versteckter Text erkannt - Priorität: mittel / Impact 70 - Bereich: seo / Owner: Website-Betrieb/Datenschutz - Nachweis: Versteckter Text erkannt - Maßnahme: Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird. - Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen ## X-Content-Type-Options fehlt - Priorität: mittel / Impact 70 - Bereich: security_headers / Owner: Website-Betrieb/Datenschutz - Nachweis: X-Content-Type-Options fehlt - Maßnahme: Header `x-content-type-options` setzen und nach Deployment erneut prüfen. - Guide: https://saferpage.de/guides/security-header-setzen ## X-Frame-Options fehlt - Priorität: mittel / Impact 70 - Bereich: security_headers / Owner: Website-Betrieb/Datenschutz - Nachweis: X-Frame-Options fehlt - Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen. - Guide: https://saferpage.de/guides/security-header-setzen ## Security-Header und Browser-Schutz härten - Priorität: mittel / Impact 54 - Bereich: Security / Owner: IT/Security - Nachweis: 1 von 6 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. - Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen. - Guide: https://saferpage.de/guides/security-header-setzen ## Sicherheit, TLS & Header - Priorität: mittel / Impact 54 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 1/6 vorhanden, 5 fehlen, externe Skript-Hosts: 3. - Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Guide: https://saferpage.de/guides/security-header-setzen ## Externe Skripte & SRI - Priorität: mittel / Impact 36 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 5 externe Skript(e) von 3 Host(s), 5 ohne SRI, 1 Tracking-/Tag-nahe Skript(e). - Maßnahme: Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln. - Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern ## Barrierefreiheit & Usability - Priorität: mittel / Impact 35 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 29 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen. - Maßnahme: Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen. - Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## Consent-Journey-Matrix - Priorität: mittel / Impact 35 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 6 im GPC-Aufruf. - Maßnahme: Drittanbieter je Consent-Zustand prüfen; nach Ablehnen und bei GPC sollten keine neuen Trackingkontakte entstehen. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Seitenabdeckung & Crawl - Priorität: mittel / Impact 35 - Bereich: Audit-Modul / Owner: Website-Betrieb/Datenschutz - Nachweis: 30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen. - Maßnahme: Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen. - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Wichtige Unterseiten auffindbar machen - Priorität: mittel / Impact 31 - Bereich: Crawl-Abdeckung / Owner: Webbetrieb/SEO - Nachweis: 30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) zusätzlich abgerufen. - Maßnahme: Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen. - Guide: https://saferpage.de/abdeckung/mindrefined.de ## Anbieter-Jurisdiktion nicht klar ableitbar - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Anbieter-Jurisdiktion nicht klar ableitbar - Maßnahme: Unklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren. - Guide: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen ## Audio-Fingerprint-nahe API wurde genutzt - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Audio-Fingerprint-nahe API wurde genutzt - Maßnahme: AudioContext-Nutzung prüfen; bei Tracking-/Fingerprinting-Zwecken transparent erklären und an Consent koppeln. - Guide: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen ## Bilder ohne Alternativtext - Priorität: niedrig / Impact 35 - Bereich: accessibility / Owner: Website-Betrieb/Datenschutz - Nachweis: Bilder ohne Alternativtext - Maßnahme: Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen. - Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## Datenschutzrelevante Kontakte trotz GPC-Signal - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Datenschutzrelevante Kontakte trotz GPC-Signal - Maßnahme: Bei aktivem Global Privacy Control sollten Anbieter wie Google Tag Manager, Meta/Facebook, Meta/Facebook besonders begründet oder blockiert werden. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Externe Skripte ohne Subresource Integrity - Priorität: niedrig / Impact 35 - Bereich: security_headers / Owner: Website-Betrieb/Datenschutz - Nachweis: Externe Skripte ohne Subresource Integrity - Maßnahme: Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern. - Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern ## Referrer-Policy fehlt - Priorität: niedrig / Impact 35 - Bereich: security_headers / Owner: Website-Betrieb/Datenschutz - Nachweis: Referrer-Policy fehlt - Maßnahme: Header `referrer-policy` setzen und nach Deployment erneut prüfen. - Guide: https://saferpage.de/guides/security-header-setzen ## Tracking-/Tag-Skripte aus externer Lieferkette - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Tracking-/Tag-Skripte aus externer Lieferkette - Maßnahme: Tracking-, Tag-Manager- und Replay-Skripte erst nach Einwilligung laden und mit CSP, Anbieterinventar und Datenschutzerklärung abgleichen. - Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern ## Tracking-Hinweise im Storage trotz GPC-Signal - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Tracking-Hinweise im Storage trotz GPC-Signal - Maßnahme: Bei Global Privacy Control sollten Tracking-IDs in LocalStorage und SessionStorage vermieden oder klar an Opt-out gekoppelt werden. - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren ## Tracking-Signale auf geprüften Unterseiten - Priorität: niedrig / Impact 35 - Bereich: crawl / Owner: Website-Betrieb/Datenschutz - Nachweis: Tracking-Signale auf geprüften Unterseiten - Maßnahme: Tracking und Drittanbieter nicht nur auf der Startseite, sondern auch auf Pflicht- und Formularseiten prüfen. - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Video-Embed lädt Drittanbieter beim Seitenaufruf - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Video-Embed lädt Drittanbieter beim Seitenaufruf - Maßnahme: Videos von YouTube mit Vorschaubild, Zwei-Klick-Lösung oder Consent-gesteuert laden. - Guide: https://saferpage.de/guides/externe-inhalte-datenschutzfreundlich-einbinden ## Viele Drittanbieter-Domains beim Laden - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Viele Drittanbieter-Domains beim Laden - Maßnahme: Viele externe Kontakte erschweren die Datenschutz-Einordnung für Nutzer. Drittanbieter reduzieren oder klar begründen. - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Viele Tastatur-/Eingabe-Listener im Browser erkannt - Priorität: niedrig / Impact 35 - Bereich: privacy / Owner: Website-Betrieb/Datenschutz - Nachweis: Viele Tastatur-/Eingabe-Listener im Browser erkannt - Maßnahme: Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen. - Guide: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen ## Viele potenziell blockierende Assets - Priorität: niedrig / Impact 35 - Bereich: performance / Owner: Website-Betrieb/Datenschutz - Nachweis: Viele potenziell blockierende Assets - Maßnahme: Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren. - Guide: https://saferpage.de/guides/performance-und-mobile-usability-verbessern Links: - findings_center: https://saferpage.de/befunde/mindrefined.de - json: https://saferpage.de/befunde/mindrefined.de/export - csv: https://saferpage.de/befunde/mindrefined.de/export-csv - fixplan_markdown: https://saferpage.de/befunde/mindrefined.de/fixplan-md - report: https://saferpage.de/mindrefined.de - briefing: https://saferpage.de/briefing/mindrefined.de - operator_board: https://saferpage.de/betreiber/mindrefined.de - guides: https://saferpage.de/guides