{
    "schema": "https://saferpage.de/schemas/findings-center.v1",
    "generated_at": "2026-07-01T21:23:01+00:00",
    "domain": "navi.educa.ch",
    "available": true,
    "scan": {
        "id": "4d204ee7-4c65-41f3-b6f3-9e3b81363152",
        "checked_at": "2026-07-01 18:39:35.498968+02"
    },
    "summary": "navi.educa.ch: 22 konsolidierte Befund(e), davon 1 hoch und 11 mittel priorisiert.",
    "metrics": {
        "issue_count": 22,
        "high_priority_count": 1,
        "medium_priority_count": 11,
        "low_priority_count": 10,
        "source_count": 5,
        "background_link_count": 11
    },
    "issues": [
        {
            "id": "vendor_due_diligence_gap",
            "area": "Anbieter & Transfer",
            "title": "Anbieterakten, AVV/DPA und Transfers prüfen",
            "severity": "hoch",
            "priority": "hoch",
            "impact_score": 82,
            "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).",
            "operator_action": "Top-Anbieter nach Risiko priorisieren, Rolle, Vertrag, TOMs, Unterauftragsverarbeiter und Transfergrundlage dokumentieren.",
            "owner": "Legal/Vendor-Verantwortung",
            "guide_url": "https://saferpage.de/anbieter/navi.educa.ch",
            "source": "vendor_due_diligence"
        },
        {
            "id": "imprint_operator_missing",
            "area": "privacy",
            "title": "Betreibername im Impressum nicht klar erkannt",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Betreibername im Impressum nicht klar erkannt",
            "operator_action": "Im Impressum Betreibername, Rechtsform oder verantwortliche Person klar nennen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "privacy_policy_required_items_missing",
            "area": "privacy",
            "title": "Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab",
            "operator_action": "Verantwortlicher, Zwecke, Rechtsgrundlagen, Rechte, Speicherfristen, Empfänger, Cookies/Tracking und Widerruf strukturiert ergänzen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern",
            "source": "finding"
        },
        {
            "id": "pii_sensitive_get_form",
            "area": "privacy",
            "title": "Formular mit personenbezogenen Feldern nutzt GET",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Formular mit personenbezogenen Feldern nutzt GET",
            "operator_action": "Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden",
            "source": "finding"
        },
        {
            "id": "tracking_without_consent_hint",
            "area": "privacy",
            "title": "Tracking ohne sichtbaren Cookie-Hinweis",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Tracking ohne sichtbaren Cookie-Hinweis",
            "operator_action": "Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren",
            "source": "finding"
        },
        {
            "id": "privacy_rights_gap",
            "area": "Betroffenenrechte",
            "title": "Rechte- und Anfrageprozess schließen",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 62,
            "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
            "operator_action": "Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf, Fristen und Antwortweg als Betreiberprozess dokumentieren.",
            "owner": "Datenschutz/Support",
            "guide_url": "https://saferpage.de/rechte/navi.educa.ch",
            "source": "rights_readiness"
        },
        {
            "id": "module_browser_evidence",
            "area": "Audit-Modul",
            "title": "Browser-Nachweis",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "40 Request(s), 1 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 2 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 0, Fingerprinting-/Replay-Hinweise: 0.",
            "operator_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren",
            "source": "audit_module"
        },
        {
            "id": "module_privacy_consent",
            "area": "Audit-Modul",
            "title": "Datenschutz, Cookies & Consent",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "1 Tracking-Script(s), 2 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 86.",
            "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren",
            "source": "audit_module"
        },
        {
            "id": "module_forms_payments",
            "area": "Audit-Modul",
            "title": "Formulare, Login & Zahlung",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "Crawl fand 6 Formular(e) auf 3 geprüften Seite(n), u. a. /datenschutz, /impressum, /anwendung/ar1933-1945. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.",
            "operator_action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern",
            "source": "audit_module"
        },
        {
            "id": "module_pii_exposure",
            "area": "Audit-Modul",
            "title": "PII, URL-Parameter & Datenleck-Schutz",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "1 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
            "operator_action": "Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden",
            "source": "audit_module"
        },
        {
            "id": "module_site_coverage",
            "area": "Audit-Modul",
            "title": "Seitenabdeckung & Crawl",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.",
            "operator_action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "audit_module"
        },
        {
            "id": "coverage_gap",
            "area": "Crawl-Abdeckung",
            "title": "Wichtige Unterseiten auffindbar machen",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 33,
            "evidence": "30 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen.",
            "operator_action": "Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.",
            "owner": "Webbetrieb/SEO",
            "guide_url": "https://saferpage.de/abdeckung/navi.educa.ch",
            "source": "coverage"
        },
        {
            "id": "csp_missing_base_uri",
            "area": "security_headers",
            "title": "CSP ohne base-uri",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "CSP ohne base-uri",
            "operator_action": "base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "csp_missing_object_src",
            "area": "security_headers",
            "title": "CSP ohne object-src",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "CSP ohne object-src",
            "operator_action": "object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_embedder_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Embedder-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Embedder-Policy fehlt",
            "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_opener_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Opener-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Opener-Policy fehlt",
            "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_resource_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Resource-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Resource-Policy fehlt",
            "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "privacy_policy_stale",
            "area": "privacy",
            "title": "Datenschutzerklärung wirkt veraltet",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Datenschutzerklärung wirkt veraltet",
            "operator_action": "Betreiber sollten die Erklärung gegen aktuelle Cookies, Drittanbieter, Consent-Einstellungen und Formulare prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern",
            "source": "finding"
        },
        {
            "id": "privacy_policy_dpo_contact_missing",
            "area": "privacy",
            "title": "Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt",
            "operator_action": "Betreiber sollten einen Datenschutzkontakt nennen oder nachvollziehbar erklären, wie Datenschutzanfragen gestellt werden können.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern",
            "source": "finding"
        },
        {
            "id": "missing_meta_description",
            "area": "content",
            "title": "Meta-Description fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Meta-Description fehlt",
            "operator_action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "sampled_internal_page_error",
            "area": "crawl",
            "title": "Mindestens eine priorisierte Unterseite war nicht erfolgreich abrufbar",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Mindestens eine priorisierte Unterseite war nicht erfolgreich abrufbar",
            "operator_action": "Interne Pflicht- und Vertrauensseiten auf Statuscode, Weiterleitung und Erreichbarkeit prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/serverfehler-beheben",
            "source": "finding"
        },
        {
            "id": "sampled_internal_tracking_detected",
            "area": "crawl",
            "title": "Tracking-Signale auf geprüften Unterseiten",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Tracking-Signale auf geprüften Unterseiten",
            "operator_action": "Tracking und Drittanbieter nicht nur auf der Startseite, sondern auch auf Pflicht- und Formularseiten prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        }
    ],
    "links": {
        "findings_center": "https://saferpage.de/befunde/navi.educa.ch",
        "json": "https://saferpage.de/befunde/navi.educa.ch/export",
        "csv": "https://saferpage.de/befunde/navi.educa.ch/export-csv",
        "fixplan_markdown": "https://saferpage.de/befunde/navi.educa.ch/fixplan-md",
        "report": "https://saferpage.de/navi.educa.ch",
        "briefing": "https://saferpage.de/briefing/navi.educa.ch",
        "operator_board": "https://saferpage.de/betreiber/navi.educa.ch",
        "guides": "https://saferpage.de/guides"
    },
    "sources": [
        {
            "label": "Cookiebot Scan Report",
            "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report",
            "detail": "Scanreports listen Cookie-/Tracker-Befunde und Prior-Consent-Probleme einzeln."
        },
        {
            "label": "MDN HTTP Observatory",
            "url": "https://developer.mozilla.org/en-US/observatory",
            "detail": "Security-Scanner sollten detailliertes, handlungsorientiertes Feedback liefern."
        },
        {
            "label": "Google PageSpeed Insights",
            "url": "https://pagespeedinsights.dev/docs",
            "detail": "Berichte trennen Kennzahlen, Diagnosen und konkrete Verbesserungsmöglichkeiten."
        }
    ],
    "disclaimer": "Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen."
}
