{
    "schema": "https://saferpage.de/schemas/findings-center.v1",
    "generated_at": "2026-07-03T14:06:24+00:00",
    "domain": "pago.at",
    "available": true,
    "scan": {
        "id": "36fe5715-2c40-4c61-8c8e-553211e478b3",
        "checked_at": "2026-07-02 22:18:24.547425+02"
    },
    "summary": "pago.at: 25 konsolidierte Befund(e), davon 1 hoch und 11 mittel priorisiert.",
    "metrics": {
        "issue_count": 25,
        "high_priority_count": 1,
        "medium_priority_count": 11,
        "low_priority_count": 13,
        "source_count": 5,
        "background_link_count": 12
    },
    "issues": [
        {
            "id": "vendor_due_diligence_gap",
            "area": "Anbieter & Transfer",
            "title": "Anbieterakten, AVV/DPA und Transfers prüfen",
            "severity": "hoch",
            "priority": "hoch",
            "impact_score": 82,
            "evidence": "Vendor-Due-Diligence mit 4 Anbieter(n), 1 hohem Risiko, 4 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).",
            "operator_action": "Top-Anbieter nach Risiko priorisieren, Rolle, Vertrag, TOMs, Unterauftragsverarbeiter und Transfergrundlage dokumentieren.",
            "owner": "Legal/Vendor-Verantwortung",
            "guide_url": "https://saferpage.de/anbieter/pago.at",
            "source": "vendor_due_diligence"
        },
        {
            "id": "csp_unsafe_eval",
            "area": "security_headers",
            "title": "CSP erlaubt eval-nahe Skriptausführung",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "CSP erlaubt eval-nahe Skriptausführung",
            "operator_action": "unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "csp_unsafe_inline",
            "area": "security_headers",
            "title": "CSP erlaubt unsafe-inline für Skripte",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "CSP erlaubt unsafe-inline für Skripte",
            "operator_action": "Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "pii_tracking_on_data_entry_page",
            "area": "privacy",
            "title": "Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf",
            "operator_action": "Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden",
            "source": "finding"
        },
        {
            "id": "third_country_transfer_review",
            "area": "privacy",
            "title": "Drittland-/US-Anbieter im Browseraufruf prüfen",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Drittland-/US-Anbieter im Browseraufruf prüfen",
            "operator_action": "Für Anbieter wie Google Tag Manager Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen",
            "source": "finding"
        },
        {
            "id": "privacy_policy_provider_disclosure_gap",
            "area": "privacy",
            "title": "Erkannte Anbieter fehlen in der Datenschutzerklärung",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Erkannte Anbieter fehlen in der Datenschutzerklärung",
            "operator_action": "Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren",
            "source": "finding"
        },
        {
            "id": "imprint_address_missing",
            "area": "privacy",
            "title": "Ladungsfähige Anschrift im Impressum nicht klar erkannt",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Ladungsfähige Anschrift im Impressum nicht klar erkannt",
            "operator_action": "Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "third_party_sensitive_query_leak",
            "area": "privacy",
            "title": "Sensible URL-Schlüssel im Drittanbieter-Kontext",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Sensible URL-Schlüssel im Drittanbieter-Kontext",
            "operator_action": "Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden",
            "source": "finding"
        },
        {
            "id": "privacy_rights_gap",
            "area": "Betroffenenrechte",
            "title": "Rechte- und Anfrageprozess schließen",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 62,
            "evidence": "Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
            "operator_action": "Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf, Fristen und Antwortweg als Betreiberprozess dokumentieren.",
            "owner": "Datenschutz/Support",
            "guide_url": "https://saferpage.de/rechte/pago.at",
            "source": "rights_readiness"
        },
        {
            "id": "module_browser_evidence",
            "area": "Audit-Modul",
            "title": "Browser-Nachweis",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 42,
            "evidence": "34 Request(s), 4 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 1, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 1.",
            "operator_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren",
            "source": "audit_module"
        },
        {
            "id": "security_headers_gap",
            "area": "Security",
            "title": "Security-Header und Browser-Schutz härten",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 42,
            "evidence": "6 von 9 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 14 Direktive(n), 2 Warnung(en), 1 Hinweis(e).",
            "operator_action": "Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.",
            "owner": "IT/Security",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "security_header"
        },
        {
            "id": "module_security_tls",
            "area": "Audit-Modul",
            "title": "Sicherheit, TLS & Header",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 42,
            "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 6/9 vorhanden, 3 fehlen, externe Skript-Hosts: 1.",
            "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "audit_module"
        },
        {
            "id": "unknown_vendor_jurisdiction",
            "area": "privacy",
            "title": "Anbieter-Jurisdiktion nicht klar ableitbar",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Anbieter-Jurisdiktion nicht klar ableitbar",
            "operator_action": "Unklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen",
            "source": "finding"
        },
        {
            "id": "csp_permissive_script_sources",
            "area": "security_headers",
            "title": "CSP erlaubt sehr breite Skriptquellen",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "CSP erlaubt sehr breite Skriptquellen",
            "operator_action": "script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "consent_state_gpc_evidence_review",
            "area": "privacy",
            "title": "Consent-Zustand: GPC mit Tracking-Hinweisen",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Consent-Zustand: GPC mit Tracking-Hinweisen",
            "operator_action": "GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_embedder_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Embedder-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Embedder-Policy fehlt",
            "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_opener_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Opener-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Opener-Policy fehlt",
            "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_resource_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Resource-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Resource-Policy fehlt",
            "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "browser_privacy_relevant_third_parties",
            "area": "privacy",
            "title": "Datenschutzrelevante Drittanbieter im Browseraufruf",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Datenschutzrelevante Drittanbieter im Browseraufruf",
            "operator_action": "Prüfen, ob Anbieter wie Google Tag Manager in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren",
            "source": "finding"
        },
        {
            "id": "gpc_privacy_domains_present",
            "area": "privacy",
            "title": "Datenschutzrelevante Kontakte trotz GPC-Signal",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Datenschutzrelevante Kontakte trotz GPC-Signal",
            "operator_action": "Bei aktivem Global Privacy Control sollten Anbieter wie Google Tag Manager besonders begründet oder blockiert werden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren",
            "source": "finding"
        },
        {
            "id": "external_script_without_sri",
            "area": "security_headers",
            "title": "Externe Skripte ohne Subresource Integrity",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Externe Skripte ohne Subresource Integrity",
            "operator_action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern",
            "source": "finding"
        },
        {
            "id": "cmp_api_not_detected",
            "area": "privacy",
            "title": "Keine gängige CMP-/TCF-API im Browser erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Keine gängige CMP-/TCF-API im Browser erkannt",
            "operator_action": "Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren",
            "source": "finding"
        },
        {
            "id": "compression_missing",
            "area": "performance",
            "title": "Komprimierung nicht erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Komprimierung nicht erkannt",
            "operator_action": "Brotli oder gzip für HTML/CSS/JS aktivieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern",
            "source": "finding"
        },
        {
            "id": "imprint_register_not_detected",
            "area": "privacy",
            "title": "Registerangaben nicht klar erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Registerangaben nicht klar erkannt",
            "operator_action": "Registergericht und Registernummer im Impressum prüfen, sofern eine registerpflichtige Rechtsform vorliegt.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "browser_keystroke_listener_signals",
            "area": "privacy",
            "title": "Viele Tastatur-/Eingabe-Listener im Browser erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Viele Tastatur-/Eingabe-Listener im Browser erkannt",
            "operator_action": "Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen",
            "source": "finding"
        }
    ],
    "links": {
        "findings_center": "https://saferpage.de/befunde/pago.at",
        "json": "https://saferpage.de/befunde/pago.at/export",
        "csv": "https://saferpage.de/befunde/pago.at/export-csv",
        "fixplan_markdown": "https://saferpage.de/befunde/pago.at/fixplan-md",
        "report": "https://saferpage.de/pago.at",
        "briefing": "https://saferpage.de/briefing/pago.at",
        "operator_board": "https://saferpage.de/betreiber/pago.at",
        "guides": "https://saferpage.de/guides"
    },
    "sources": [
        {
            "label": "Cookiebot Scan Report",
            "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report",
            "detail": "Scanreports listen Cookie-/Tracker-Befunde und Prior-Consent-Probleme einzeln."
        },
        {
            "label": "MDN HTTP Observatory",
            "url": "https://developer.mozilla.org/en-US/observatory",
            "detail": "Security-Scanner sollten detailliertes, handlungsorientiertes Feedback liefern."
        },
        {
            "label": "Google PageSpeed Insights",
            "url": "https://pagespeedinsights.dev/docs",
            "detail": "Berichte trennen Kennzahlen, Diagnosen und konkrete Verbesserungsmöglichkeiten."
        }
    ],
    "disclaimer": "Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen."
}
