{ "schema": "https://saferpage.de/schemas/operator-fix-guide-package.v1", "generated_at": "2026-06-10T19:14:51+00:00", "domain": "bw-verdi.de", "available": true, "scan": { "id": "664153f0-c4ed-4b79-b824-e29c4f22ac95", "checked_at": "2026-06-10 18:16:20.650709+02" }, "summary": "bw-verdi.de: 11 priorisierte Betreiber-Guide(s) aus 33 Befund(en).", "metrics": { "issue_count": 33, "guide_count": 11, "high_priority_count": 16, "medium_priority_count": 7, "tracker_task_count": 1, "remediation_ticket_count": 34, "high_ticket_count": 16, "acceptance_count": 33, "source_count": 18, "platform_playbook_count": 1, "platform_playbook_step_count": 4, "platform_playbook_acceptance_count": 3, "platform_playbook_boundary_count": 1, "platform_playbook_evidence_url_count": 1, "quality_review_row_count": 6, "quality_review_acceptance_count": 6, "quality_review_boundary_count": 6, "quality_review_evidence_url_count": 6, "quality_review_guide_url_count": 6 }, "guide_streams": [ { "guide_slug": "sichtbare-versionen-und-cves-beheben", "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "title": "Sichtbare Versionen und CVE-Hinweise beheben", "intro": "Sichtbare veraltete Versionen können ein Risiko sein und sollten gegen Herstellerhinweise geprüft werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Vulnerability Hygiene", "owner": "IT/Security", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "unsupported_technology_version", "area": "vulnerability", "title": "PHP-Version ist nicht mehr upstream unterstuetzt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "sichtbare-versionen-und-cves-beheben", "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "source": "finding" } ], "guide_steps": [ "Aktualisieren Sie CMS, Plugins, Themes, Frameworks und JavaScript-Bibliotheken.", "Entfernen Sie unnötige Versionshinweise aus Headern und Generator-Meta-Tags.", "Prüfen Sie CVE-Hinweise gegen den tatsächlichen Paketstand, besonders bei Distributionen mit Backports." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Generator-, Header- und Bibliothekssignale erneut prüfen.", "evidence": "Patchstand, Herstellerhinweis, CVE-Bewertung, Backport-Nachweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Generator-, Header- und Bibliothekssignale erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" } ] }, { "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "title": "Tracking und Consent reparieren", "intro": "Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Consent & Tracking", "owner": "Marketing/IT/Datenschutz", "effort": "mittel", "issue_count": 6, "issues": [ { "id": "consent_state_reject_evidence_failed", "area": "privacy", "title": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "post_reject_new_cookies", "area": "privacy", "title": "Neue Cookies nach Ablehnen erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "consent_banner_dark_pattern_risk", "area": "privacy", "title": "Consent-Banner mit Dark-Pattern-/UX-Risiko", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "module_privacy_consent", "area": "Audit-Modul", "title": "Datenschutz, Cookies & Consent", "priority": "mittel", "impact_score": 34, "evidence": "0 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 66.", "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "audit_module" }, { "id": "consent_preconsent_gap", "area": "Consent & Tracking", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "mittel", "impact_score": 34, "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing/IT", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "consent_audit" }, { "id": "browser_consent_settings_missing", "area": "privacy", "title": "Keine sichtbaren Cookie-Einstellungen im Banner", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Eine klare Auswahl- oder Einstellungsebene für Zwecke und Anbieter anbieten.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" } ], "guide_steps": [ "Blockieren Sie Analytics-, Ads-, Pixel- und Remarketing-Skripte bis zur aktiven Zustimmung.", "Nutzen Sie CMP-Autoblocking oder neutrale Script-/Iframe-Attribute wie type=\"text/plain\" beziehungsweise data-cookieblock-src, damit Quellen nicht vor Consent laden.", "Bieten Sie Ablehnen und Akzeptieren gleich sichtbar an; vermeiden Sie reine Akzeptieren-Banner.", "Dokumentieren Sie Anbieter, Zwecke, Rechtsgrundlagen und Widerruf in der Datenschutzerklärung.", "Testen Sie die Startseite im Inkognito-Fenster ohne Zustimmung und prüfen Sie, ob Trackingkontakte ausbleiben." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "title": "Google-Dienste datenschutzfreundlich einbinden", "intro": "Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Google-Dienste", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "google_consent_mode_missing", "area": "privacy", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "finding" }, { "id": "module_google_third_parties", "area": "Audit-Modul", "title": "Google-Dienste & Drittanbieter", "priority": "mittel", "impact_score": 42, "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "operator_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "audit_module" }, { "id": "google_consent_gap", "area": "Google Consent Mode und Tags reparieren", "title": "Google-Dienste", "priority": "mittel", "impact_score": 42, "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing Ops/Webentwicklung", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "google_consent" } ], "guide_steps": [ "Blockieren Sie Google Analytics, Google Tag Manager, Ads und vergleichbare Tags bis zur aktiven Einwilligung.", "Setzen Sie Consent Mode defaults vor dem ersten Google-Tag auf denied und feuern Sie config/event erst nach dem passenden Consent.", "Hosten Sie Google Fonts lokal oder entfernen Sie Remote-Font-Requests zu fonts.googleapis.com und fonts.gstatic.com.", "Laden Sie Maps, YouTube und reCAPTCHA erst nach Klick, Einwilligung oder auf klar begründeten Formularseiten.", "Nennen Sie Google-Dienste konkret in Datenschutzerklärung und Consent-Oberfläche, inklusive Zweck, Anbieter und Widerruf." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Google-Requests vor und nach Consent vergleichen.", "evidence": "Consent-Mode-Defaults, Tag-Manager-Regeln, Anbieterzwecke." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Google-Requests vor und nach Consent vergleichen.", "sources": [ { "label": "DSK/BfDI: Hinweise zu Google Analytics", "url": "https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/99DSK_Google-Analytics.pdf?__blob=publicationFile&v=3" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" }, { "label": "Google Consent Mode concepts", "url": "https://developers.google.com/tag-platform/security/concepts/consent-mode" }, { "label": "Google Fonts Privacy FAQ", "url": "https://developers.google.com/fonts/faq/privacy" } ] }, { "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "title": "SEO-Spam und Cloaking bereinigen", "intro": "Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Trust & Content Integrity", "owner": "Webbetrieb/SEO/Security", "effort": "hoch", "issue_count": 3, "issues": [ { "id": "external_canonical", "area": "seo", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" }, { "id": "external_link_spam", "area": "seo", "title": "Sehr viele externe Links erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" }, { "id": "module_seo_integrity", "area": "Audit-Modul", "title": "SEO-Integrität & Cloaking", "priority": "mittel", "impact_score": 36, "evidence": "2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).", "operator_action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "audit_module" } ], "guide_steps": [ "Entfernen Sie versteckte Linklisten, Keyword-Stuffing und automatisch erzeugte Doorway-Seiten.", "Vergleichen Sie normalen Abruf und Googlebot-Abruf auf Weiterleitungen und sichtbare Inhalte.", "Prüfen Sie CMS, Themes und Plugins auf Schadcode, wenn solche Muster unerwartet auftauchen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webbetrieb/SEO/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webbetrieb/SEO/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "evidence": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "sources": [ { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "ssl-zertifikat-reparieren", "guide_url": "https://saferpage.de/guides/ssl-zertifikat-reparieren", "title": "SSL-Zertifikat reparieren", "intro": "Beheben Sie abgelaufene, falsche oder unvollständige HTTPS-Zertifikate, damit Nutzer keine Browserwarnung sehen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "TLS", "owner": "IT/Webbetrieb", "effort": "klein", "issue_count": 1, "issues": [ { "id": "certificate_expires_soon", "area": "tls", "title": "TLS-Zertifikat läuft bald ab", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "ssl-zertifikat-reparieren", "guide_url": "https://saferpage.de/guides/ssl-zertifikat-reparieren", "source": "finding" } ], "guide_steps": [ "Prüfen Sie, ob das Zertifikat exakt zur Domain und zu allen verwendeten Hostnamen passt, zum Beispiel example.de und www.example.de.", "Erneuern Sie abgelaufene Zertifikate und aktivieren Sie automatische Erneuerung, etwa über certbot oder den Hosting-Anbieter.", "Stellen Sie sicher, dass der Webserver das richtige Zertifikat im passenden Nginx-/Apache-vHost ausliefert.", "Deaktivieren Sie alte TLS-Versionen und testen Sie danach Domain und www-Variante erneut." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webbetrieb", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webbetrieb", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Domain und www-Variante per HTTPS erneut prüfen.", "evidence": "Zertifikatskette, Erneuerungsjob, Nginx-/CDN-vHost." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Domain und www-Variante per HTTPS erneut prüfen.", "sources": [ { "label": "BSI Mindeststandard TLS 2.3", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_3.pdf?__blob=publicationFile&v=4" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" } ] }, { "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "title": "Drittanbieter im Datenschutz erklären", "intro": "Externe Browserkontakte müssen für Nutzer nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Drittanbieter", "owner": "Legal/Vendor Owner", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "privacy_policy_provider_disclosure_gap", "area": "privacy", "title": "Erkannte Anbieter fehlen in der Datenschutzerklärung", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "finding" } ], "guide_steps": [ "Erstellen Sie eine Liste aller externen Domains, die beim ersten Seitenaufruf geladen werden.", "Ordnen Sie jeden Anbieter einem Zweck zu: Hosting/CDN, Fonts, Consent, Analytics, Werbung, Zahlung oder Support.", "Dokumentieren Sie pro Anbieter Empfängerrolle, Anbieterland, Transfergrundlage, AVV/Vertrag und Widerrufs- oder Opt-out-Möglichkeit.", "Reduzieren Sie unnötige Drittanbieter und erklären Sie die übrigen verständlich in Cookie-Auswahl und Datenschutzhinweisen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Vendor Owner", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Vendor Owner", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "evidence": "Anbieterregister, AVV/DPA-Status, Transferbewertung, Datenschutzhinweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "cookies-sicher-konfigurieren", "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "title": "Cookies sicher konfigurieren", "intro": "Cookies sollten technisch sauber gesetzt sein und nicht mehr Daten preisgeben als nötig.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Cookie Security", "owner": "IT/Webbetrieb", "effort": "klein", "issue_count": 2, "issues": [ { "id": "cookie_missing_secure", "area": "privacy", "title": "Cookie ohne Secure-Flag", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Cookies über HTTPS mit Secure-Flag setzen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "cookies-sicher-konfigurieren", "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "source": "finding" }, { "id": "cookie_missing_samesite", "area": "privacy", "title": "Cookie ohne SameSite-Attribut", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "cookies-sicher-konfigurieren", "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "source": "finding" } ], "guide_steps": [ "Setzen Sie Secure für Cookies, die nur über HTTPS übertragen werden sollen.", "Setzen Sie SameSite=Lax oder SameSite=Strict, wenn fachlich möglich.", "Trennen Sie notwendige Session-Cookies von Tracking- oder Marketing-Cookies." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webbetrieb", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webbetrieb", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.", "evidence": "Set-Cookie-Belege, Konfigurationsdiff, Re-Scan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "title": "Barrierefreiheit bei Bannern und Formularen prüfen", "intro": "Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Usability & BITV", "owner": "UX/Content/IT", "effort": "mittel", "issue_count": 5, "issues": [ { "id": "form_label_missing", "area": "accessibility", "title": "Formularfelder ohne klare Beschriftung", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" }, { "id": "button_name_missing", "area": "accessibility", "title": "Buttons ohne erkennbaren Namen", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Buttons mit sichtbarem Text oder aria-label beschriften.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" }, { "id": "module_accessibility_usability", "area": "Audit-Modul", "title": "Barrierefreiheit & Usability", "priority": "hoch", "impact_score": 67, "evidence": "9 Bild(er) ohne alt, 5 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.", "operator_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "audit_module" }, { "id": "accessibility_gap", "area": "Barrierefreiheit", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "hoch", "impact_score": 67, "evidence": "10 Bild(er), 7 Formularfeld(er), 4 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "UX/IT", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "accessibility" }, { "id": "image_alt_missing", "area": "accessibility", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" } ], "guide_steps": [ "Stellen Sie sicher, dass Cookie-Banner per Tastatur, Screenreader und Mobilgerät bedienbar sind.", "Blockieren Sie Datenschutz, Impressum und Inhalt nicht dauerhaft durch ein Banner.", "Versehen Sie Formularfelder mit Labels, verständlichen Fehlermeldungen und passenden Autocomplete-Attributen.", "Prüfen Sie Kontrast, Fokuszustände, Tab-Reihenfolge und Feedbackmechanismus für Barrierefreiheitsmeldungen.", "Testen Sie kritische Formulare manuell und automatisiert, besonders Kontakt, Antrag, Login und Newsletter." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "UX/Content/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "UX/Content/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "evidence": "Testprotokoll, Screenshots, bekannte Einschränkungen." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "sources": [ { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" }, { "label": "BFIT Bund", "url": "https://www.bfit-bund.de/DE/Home/home_node.html" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "title": "Security-Header setzen", "intro": "Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Web Security", "owner": "IT/Security", "effort": "mittel", "issue_count": 8, "issues": [ { "id": "missing_hsts", "area": "security_headers", "title": "HSTS fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_csp", "area": "security_headers", "title": "Content-Security-Policy fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "module_security_tls", "area": "Audit-Modul", "title": "Sicherheit, TLS & Header", "priority": "mittel", "impact_score": 42, "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 0.", "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "audit_module" }, { "id": "security_header_gap", "area": "Security", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "impact_score": 42, "evidence": "3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "IT/Security", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "security_header" }, { "id": "missing_cross_origin_embedder_policy", "area": "security_headers", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_opener_policy", "area": "security_headers", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_resource_policy", "area": "security_headers", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_permissions_policy", "area": "security_headers", "title": "Permissions-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" } ], "guide_steps": [ "Setzen Sie HSTS nach erfolgreichem HTTPS-Test.", "Nutzen Sie Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy.", "Starten Sie mit einer vorsichtigen CSP im Report-Only-Modus und verschärfen Sie sie schrittweise.", "Entfernen Sie unsafe-inline, unsafe-eval, Wildcards und reine http:-Quellen aus script-src, sobald Nonces, Hashes oder konkrete Hosts funktionieren.", "Setzen Sie base-uri und object-src restriktiv, typischerweise base-uri self und object-src none.", "Nutzen Sie frame-ancestors oder X-Frame-Options, damit fremde Seiten die Website nicht ungewollt einbetten." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "evidence": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" } ] }, { "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "title": "Datenschutzerklärung verbessern", "intro": "Eine gute Datenschutzerklärung erklärt für Nutzer verständlich, welche Daten verarbeitet werden und warum.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Transparenz", "owner": "Datenschutz/Content", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "privacy_policy_update_date_missing", "area": "privacy", "title": "Stand der Datenschutzerklärung nicht klar erkennbar", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Ergänzen Sie ein gut sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach technischen Änderungen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "source": "finding" } ], "guide_steps": [ "Verlinken Sie die Datenschutzerklärung gut sichtbar im Footer und in Formularnähe.", "Nennen Sie Zwecke, Rechtsgrundlagen, Empfänger/Drittanbieter, Speicherdauer und Betroffenenrechte.", "Erklären Sie Cookies, Tracking, Kontaktformulare, Newsletter und Zahlungsanbieter konkret statt nur allgemein.", "Pflegen Sie ein sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach neuen Tools, Cookies oder Formularen erneut.", "Nennen Sie einen Datenschutzkontakt oder den Datenschutzbeauftragten-Hinweis so, dass Nutzer Anfragen ohne Suchen stellen können.", "Strukturieren Sie lange Absätze mit klaren Zwischenüberschriften und kurzen Sätzen, damit auch nicht-juristische Nutzer die Hinweise verstehen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Datenschutz/Content", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Datenschutz/Content", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "evidence": "Versionierter Datenschutzhinweis, Änderungsdatum, Freigabeprotokoll." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "performance-und-mobile-usability-verbessern", "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "title": "Performance und mobile Nutzbarkeit verbessern", "intro": "Langsame oder mobil schlecht nutzbare Seiten wirken für Nutzer weniger vertrauenswürdig.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Performance & Mobile", "owner": "Webentwicklung/UX", "effort": "mittel", "issue_count": 2, "issues": [ { "id": "compression_missing", "area": "performance", "title": "Komprimierung nicht erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Brotli oder gzip für HTML/CSS/JS aktivieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "performance-und-mobile-usability-verbessern", "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "source": "finding" }, { "id": "too_many_render_blocking_assets", "area": "performance", "title": "Viele potenziell blockierende Assets", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "performance-und-mobile-usability-verbessern", "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "source": "finding" } ], "guide_steps": [ "Aktivieren Sie Brotli oder gzip für HTML, CSS und JavaScript.", "Reduzieren Sie blockierende Skripte, unnötige Bibliotheken und große Inline-Daten.", "Setzen Sie den Viewport-Meta-Tag und testen Sie wichtige Seiten auf Mobilgeräten." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/UX", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/UX", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.", "evidence": "Performance-Messung, Asset-Liste, Mobile-Screenshot." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.", "sources": [ { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" }, { "label": "Google Search Central: Core Web Vitals", "url": "https://developers.google.com/search/docs/appearance/core-web-vitals" } ] } ], "remediation_tickets": [ { "id": "remediation_module_accessibility_usability", "type": "befund_fix", "title": "Barrierefreiheit & Usability", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "9 Bild(er) ohne alt, 5 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.", "action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_button_name_missing", "type": "befund_fix", "title": "Buttons ohne erkennbaren Namen", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Buttons mit sichtbarem Text oder aria-label beschriften.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_external_canonical", "type": "befund_fix", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_consent_banner_dark_pattern_risk", "type": "befund_fix", "title": "Consent-Banner mit Dark-Pattern-/UX-Risiko", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_consent_state_reject_evidence_failed", "type": "befund_fix", "title": "Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_csp", "type": "befund_fix", "title": "Content-Security-Policy fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_cookie_missing_secure", "type": "befund_fix", "title": "Cookie ohne Secure-Flag", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Cookies über HTTPS mit Secure-Flag setzen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_accessibility_gap", "type": "befund_fix", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "hoch", "owner": "UX/IT", "area": "Barrierefreiheit", "evidence": "10 Bild(er), 7 Formularfeld(er), 4 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "accessibility", "sla": "7 Tage" }, { "id": "remediation_privacy_policy_provider_disclosure_gap", "type": "befund_fix", "title": "Erkannte Anbieter fehlen in der Datenschutzerklärung", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_form_label_missing", "type": "befund_fix", "title": "Formularfelder ohne klare Beschriftung", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_google_consent_mode_missing", "type": "befund_fix", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_hsts", "type": "befund_fix", "title": "HSTS fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_post_reject_new_cookies", "type": "befund_fix", "title": "Neue Cookies nach Ablehnen erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_unsupported_technology_version", "type": "befund_fix", "title": "PHP-Version ist nicht mehr upstream unterstuetzt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "vulnerability", "evidence": "", "action": "PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_external_link_spam", "type": "befund_fix", "title": "Sehr viele externe Links erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_certificate_expires_soon", "type": "befund_fix", "title": "TLS-Zertifikat läuft bald ab", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "tls", "evidence": "", "action": "Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/ssl-zertifikat-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_module_privacy_consent", "type": "befund_fix", "title": "Datenschutz, Cookies & Consent", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 66.", "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_google_consent_gap", "type": "befund_fix", "title": "Google-Dienste", "priority": "mittel", "owner": "Marketing Ops/Webentwicklung", "area": "Google Consent Mode und Tags reparieren", "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "google_consent", "sla": "30 Tage" }, { "id": "remediation_module_google_third_parties", "type": "befund_fix", "title": "Google-Dienste & Drittanbieter", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "mapping_cookie_phpsessid", "type": "service_mapping", "title": "PHPSESSID", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "bw-verdi.de", "action": "Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "evidence_url": "https://saferpage.de/cookies/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "remediation_module_seo_integrity", "type": "befund_fix", "title": "SEO-Integrität & Cloaking", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).", "action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_security_header_gap", "type": "befund_fix", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "owner": "IT/Security", "area": "Security", "evidence": "3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "security_header", "sla": "30 Tage" }, { "id": "remediation_module_security_tls", "type": "befund_fix", "title": "Sicherheit, TLS & Header", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 0.", "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_consent_preconsent_gap", "type": "befund_fix", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "mittel", "owner": "Marketing/IT", "area": "Consent & Tracking", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "consent_audit", "sla": "30 Tage" }, { "id": "remediation_image_alt_missing", "type": "befund_fix", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_cookie_missing_samesite", "type": "befund_fix", "title": "Cookie ohne SameSite-Attribut", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_embedder_policy", "type": "befund_fix", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_opener_policy", "type": "befund_fix", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_resource_policy", "type": "befund_fix", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_browser_consent_settings_missing", "type": "befund_fix", "title": "Keine sichtbaren Cookie-Einstellungen im Banner", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Eine klare Auswahl- oder Einstellungsebene für Zwecke und Anbieter anbieten.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_compression_missing", "type": "befund_fix", "title": "Komprimierung nicht erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "performance", "evidence": "", "action": "Brotli oder gzip für HTML/CSS/JS aktivieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_permissions_policy", "type": "befund_fix", "title": "Permissions-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_privacy_policy_update_date_missing", "type": "befund_fix", "title": "Stand der Datenschutzerklärung nicht klar erkennbar", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ergänzen Sie ein gut sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach technischen Änderungen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_too_many_render_blocking_assets", "type": "befund_fix", "title": "Viele potenziell blockierende Assets", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "performance", "evidence": "", "action": "Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "evidence_url": "https://saferpage.de/befunde/bw-verdi.de", "rescan_url": "https://saferpage.de/scanbetrieb/bw-verdi.de", "source": "finding", "sla": "quartalsweise" } ], "tracker_mapping_tasks": [ { "id": "cookie_phpsessid", "label": "PHPSESSID", "type": "cookie_storage", "status": "necessary", "evidence": "bw-verdi.de", "action": "Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.", "guide_slug": "cookie-laufzeiten-und-zwecke-pruefen", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "target_url": "https://saferpage.de/cookies/bw-verdi.de" } ], "platform_playbooks": [ { "id": "typo3", "platform": "TYPO3", "summary": "TYPO3-Core, Extensions, Sitepackage, Fluid-Templates, Consent-Extension und Caches zusammen prüfen.", "steps": [ "TYPO3 Core und Extensions gemäß Wartungsstatus aktualisieren; Composer-/Extension-Lockfile sichern.", "Sitepackage und Fluid-Templates nach externen Fonts, Maps, Videos, Analytics und Tag-Manager-Snippets durchsuchen.", "Consent-Extension so konfigurieren, dass externe Skripte und Iframes erst nach passender Einwilligung laden.", "Security-Header und TLS/HSTS auf Webserver-/Proxy-Ebene testen; TYPO3-Caches nach Änderung leeren." ], "acceptance": [ "Extension-Liste und Wartungsstatus dokumentiert.", "Pflichtseiten werden im Seiteninventar gefunden.", "Consent-Zustände sind im Re-Scan stabil." ], "owner": "Webbetrieb/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/cms-plugin-patchstand-nachweisen", "technology_evidence_url": "https://saferpage.de/technik/bw-verdi.de/export", "rescan_url": "https://saferpage.de/?url=bw-verdi.de", "boundary": "Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen." } ], "quality_review_playbook": { "summary": "Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.", "rows": [ { "id": "consent_wall_paywall_review", "label": "Consent-Wall, Paywall oder Overlay einordnen", "review_question": "Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?", "operator_action": "Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.", "acceptance": "Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.", "boundary": "Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.", "evidence_url": "https://saferpage.de/bw-verdi.de", "guide_url": "https://saferpage.de/methodik", "status": "bei Bedarf prüfen" }, { "id": "google_consent_applicability_review", "label": "Google Consent Mode nur bei Google-Evidenz fordern", "review_question": "Wurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen?", "operator_action": "Google-Tags, Zwecke, Consent Defaults und Tag-Gating anhand der konkreten Request-/Script-Evidence prüfen.", "acceptance": "Google-Dienst ist inventarisiert, Consent Default ist belegt und Re-Scan bestätigt das Gating.", "boundary": "Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.", "evidence_url": "https://saferpage.de/bw-verdi.de/top-fixes-json", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "status": "prüfen" }, { "id": "form_coverage_review", "label": "Formular-Coverage gegen Startseiten-Sample abgleichen", "review_question": "Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?", "operator_action": "Alle 9 Formular(e) auf 4 geprüften Seite(n) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen.", "acceptance": "Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.", "boundary": "SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung.", "evidence_url": "https://saferpage.de/abdeckung/bw-verdi.de/export", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "status": "Crawl-Evidence vorhanden" }, { "id": "cookie_context_review", "label": "Cookies nach Zweck statt pauschal bewerten", "review_question": "Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?", "operator_action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.", "acceptance": "Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.", "boundary": "Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.", "evidence_url": "https://saferpage.de/cookies/bw-verdi.de", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "status": "klassifizieren" }, { "id": "score_wording_review", "label": "Score und Warntexte als Priorisierung formulieren", "review_question": "Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?", "operator_action": "Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.", "acceptance": "Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.", "boundary": "Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.", "evidence_url": "https://saferpage.de/evidence/report-quality-smoke.json", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" }, { "id": "statement_boundary_review", "label": "Aussage-Ampel und Claim-Grenzen übernehmen", "review_question": "Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?", "operator_action": "Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.", "acceptance": "Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.", "boundary": "Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.", "evidence_url": "https://saferpage.de/bw-verdi.de", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" } ], "metrics": { "row_count": 6, "acceptance_count": 6, "boundary_count": 6, "evidence_url_count": 6, "guide_url_count": 6, "privacy_relevant_domain_count": 0, "pre_consent_cookie_count": 1, "form_count": 9, "google_evidence_count": 1 } }, "phases": [ { "id": "triage", "label": "Triage", "timebox": "0-48 Stunden", "action": "Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern." }, { "id": "fix", "label": "Fix umsetzen", "timebox": "0-14 Tage", "action": "Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren." }, { "id": "content", "label": "Nutzertexte synchronisieren", "timebox": "parallel", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen." }, { "id": "rescan", "label": "Re-Scan und Freigabe", "timebox": "nach Deployment", "action": "Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen." } ], "links": { "fix_guides": "https://saferpage.de/fix-guides/bw-verdi.de", "json": "https://saferpage.de/fix-guides/bw-verdi.de/export", "csv": "https://saferpage.de/fix-guides/bw-verdi.de/export-csv", "markdown": "https://saferpage.de/fix-guides/bw-verdi.de/playbook-md", "tickets_json": "https://saferpage.de/fix-guides/bw-verdi.de/tickets-json", "tickets_csv": "https://saferpage.de/fix-guides/bw-verdi.de/tickets-csv", "tickets_markdown": "https://saferpage.de/fix-guides/bw-verdi.de/tickets-md", "tickets_delivery_json": "https://saferpage.de/fix-guides/bw-verdi.de/tickets-delivery-json", "tickets_delivery_csv": "https://saferpage.de/fix-guides/bw-verdi.de/tickets-delivery-csv", "findings": "https://saferpage.de/befunde/bw-verdi.de", "operator_board": "https://saferpage.de/betreiber/bw-verdi.de", "privacy_hub": "https://saferpage.de/datenschutz-hub/bw-verdi.de", "scan_operations": "https://saferpage.de/scanbetrieb/bw-verdi.de", "guides_index": "https://saferpage.de/guides", "report": "https://saferpage.de/bw-verdi.de" }, "competitor_references": [ { "title": "Cookiebot Scan Report", "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report", "note": "Scanreports verbinden Cookie-/Prior-Consent-Befunde mit Betreiberaktionen." }, { "title": "Usercentrics Handling Trackers", "url": "https://support.usercentrics.com/hc/en-us/articles/18579668393372-Handling-trackers", "note": "Tracker-Ergebnisse werden gemappt, blockiert oder bewusst manuell verwaltet." }, { "title": "Osano Compliance Check", "url": "https://www.osano.com/features/compliance-check", "note": "Compliance Checks priorisieren Lücken und geben Hinweise zur schnellen Behebung." } ], "disclaimer": "Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben." }