{
    "schema": "https://saferpage.de/schemas/operator-action-plan.v1",
    "generated_at": "2026-07-02T21:40:48+00:00",
    "domain": "maxmo.de",
    "scan": {
        "id": "7e3352af-df66-417c-9c61-6211803c7f47",
        "checked_at": "2026-07-02 11:50:55.615032+02"
    },
    "summary": "maxmo.de Betreiber-Board: 6 Nachweisposition(en), 3 sofort, 11 ausgelagerte Hintergrundseite(n). Nach jeder Umsetzung erneut scannen; bei hoher Priorität innerhalb von 7 Tagen.",
    "status": "sofort handeln",
    "score": 52,
    "metrics": {
        "ticket_count": 6,
        "open_count": 6,
        "urgent_count": 3,
        "guide_count": 11,
        "team_count": 4,
        "scan_score": 0,
        "target_score": 40,
        "gap_to_target": 40
    },
    "links": {
        "report": "https://saferpage.de/maxmo.de",
        "operator_board": "https://saferpage.de/betreiber/maxmo.de",
        "domain_verification": "https://saferpage.de/betreiber/maxmo.de/verifizierung",
        "release_gate": "https://saferpage.de/release-gate/maxmo.de",
        "audit_response": "https://saferpage.de/audit-response/maxmo.de",
        "trust_data_room": "https://saferpage.de/datenraum/maxmo.de",
        "json": "https://saferpage.de/betreiber/maxmo.de/massnahmen",
        "csv": "https://saferpage.de/betreiber/maxmo.de/massnahmen-csv",
        "tickets_markdown": "https://saferpage.de/betreiber/maxmo.de/tickets",
        "consent_evidence": "https://saferpage.de/consent/maxmo.de/nachweise",
        "vendor_service_cards": "https://saferpage.de/anbieter/maxmo.de/servicekarten",
        "trust_center": "https://saferpage.de/trust/maxmo.de",
        "guides": "https://saferpage.de/guides",
        "rescan": "https://saferpage.de/"
    },
    "tickets": [
        {
            "ticket_id": "SP-001",
            "title": "CVE-2013-5704: The mod_headers module in the Apache HTTP Server 2.2.22 allows remote attackers to bypass \"RequestHeader unset\" directives by placing a header in the trailer portion of data sent w",
            "area": "BSI/Patchmanagement",
            "owner": "Technik",
            "team": "Developer/Ops",
            "priority": "hoch",
            "priority_score": 82,
            "sla": "7_tage",
            "status": "sofort_starten",
            "next_step": "Betroffene Software aktualisieren oder kompensierend absichern.",
            "acceptance_criterion": "Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.",
            "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.",
            "guide_url": "/guides/sichtbare-versionen-und-cves-beheben"
        },
        {
            "ticket_id": "SP-002",
            "title": "Sicherheit, TLS & Header",
            "area": "Sicherheit, TLS & Header",
            "owner": "Technik",
            "team": "Developer/Ops",
            "priority": "hoch",
            "priority_score": 82,
            "sla": "7_tage",
            "status": "sofort_starten",
            "next_step": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
            "acceptance_criterion": "Security-Header/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.",
            "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.",
            "guide_url": "/guides/security-header-setzen"
        },
        {
            "ticket_id": "SP-003",
            "title": "Datenschutz, Cookies & Consent",
            "area": "Datenschutz, Cookies & Consent",
            "owner": "Datenschutz/Marketing",
            "team": "GTM/CMP",
            "priority": "hoch",
            "priority_score": 78,
            "sla": "7_tage",
            "status": "sofort_starten",
            "next_step": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
            "acceptance_criterion": "Wiederholungsscan zeigt keine nicht erforderlichen Cookies/Tags vor Einwilligung oder nach Ablehnung.",
            "evidence": "0 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.",
            "guide_url": "/guides/tracking-und-consent-reparieren"
        },
        {
            "ticket_id": "SP-004",
            "title": "Browser-Nachweis",
            "area": "Browser-Nachweis",
            "owner": "Website-Betrieb",
            "team": "Developer/Ops",
            "priority": "mittel",
            "priority_score": 61,
            "sla": "30_tage",
            "status": "einplanen",
            "next_step": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
            "acceptance_criterion": "Wiederholungsscan zeigt keine nicht erforderlichen Cookies/Tags vor Einwilligung oder nach Ablehnung.",
            "evidence": "147 Request(s), 0 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 1 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 0, Fingerprinting-/Replay-Hinweise: 1.",
            "guide_url": "/guides/drittanbieter-datenschutz-erklaeren"
        },
        {
            "ticket_id": "SP-005",
            "title": "SEO-Integrität & Cloaking",
            "area": "SEO-Integrität & Cloaking",
            "owner": "Website-Betrieb",
            "team": "Content/UX",
            "priority": "mittel",
            "priority_score": 61,
            "sla": "30_tage",
            "status": "einplanen",
            "next_step": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
            "acceptance_criterion": "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
            "evidence": "2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).",
            "guide_url": "/guides/seo-spam-und-cloaking-bereinigen"
        },
        {
            "ticket_id": "SP-006",
            "title": "Impressum, Kontakt & Datenschutzerklärung",
            "area": "Impressum, Kontakt & Datenschutzerklärung",
            "owner": "Datenschutz",
            "team": "Datenschutz",
            "priority": "mittel",
            "priority_score": 53,
            "sla": "30_tage",
            "status": "einplanen",
            "next_step": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
            "acceptance_criterion": "Datenschutzerklärung nennt beobachtete Anbieter, Zwecke, Rechtsgrundlagen und Speicherfristen.",
            "evidence": "Impressum: nein, Datenschutz: nein, Kontakt: ja.",
            "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen"
        }
    ],
    "tasks": [
        {
            "id": "",
            "title": "CVE-2013-5704: The mod_headers module in the Apache HTTP Server 2.2.22 allows remote attackers to bypass \"RequestHeader unset\" directives by placing a header in the trailer portion of data sent w",
            "area": "BSI/Patchmanagement",
            "priority": "hoch",
            "priority_score": 82,
            "owner": "Technik",
            "team_route": "Developer/Ops",
            "deadline": "innerhalb von 7 Tagen",
            "effort": "mittel",
            "status": "offen",
            "action": "Betroffene Software aktualisieren oder kompensierend absichern.",
            "evidence": "",
            "guide_url": "/guides/sichtbare-versionen-und-cves-beheben"
        },
        {
            "id": "",
            "title": "Sicherheit, TLS & Header",
            "area": "Sicherheit, TLS & Header",
            "priority": "hoch",
            "priority_score": 82,
            "owner": "Technik",
            "team_route": "Developer/Ops",
            "deadline": "innerhalb von 7 Tagen",
            "effort": "mittel",
            "status": "offen",
            "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
            "evidence": "",
            "guide_url": "/guides/security-header-setzen"
        },
        {
            "id": "",
            "title": "Datenschutz, Cookies & Consent",
            "area": "Datenschutz, Cookies & Consent",
            "priority": "hoch",
            "priority_score": 78,
            "owner": "Datenschutz/Marketing",
            "team_route": "GTM/CMP",
            "deadline": "innerhalb von 7 Tagen",
            "effort": "mittel bis hoch",
            "status": "offen",
            "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
            "evidence": "",
            "guide_url": "/guides/tracking-und-consent-reparieren"
        },
        {
            "id": "",
            "title": "Browser-Nachweis",
            "area": "Browser-Nachweis",
            "priority": "mittel",
            "priority_score": 61,
            "owner": "Website-Betrieb",
            "team_route": "Developer/Ops",
            "deadline": "innerhalb von 30 Tagen",
            "effort": "niedrig",
            "status": "offen",
            "action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
            "evidence": "",
            "guide_url": "/guides/drittanbieter-datenschutz-erklaeren"
        },
        {
            "id": "",
            "title": "SEO-Integrität & Cloaking",
            "area": "SEO-Integrität & Cloaking",
            "priority": "mittel",
            "priority_score": 61,
            "owner": "Website-Betrieb",
            "team_route": "Content/UX",
            "deadline": "innerhalb von 30 Tagen",
            "effort": "niedrig",
            "status": "offen",
            "action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
            "evidence": "",
            "guide_url": "/guides/seo-spam-und-cloaking-bereinigen"
        },
        {
            "id": "",
            "title": "Impressum, Kontakt & Datenschutzerklärung",
            "area": "Impressum, Kontakt & Datenschutzerklärung",
            "priority": "mittel",
            "priority_score": 53,
            "owner": "Datenschutz",
            "team_route": "Datenschutz",
            "deadline": "innerhalb von 30 Tagen",
            "effort": "niedrig bis mittel",
            "status": "offen",
            "action": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
            "evidence": "",
            "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen"
        }
    ],
    "guide_playbook": [
        {
            "slug": "sichtbare-versionen-und-cves-beheben",
            "title": "Sichtbare Versionen Und Cves Beheben",
            "guide_url": "/guides/sichtbare-versionen-und-cves-beheben",
            "area": "Vulnerability Hygiene",
            "owner": "IT/Security",
            "effort": "mittel",
            "retest": "Generator-, Header- und Bibliothekssignale erneut prüfen.",
            "evidence_required": "Patchstand, Herstellerhinweis, CVE-Bewertung, Backport-Nachweis.",
            "affected_count": 34,
            "task_count": 1,
            "ticket_count": 1,
            "priority_score": 100,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "known_vulnerability_advisory",
                    "title": "CVE-2013-5704: The mod_headers module in the Apache HTTP Server 2.2.22 allows remote attackers to bypass \"RequestHeader unset\" directives by placing a header in the trailer portion of data sent w",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                    "source": "finding"
                },
                {
                    "id": "known_vulnerability_advisory",
                    "title": "CVE-2013-6438: The dav_xml_get_cdata function in main/util.c in the mod_dav module in the Apache HTTP Server before 2.4.8 does not properly remove whitespace characters from CDATA sections, which",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                    "source": "finding"
                },
                {
                    "id": "known_vulnerability_advisory",
                    "title": "CVE-2014-0098: The log_cookie function in mod_log_config.c in the mod_log_config module in the Apache HTTP Server before 2.4.8 allows remote attackers to cause a denial of service (segmentation f",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                    "source": "finding"
                },
                {
                    "id": "known_vulnerability_advisory",
                    "title": "CVE-2014-0117: The mod_proxy module in the Apache HTTP Server 2.4.x before 2.4.10, when a reverse proxy is enabled, allows remote attackers to cause a denial of service (child-process crash) via ",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                    "source": "finding"
                },
                {
                    "id": "known_vulnerability_advisory",
                    "title": "CVE-2014-0118: The deflate_in_filter function in mod_deflate.c in the mod_deflate module in the Apache HTTP Server before 2.4.10, when request body decompression is enabled, allows remote attacke",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                    "source": "finding"
                }
            ]
        },
        {
            "slug": "seo-spam-und-cloaking-bereinigen",
            "title": "Seo Spam Und Cloaking Bereinigen",
            "guide_url": "/guides/seo-spam-und-cloaking-bereinigen",
            "area": "Trust & Content Integrity",
            "owner": "Webbetrieb/SEO/Security",
            "effort": "hoch",
            "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.",
            "evidence_required": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status.",
            "affected_count": 5,
            "task_count": 1,
            "ticket_count": 1,
            "priority_score": 100,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "external_canonical",
                    "title": "Canonical zeigt auf fremde Domain",
                    "detail": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.",
                    "source": "finding"
                },
                {
                    "id": "external_link_spam",
                    "title": "Sehr viele externe Links erkannt",
                    "detail": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.",
                    "source": "finding"
                },
                {
                    "id": "module:seo_integrity",
                    "title": "SEO-Integrität & Cloaking",
                    "detail": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
                    "source": "task"
                },
                {
                    "id": "SP-005",
                    "title": "SEO-Integrität & Cloaking",
                    "detail": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
                    "source": "ticket"
                },
                {
                    "id": "seo_integrity",
                    "title": "SEO-Integrität & Cloaking",
                    "detail": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
                    "source": "module"
                }
            ]
        },
        {
            "slug": "impressum-und-kontakt-sichtbar-machen",
            "title": "Impressum Und Kontakt Sichtbar Machen",
            "guide_url": "/guides/impressum-und-kontakt-sichtbar-machen",
            "area": "Betreibertransparenz",
            "owner": "Legal/Content",
            "effort": "klein",
            "retest": "Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.",
            "evidence_required": "Impressumsseite, Kontaktweg, Footer-Link, Änderungsdatum.",
            "affected_count": 4,
            "task_count": 1,
            "ticket_count": 1,
            "priority_score": 100,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "imprint_missing",
                    "title": "Kein Impressum-Link erkannt",
                    "detail": "Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.",
                    "source": "finding"
                },
                {
                    "id": "module:operator_transparency",
                    "title": "Impressum, Kontakt & Datenschutzerklärung",
                    "detail": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
                    "source": "task"
                },
                {
                    "id": "SP-006",
                    "title": "Impressum, Kontakt & Datenschutzerklärung",
                    "detail": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
                    "source": "ticket"
                },
                {
                    "id": "operator_transparency",
                    "title": "Impressum, Kontakt & Datenschutzerklärung",
                    "detail": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
                    "source": "module"
                }
            ]
        },
        {
            "slug": "formulare-datenschutzkonform-absichern",
            "title": "Formulare Datenschutzkonform Absichern",
            "guide_url": "/guides/formulare-datenschutzkonform-absichern",
            "area": "Formulare",
            "owner": "Webentwicklung/Datenschutz",
            "effort": "mittel",
            "retest": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.",
            "evidence_required": "Formularzweck, Rechtsgrundlage, Datensparsamkeit, Log-/Tracking-Prüfung.",
            "affected_count": 3,
            "task_count": 0,
            "ticket_count": 0,
            "priority_score": 100,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "data_entry_privacy_context_missing",
                    "title": "Dateneingabe ohne klaren Datenschutzkontext",
                    "detail": "Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.",
                    "source": "finding"
                },
                {
                    "id": "sampled_form_privacy_context_missing",
                    "title": "Formular-Unterseite ohne klaren Datenschutzkontext",
                    "detail": "Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.",
                    "source": "finding"
                },
                {
                    "id": "forms_payments",
                    "title": "Formulare, Login & Zahlung",
                    "detail": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                    "source": "module"
                }
            ]
        },
        {
            "slug": "session-replay-und-fingerprinting-pruefen",
            "title": "Session Replay Und Fingerprinting Pruefen",
            "guide_url": "/guides/session-replay-und-fingerprinting-pruefen",
            "area": "Behavior Tracking",
            "owner": "Marketing/Datenschutz",
            "effort": "hoch",
            "retest": "Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.",
            "evidence_required": "Maskierungsregeln, Zweck, Consent-Kategorie, Anbieterfreigabe.",
            "affected_count": 1,
            "task_count": 0,
            "ticket_count": 0,
            "priority_score": 100,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "browser_canvas_fingerprinting",
                    "title": "Canvas-Auslese im Browser erkannt",
                    "detail": "Prüfen, ob Canvas-Zugriffe für Darstellung nötig sind oder Fingerprinting ermöglichen; Zweck und Rechtsgrundlage dokumentieren.",
                    "source": "finding"
                }
            ]
        },
        {
            "slug": "performance-und-mobile-usability-verbessern",
            "title": "Performance Und Mobile Usability Verbessern",
            "guide_url": "/guides/performance-und-mobile-usability-verbessern",
            "area": "Performance & Mobile",
            "owner": "Webentwicklung/UX",
            "effort": "mittel",
            "retest": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.",
            "evidence_required": "Performance-Messung, Asset-Liste, Mobile-Screenshot.",
            "affected_count": 3,
            "task_count": 0,
            "ticket_count": 0,
            "priority_score": 96,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "slow_response",
                    "title": "Langsame Serverantwort",
                    "detail": "Serverantwort, Caching und Backend-Latenz prüfen.",
                    "source": "finding"
                },
                {
                    "id": "too_many_render_blocking_assets",
                    "title": "Viele potenziell blockierende Assets",
                    "detail": "Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.",
                    "source": "finding"
                },
                {
                    "id": "performance_mobile",
                    "title": "Performance & mobile Nutzbarkeit",
                    "detail": "Antwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.",
                    "source": "module"
                }
            ]
        },
        {
            "slug": "datenschutzerklaerung-verbessern",
            "title": "Datenschutzerklaerung Verbessern",
            "guide_url": "/guides/datenschutzerklaerung-verbessern",
            "area": "Transparenz",
            "owner": "Datenschutz/Content",
            "effort": "mittel",
            "retest": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.",
            "evidence_required": "Versionierter Datenschutzhinweis, Änderungsdatum, Freigabeprotokoll.",
            "affected_count": 1,
            "task_count": 0,
            "ticket_count": 0,
            "priority_score": 94,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "privacy_policy_update_date_missing",
                    "title": "Stand der Datenschutzerklärung nicht klar erkennbar",
                    "detail": "Betreiber sollten ein gut sichtbares Stand- oder Aktualisierungsdatum ergänzen und die Erklärung nach technischen Änderungen prüfen.",
                    "source": "finding"
                }
            ]
        },
        {
            "slug": "barrierefreiheit-cookie-banner-formulare",
            "title": "Barrierefreiheit Cookie Banner Formulare",
            "guide_url": "/guides/barrierefreiheit-cookie-banner-formulare",
            "area": "Usability & BITV",
            "owner": "UX/Content/IT",
            "effort": "mittel",
            "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.",
            "evidence_required": "Testprotokoll, Screenshots, bekannte Einschränkungen.",
            "affected_count": 3,
            "task_count": 0,
            "ticket_count": 0,
            "priority_score": 86,
            "status": "sofort",
            "sample_findings": [
                {
                    "id": "button_name_missing",
                    "title": "Buttons ohne erkennbaren Namen",
                    "detail": "Buttons mit sichtbarem Text oder aria-label beschriften.",
                    "source": "finding"
                },
                {
                    "id": "image_alt_missing",
                    "title": "Bilder ohne Alternativtext",
                    "detail": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
                    "source": "finding"
                },
                {
                    "id": "accessibility_usability",
                    "title": "Barrierefreiheit & Usability",
                    "detail": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
                    "source": "module"
                }
            ]
        },
        {
            "slug": "security-header-setzen",
            "title": "Security Header Setzen",
            "guide_url": "/guides/security-header-setzen",
            "area": "Web Security",
            "owner": "IT/Security",
            "effort": "mittel",
            "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.",
            "evidence_required": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan.",
            "affected_count": 12,
            "task_count": 1,
            "ticket_count": 1,
            "priority_score": 82,
            "status": "sprint",
            "sample_findings": [
                {
                    "id": "missing_hsts",
                    "title": "HSTS fehlt",
                    "detail": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.",
                    "source": "finding"
                },
                {
                    "id": "missing_csp",
                    "title": "Content-Security-Policy fehlt",
                    "detail": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.",
                    "source": "finding"
                },
                {
                    "id": "missing_x_frame_options",
                    "title": "X-Frame-Options fehlt",
                    "detail": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.",
                    "source": "finding"
                },
                {
                    "id": "missing_x_content_type_options",
                    "title": "X-Content-Type-Options fehlt",
                    "detail": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.",
                    "source": "finding"
                },
                {
                    "id": "missing_cross_origin_embedder_policy",
                    "title": "Cross-Origin-Embedder-Policy fehlt",
                    "detail": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
                    "source": "finding"
                }
            ]
        },
        {
            "slug": "tracking-und-consent-reparieren",
            "title": "Tracking Und Consent Reparieren",
            "guide_url": "/guides/tracking-und-consent-reparieren",
            "area": "Consent & Tracking",
            "owner": "Marketing/IT/Datenschutz",
            "effort": "mittel",
            "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.",
            "evidence_required": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration.",
            "affected_count": 3,
            "task_count": 1,
            "ticket_count": 1,
            "priority_score": 78,
            "status": "sprint",
            "sample_findings": [
                {
                    "id": "module:privacy_consent",
                    "title": "Datenschutz, Cookies & Consent",
                    "detail": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                    "source": "task"
                },
                {
                    "id": "SP-003",
                    "title": "Datenschutz, Cookies & Consent",
                    "detail": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                    "source": "ticket"
                },
                {
                    "id": "privacy_consent",
                    "title": "Datenschutz, Cookies & Consent",
                    "detail": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                    "source": "module"
                }
            ]
        },
        {
            "slug": "drittanbieter-datenschutz-erklaeren",
            "title": "Drittanbieter Datenschutz Erklaeren",
            "guide_url": "/guides/drittanbieter-datenschutz-erklaeren",
            "area": "Drittanbieter",
            "owner": "Legal/Vendor Owner",
            "effort": "mittel",
            "retest": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.",
            "evidence_required": "Anbieterregister, AVV/DPA-Status, Transferbewertung, Datenschutzhinweis.",
            "affected_count": 3,
            "task_count": 1,
            "ticket_count": 1,
            "priority_score": 61,
            "status": "einplanen",
            "sample_findings": [
                {
                    "id": "module:browser_evidence",
                    "title": "Browser-Nachweis",
                    "detail": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
                    "source": "task"
                },
                {
                    "id": "SP-004",
                    "title": "Browser-Nachweis",
                    "detail": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
                    "source": "ticket"
                },
                {
                    "id": "browser_evidence",
                    "title": "Browser-Nachweis",
                    "detail": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
                    "source": "module"
                }
            ]
        }
    ],
    "team_routing": {
        "Developer/Ops": 3,
        "GTM/CMP": 1,
        "Content/UX": 1,
        "Datenschutz": 1
    },
    "retest_workflow": {
        "capture": "Scan-ID, Screenshot, Cookie-/Request-Zeilen und betroffene Hintergrundlinks sichern.",
        "implementation": "Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Anbieterfreigabe oder Textversion dokumentieren.",
        "rescan": "Domain erneut prüfen und Position nur abschließen, wenn SaferPage-Befund behoben oder fachlich begründet ist.",
        "archive": "JSON/CSV/XLSX oder ZIP-Nachweispaket im Trust Center ablegen und intern freigeben."
    },
    "disclaimer": "Automatisch aus SaferPage-Evidenz abgeleiteter Betreiber-Arbeitsplan. Umsetzung, interne Verantwortlichkeiten und rechtliche Freigabe liegen beim Website-Betreiber."
}