# SaferPage Einsatzbereiche

SaferPage ordnet den bestehenden Datenschutz- und Website-Check in klare Einsatzbereiche ein: vom öffentlichen Kurzcheck bis zu gated Trust-, Security- und API-Flows.

> Einsatzbereiche sind No-Secret-Orientierung: produktive Secrets, Ziel-URLs, Empfänger, DSN, API-Keys, Rohpayloads und Besucherlogs werden nicht veröffentlicht.

## Bereiche
- **Öffentlicher Kurzcheck** (ready): Kurzreport mit Datenschutz-, Cookie-, Tracking-, Impressums-, HTTPS- und Weiterleitungsbewertung in verständlicher Sprache. Nachweis: https://saferpage.de/tests-json
- **Betreiber-Fixpfad** (ready): Priorisierte Maßnahmen mit Owner, SLA, Abnahmekriterien, Guide, Nachweis-Link und Re-Scan-Pfad. Nachweis: https://saferpage.de/fix-guides/anrufer.info/tickets-json
- **Agentur- und Developer-DeepScan** (ready): DeepScan-Arbeitsbericht mit Seiteninventar, Crawl-Abdeckung, 100-Unterseiten-Zielplan, Backoff-Grenzen und Report-Pack. Nachweis: https://saferpage.de/agentur/anrufer.info/deepscan-json
- **Portfolio-Monitoring** (ready): Portfolio-Ansicht mit Gruppen, Kadenz, Priorität, Owner, Domain-Intake, Digest und Dispatch-Payloads. Nachweis: https://saferpage.de/portfolio/schedule-json
- **Prüfbadge und Verifizierungsseite** (ready): Einbettbares Badge mit öffentlicher Verifizierungsseite, Score, Prüfdatum, Kurzreport, Methodiklink, Embed-Code und klarer Nicht-Zertifikat-Policy. Nachweis: https://saferpage.de/badge/anrufer.info/verifizierung-json
- **Trust- und PrivacyOps-Center** (gated): Trust-/Questionnaire-Blueprints, Viewer-Privacy, Quellenbindung, Review-Gates und Gated-Readiness-Dossier. Nachweis: https://saferpage.de/trust/anrufer.info/gated-readiness-json
- **Security-Alerting und Feed-Betrieb** (waiting_for_secure_inputs): Launch-Board, Feed-Credential-Preflight, Storage-Readiness, Delivery-Preflight, Runner-State und HMAC-Vertrag. Nachweis: https://saferpage.de/sicherheit/feed-credential-preflight-json
- **API- und Automationszugriff** (waiting_for_secure_inputs): API-Zugriffsmodell, Runtime-Gates, Deny-Fixtures, HMAC-Testvertrag, Migration-Preflight und No-Secret-Readiness. Nachweis: https://saferpage.de/api-zugriff/key-readiness-json

## Marktanforderungen
- WebPrüfer: Schneller Website-Check mit Recht, DSGVO/Datenschutz, Technik, SEO, KI-Sichtbarkeit, BFSG, E-Commerce und Sicherheit. SaferPage: DACH All-in-one Check, Kurzreport, Scorecard, Fix-Guides und Einsatzbereich Betreiber-Fixpfad bündeln diese Themen ohne Anmeldung.
- Compliso: Datenschutzscanner mit Browser-/Cookie-Sicht, Drittanbieter-Erkennung, Cookie-Banner-Dark-Patterns und BFSG/WCAG-Audit. SaferPage: Browser-Evidence, Consent-Zustände, Anbieterregister, Datenschutzbericht, Accessibility-Center und Betreiber-Tickets sind als Evidence-Pfade verlinkt.
- SIWECOS: Schnellscan, registrierte Domainüberwachung, tägliche Sicherheitschecks, automatische Nachrichten, Siegel und Sicherheitsbericht. SaferPage: Monitoring, Badge-Verifizierung, Feed-Launch-Board, Alert-Outbox und Security-Preflights sind vorbereitet; echte externe Zustellung und Feed-Storage bleiben gated.
- Cookiebot: Cookie-Scanreport mit Domainzusammenfassung, Landingpage-Thumbnail, Tracker-Anzahl, Kategorien und Prior-Consent-Hinweisen. SaferPage: Kurzreport, A-Z-Liste, Cookie-/Anbieter-Center und Share-Card nutzen 160x150-Seitenvorschau, Tracker-/Cookie-Kontext und direkte Datenschutz-/Fix-Links.
- Website-Check: Sichtbare Compliance- und Trust-Siegel für Datenschutz, Barrierefreiheit oder geprüfte Website-Bereiche mit Einbindung auf der Website. SaferPage: Public Badge, Embed Center und Verifizierungsseite zeigen den letzten öffentlichen passiven Check, Score, Prüfdatum, Report, Methodik und klare Nicht-Zertifikat-Grenzen.

## Entscheidungsfinder
- Eine konkrete Website schnell einschätzen -> end_user_check (ready): Kurzreport, Datenschutzansicht, Screenshot-Vorschau und direkte Fix-/Security-Links.
- Eigene Website verbessern und Fortschritt nachweisen -> operator_fix_path (ready): Betreiber-Werkbank, Fix-Guides, Remediation-Tickets, Owner, SLA und Re-Scan-Link.
- Agentur-/Entwickler-Sprint aus Scanbefunden planen -> agency_developer_deepscan (ready): DeepScan mit Unterseiten, technischen Abnahmekriterien, Performance/UX, Accessibility und PDF-/Share-Paket.
- Mehrere Domains regelmäßig überwachen -> portfolio_monitoring (ready): Portfolio-Schedule, Domain-Intake, Digest, Monitoring-Feed und Dispatch-Vorschau.
- Geprüften Status auf der eigenen Website sichtbar machen -> public_badge_verification (ready): Badge SVG, Embed-Code, Verifizierungsseite, Score, Prüfdatum, Report- und Methodiklink.
- Trust-/Privacy-Nachweise mit Kunden teilen -> trust_privacyops (gated): Öffentliche Trust-Blueprints, Gated-Readiness, Claim-Grenzen und Review-Checkliste. Blocker: Private Dokumente, Auth, NDA, Access Groups und Delivery brauchen Betreiberfreigabe.
- Security-Feeds und externe Alerts produktiv aktivieren -> security_alerting (waiting_for_secure_inputs): Feed-Launch-Board, Credential-Preflight, Storage-Readiness, Alert-Outbox und Delivery-Smokes. Blocker: Feed-Keys, Storage-Freigabe, externe Zielsysteme und Dispatch-Approval fehlen.
- SaferPage in interne Systeme oder Agentur-Automation integrieren -> api_automation (waiting_for_secure_inputs): Public Exports, API-Key-Readiness, Runtime-Gate-Probe, HMAC-Fixture und Migrationspaket. Blocker: Key-Store-Migration, Pepper, HMAC-Secret, Domain-Claim und Operator-Freigaben fehlen.

## Käufer-FAQ
- **Reicht ein kostenloser Kurzcheck oder brauche ich einen Betreiber-Arbeitsplan?** Für eine schnelle öffentliche Einschätzung reicht der Kurzcheck. Sobald Befunde intern umgesetzt, priorisiert, delegiert oder nachgewiesen werden müssen, ist der Betreiber-Fixpfad der richtige Einstieg. Nachweis: https://saferpage.de/fix-guides/anrufer.info/tickets-json
- **Soll ich eine einzelne Domain prüfen oder ein ganzes Portfolio überwachen?** Einzelne Domains starten im Kurzreport oder Betreiber-Fixpfad. Mehrere Domains brauchen Portfolio-Monitoring mit Gruppen, Ownern, Scan-Kadenz, Digest und Domain-Intake. Nachweis: https://saferpage.de/portfolio/schedule-json
- **Welche Trust- und PrivacyOps-Nachweise darf ich öffentlich teilen?** Öffentliche Blueprints, Claim-Grenzen und Readiness-Nachweise sind teilbar. Private Dokumente, NDA-geschützte Inhalte, Access Groups, Auth und Delivery bleiben bis zur Betreiberfreigabe gated. Nachweis: https://saferpage.de/trust/anrufer.info/gated-readiness-json
- **Warum sind Security-Alerts und Feed-Daten nicht sofort produktiv aktiv?** SaferPage veröffentlicht nur No-Secret-Preflights und Runner-State. Feed-Keys, Storage-Schreibfreigabe, externe Zielsysteme und Dispatch-Approval müssen serverseitig freigegeben werden, bevor echte Zustellung läuft. Nachweis: https://saferpage.de/sicherheit/feed-credential-preflight-json
- **Ist das SaferPage-Badge ein Zertifikat oder eine Rechtsfreigabe?** Nein. Das Badge zeigt den letzten öffentlichen passiven Check und verlinkt auf eine Verifizierungsseite mit Score, Datum, Report, Methodik und klaren Grenzen. Es ersetzt kein Audit, keine Rechtsberatung und keine Zertifizierung. Nachweis: https://saferpage.de/badge/anrufer.info/verifizierung-json
- **Welche Daten kann ich ohne API-Key nutzen und was braucht Operator-Freigabe?** Öffentliche Reports, Sitemaps, Methodik, Einsatzbereiche und viele JSON-Exports sind frei abrufbar. Schreibende oder operatorbezogene Aktionen brauchen Key-Store, Scope, Audit, Rate-Limit, Revocation und Domain-Claim. Nachweis: https://saferpage.de/api-zugriff/key-readiness-json