{
    "schema": "https://saferpage.de/schemas/findings-center.v1",
    "generated_at": "2026-07-05T12:32:11+00:00",
    "domain": "wienerborse.at",
    "available": true,
    "scan": {
        "id": "827e907a-96a3-4aee-bae2-2a35ebc33bf4",
        "checked_at": "2026-07-05 07:06:56.86942+02"
    },
    "summary": "wienerborse.at: 35 konsolidierte Befund(e), davon 1 hoch und 20 mittel priorisiert.",
    "metrics": {
        "issue_count": 35,
        "high_priority_count": 1,
        "medium_priority_count": 20,
        "low_priority_count": 14,
        "source_count": 6,
        "background_link_count": 13
    },
    "issues": [
        {
            "id": "vendor_due_diligence_gap",
            "area": "Anbieter & Transfer",
            "title": "Anbieterakten, AVV/DPA und Transfers prüfen",
            "severity": "hoch",
            "priority": "hoch",
            "impact_score": 82,
            "evidence": "Vendor-Due-Diligence mit 4 Anbieter(n), 0 hohem Risiko, 4 AVV-/DPA-Prüfung(en) und 4 Transfer-/Jurisdiktionsfrage(n).",
            "operator_action": "Top-Anbieter nach Risiko priorisieren, Rolle, Vertrag, TOMs, Unterauftragsverarbeiter und Transfergrundlage dokumentieren.",
            "owner": "Legal/Vendor-Verantwortung",
            "guide_url": "https://saferpage.de/anbieter/wienerborse.at",
            "source": "vendor_due_diligence"
        },
        {
            "id": "button_name_missing",
            "area": "accessibility",
            "title": "Buttons ohne erkennbaren Namen",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Buttons ohne erkennbaren Namen",
            "operator_action": "Buttons mit sichtbarem Text oder aria-label beschriften.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare",
            "source": "finding"
        },
        {
            "id": "csp_unsafe_eval",
            "area": "security_headers",
            "title": "CSP erlaubt eval-nahe Skriptausführung",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "CSP erlaubt eval-nahe Skriptausführung",
            "operator_action": "unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "csp_unsafe_inline",
            "area": "security_headers",
            "title": "CSP erlaubt unsafe-inline für Skripte",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "CSP erlaubt unsafe-inline für Skripte",
            "operator_action": "Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "external_canonical",
            "area": "seo",
            "title": "Canonical zeigt auf fremde Domain",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Canonical zeigt auf fremde Domain",
            "operator_action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen",
            "source": "finding"
        },
        {
            "id": "browser_canvas_fingerprinting",
            "area": "privacy",
            "title": "Canvas-Auslese im Browser erkannt",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Canvas-Auslese im Browser erkannt",
            "operator_action": "Prüfen, ob Canvas-Zugriffe für Darstellung nötig sind oder Fingerprinting ermöglichen; Zweck und Rechtsgrundlage dokumentieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen",
            "source": "finding"
        },
        {
            "id": "third_country_transfer_review",
            "area": "privacy",
            "title": "Drittland-/US-Anbieter im Browseraufruf prüfen",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Drittland-/US-Anbieter im Browseraufruf prüfen",
            "operator_action": "Für Anbieter wie ajax.googleapis.com Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen",
            "source": "finding"
        },
        {
            "id": "slow_response",
            "area": "performance",
            "title": "Langsame Serverantwort",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Langsame Serverantwort",
            "operator_action": "Serverantwort, Caching und Backend-Latenz prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern",
            "source": "finding"
        },
        {
            "id": "external_link_spam",
            "area": "seo",
            "title": "Sehr viele externe Links erkannt",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Sehr viele externe Links erkannt",
            "operator_action": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen",
            "source": "finding"
        },
        {
            "id": "third_party_page_url_parameter",
            "area": "privacy",
            "title": "Seiten-URL wird in Drittanbieter-Requests übertragen",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "Seiten-URL wird in Drittanbieter-Requests übertragen",
            "operator_action": "Tracking-/Tag-Parameter für Anbieter wie api.digiaccess.org so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden",
            "source": "finding"
        },
        {
            "id": "axe_aria_hidden_focus",
            "area": "accessibility",
            "title": "WCAG-Regel verletzt: aria-hidden-focus",
            "severity": "warning",
            "priority": "mittel",
            "impact_score": 70,
            "evidence": "WCAG-Regel verletzt: aria-hidden-focus",
            "operator_action": "Betroffene Elemente stehen im Beleg; die verlinkte Regel-Dokumentation erklärt die Korrektur.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "privacy_rights_gap",
            "area": "Betroffenenrechte",
            "title": "Rechte- und Anfrageprozess schließen",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 62,
            "evidence": "Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
            "operator_action": "Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf, Fristen und Antwortweg als Betreiberprozess dokumentieren.",
            "owner": "Datenschutz/Support",
            "guide_url": "https://saferpage.de/rechte/wienerborse.at",
            "source": "rights_readiness"
        },
        {
            "id": "module_browser_evidence",
            "area": "Audit-Modul",
            "title": "Browser-Nachweis",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 44,
            "evidence": "57 Request(s), 4 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 2 Browser-Cookie(s), Transfer-Prüfbedarf: 1, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 2.",
            "operator_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren",
            "source": "audit_module"
        },
        {
            "id": "security_headers_gap",
            "area": "Security",
            "title": "Security-Header und Browser-Schutz härten",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 42,
            "evidence": "5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. CSP wirksam mit 15 Direktive(n), 2 Warnung(en), 1 Hinweis(e).",
            "operator_action": "Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.",
            "owner": "IT/Security",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "security_header"
        },
        {
            "id": "module_security_tls",
            "area": "Audit-Modul",
            "title": "Sicherheit, TLS & Header",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 42,
            "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 5/9 vorhanden, 4 fehlen, externe Skript-Hosts: 4.",
            "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "audit_module"
        },
        {
            "id": "module_accessibility_usability",
            "area": "Audit-Modul",
            "title": "Barrierefreiheit & Usability",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 40,
            "evidence": "7 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.",
            "operator_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare",
            "source": "audit_module"
        },
        {
            "id": "accessibility_gap",
            "area": "Barrierefreiheit",
            "title": "Barrierefreiheit und Usability prüfen",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 40,
            "evidence": "20 Bild(er), 4 Formularfeld(er), 6 Button(s) im HTML geprüft; WCAG-Prüfung mit axe-core 4.12.1: 1 Regelverstöße im Browserlauf.",
            "operator_action": "Befund fachlich prüfen, Maßnahme umsetzen und danach erneut scannen.",
            "owner": "UX/IT",
            "guide_url": "https://saferpage.de/barrierefreiheit/wienerborse.at",
            "source": "accessibility"
        },
        {
            "id": "module_performance_mobile",
            "area": "Audit-Modul",
            "title": "Performance & mobile Nutzbarkeit",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 36,
            "evidence": "Performance-Score 64, Antwortzeit 3207 ms.",
            "operator_action": "Antwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern",
            "source": "audit_module"
        },
        {
            "id": "module_seo_integrity",
            "area": "Audit-Modul",
            "title": "SEO-Integrität & Cloaking",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 36,
            "evidence": "2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).",
            "operator_action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen",
            "source": "audit_module"
        },
        {
            "id": "module_script_supply_chain",
            "area": "Audit-Modul",
            "title": "Externe Skripte & SRI",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "4 externe Skript(e) von 4 Host(s), 3 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).",
            "operator_action": "Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern",
            "source": "audit_module"
        },
        {
            "id": "module_referrer_url_leaks",
            "area": "Audit-Modul",
            "title": "Referrer & URL-Leaks",
            "severity": "mittel",
            "priority": "mittel",
            "impact_score": 35,
            "evidence": "1 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.",
            "operator_action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden",
            "source": "audit_module"
        },
        {
            "id": "unknown_vendor_jurisdiction",
            "area": "privacy",
            "title": "Anbieter-Jurisdiktion nicht klar ableitbar",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Anbieter-Jurisdiktion nicht klar ableitbar",
            "operator_action": "Unklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen",
            "source": "finding"
        },
        {
            "id": "image_alt_missing",
            "area": "accessibility",
            "title": "Bilder ohne Alternativtext",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Bilder ohne Alternativtext",
            "operator_action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare",
            "source": "finding"
        },
        {
            "id": "csp_permissive_script_sources",
            "area": "security_headers",
            "title": "CSP erlaubt sehr breite Skriptquellen",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "CSP erlaubt sehr breite Skriptquellen",
            "operator_action": "script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_embedder_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Embedder-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Embedder-Policy fehlt",
            "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_opener_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Opener-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Opener-Policy fehlt",
            "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "missing_cross_origin_resource_policy",
            "area": "security_headers",
            "title": "Cross-Origin-Resource-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Cross-Origin-Resource-Policy fehlt",
            "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "external_script_without_sri",
            "area": "security_headers",
            "title": "Externe Skripte ohne Subresource Integrity",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Externe Skripte ohne Subresource Integrity",
            "operator_action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern",
            "source": "finding"
        },
        {
            "id": "compression_missing",
            "area": "performance",
            "title": "Komprimierung nicht erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Komprimierung nicht erkannt",
            "operator_action": "Brotli oder gzip für HTML/CSS/JS aktivieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern",
            "source": "finding"
        },
        {
            "id": "cls_high",
            "area": "performance",
            "title": "Layout springt beim Laden (CLS)",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Layout springt beim Laden (CLS)",
            "operator_action": "Bildern und Einbettungen feste Größen geben, Banner und Web-Fonts ohne Layoutsprung laden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "missing_permissions_policy",
            "area": "security_headers",
            "title": "Permissions-Policy fehlt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Permissions-Policy fehlt",
            "operator_action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/security-header-setzen",
            "source": "finding"
        },
        {
            "id": "imprint_register_not_detected",
            "area": "privacy",
            "title": "Registerangaben nicht klar erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Registerangaben nicht klar erkannt",
            "operator_action": "Registergericht und Registernummer im Impressum prüfen, sofern eine registerpflichtige Rechtsform vorliegt.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "long_tasks_high",
            "area": "performance",
            "title": "Skripte blockieren den Browser spürbar",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Skripte blockieren den Browser spürbar",
            "operator_action": "Lange JavaScript-Aufgaben aufteilen, Drittanbieter-Skripte reduzieren oder verzögert laden.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog",
            "source": "finding"
        },
        {
            "id": "browser_keystroke_listener_signals",
            "area": "privacy",
            "title": "Viele Tastatur-/Eingabe-Listener im Browser erkannt",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Viele Tastatur-/Eingabe-Listener im Browser erkannt",
            "operator_action": "Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen",
            "source": "finding"
        },
        {
            "id": "too_many_render_blocking_assets",
            "area": "performance",
            "title": "Viele potenziell blockierende Assets",
            "severity": "info",
            "priority": "niedrig",
            "impact_score": 35,
            "evidence": "Viele potenziell blockierende Assets",
            "operator_action": "Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.",
            "owner": "Website-Betrieb/Datenschutz",
            "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern",
            "source": "finding"
        }
    ],
    "links": {
        "findings_center": "https://saferpage.de/befunde/wienerborse.at",
        "json": "https://saferpage.de/befunde/wienerborse.at/export",
        "csv": "https://saferpage.de/befunde/wienerborse.at/export-csv",
        "fixplan_markdown": "https://saferpage.de/befunde/wienerborse.at/fixplan-md",
        "report": "https://saferpage.de/wienerborse.at",
        "briefing": "https://saferpage.de/briefing/wienerborse.at",
        "operator_board": "https://saferpage.de/betreiber/wienerborse.at",
        "guides": "https://saferpage.de/guides"
    },
    "sources": [
        {
            "label": "Cookiebot Scan Report",
            "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report",
            "detail": "Scanreports listen Cookie-/Tracker-Befunde und Prior-Consent-Probleme einzeln."
        },
        {
            "label": "MDN HTTP Observatory",
            "url": "https://developer.mozilla.org/en-US/observatory",
            "detail": "Security-Scanner sollten detailliertes, handlungsorientiertes Feedback liefern."
        },
        {
            "label": "Google PageSpeed Insights",
            "url": "https://pagespeedinsights.dev/docs",
            "detail": "Berichte trennen Kennzahlen, Diagnosen und konkrete Verbesserungsmöglichkeiten."
        }
    ],
    "disclaimer": "Konsolidierte Arbeitsliste aus öffentlicher SaferPage-Evidenz. Betreiber müssen Befunde fachlich prüfen, interne Systeme ergänzen und nach Umsetzung erneut scannen."
}
