# Nachweispositionen für cadwork.at

Prüfbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.

> Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.

## Content-Security-Policy fehlt
- Nachweisposition: remediation_missing_csp / Prioritaet: hoch / Zielzeit: 7 Tage
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Evidenz: 
- Aktion: Header `content-security-policy` setzen und nach Deployment erneut prüfen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/security-header-setzen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Google Consent Mode Default nicht erkannt
- Nachweisposition: remediation_google_consent_mode_missing / Prioritaet: hoch / Zielzeit: 7 Tage
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Evidenz: 
- Aktion: Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Versteckter Text erkannt
- Nachweisposition: remediation_hidden_text / Prioritaet: hoch / Zielzeit: 7 Tage
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: seo
- Evidenz: 
- Aktion: Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Google-Dienste
- Nachweisposition: remediation_google_consent_gap / Prioritaet: mittel / Zielzeit: 30 Tage
- Verantwortlich: Marketing Ops/Webentwicklung / Bereich: Google Consent Mode und Tags reparieren
- Evidenz: Google-Consent-Mode-Signale wurden aus GTM/Analytics/Ads-Tags, passenden Browserkontakten und Tracking-IDs abgeleitet; reine Google-Service-Kontakte werden separat gezählt.
- Aktion: Befund mit Hintergrundseite einordnen und danach erneut scannen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Google-Dienste & Drittanbieter
- Nachweisposition: remediation_module_google_third_parties / Prioritaet: mittel / Zielzeit: 30 Tage
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: Audit-Modul
- Evidenz: Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.
- Aktion: Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Security-Header, Referrer-Policy und Browser-Schutz setzen
- Nachweisposition: remediation_security_header_gap / Prioritaet: mittel / Zielzeit: 30 Tage
- Verantwortlich: IT/Security / Bereich: Security
- Evidenz: 5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. Keine Content-Security-Policy gefunden.
- Aktion: Befund mit Hintergrundseite einordnen und danach erneut scannen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/security-header-setzen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Service- und Tracker-Mapping
- Nachweisposition: mapping_baseline_tracker_mapping / Prioritaet: mittel / Zielzeit: 30 Tage
- Verantwortlich: Marketing/IT/Datenschutz / Bereich: Tracker- und Service-Mapping
- Evidenz: Keine einzelnen Tracker-Zeilen im gespeicherten Check verfügbar.
- Aktion: Nach nächstem Scan Cookies, Requests und Anbieter in Servicekarten überführen.
- [ ] Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.
- [ ] Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.
- [ ] Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung.
- Hintergrundseite: https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen
- Nachweis: https://saferpage.de/anbieter/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Sicherheit, TLS & Header
- Nachweisposition: remediation_module_security_tls / Prioritaet: mittel / Zielzeit: 30 Tage
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: Audit-Modul
- Evidenz: 2 Infrastruktur-Hinweis(e), Security-Header: 5/9 vorhanden, 4 fehlen, externe Skript-Hosts: 0.
- Aktion: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/security-header-setzen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Bilder ohne Alternativtext
- Nachweisposition: remediation_image_alt_missing / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: accessibility
- Evidenz: 
- Aktion: Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Cross-Origin-Embedder-Policy fehlt
- Nachweisposition: remediation_missing_cross_origin_embedder_policy / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Evidenz: 
- Aktion: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/security-header-setzen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Cross-Origin-Opener-Policy fehlt
- Nachweisposition: remediation_missing_cross_origin_opener_policy / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Evidenz: 
- Aktion: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/security-header-setzen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Cross-Origin-Resource-Policy fehlt
- Nachweisposition: remediation_missing_cross_origin_resource_policy / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers
- Evidenz: 
- Aktion: Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/security-header-setzen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Datenschutzerklärung wirkt veraltet
- Nachweisposition: remediation_privacy_policy_stale / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Evidenz: 
- Aktion: Betreiber sollten die Erklärung gegen aktuelle Cookies, Drittanbieter, Consent-Einstellungen und Formulare prüfen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/datenschutzerklaerung-verbessern
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Registerangaben nicht klar erkannt
- Nachweisposition: remediation_imprint_register_not_detected / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Evidenz: 
- Aktion: Registergericht und Registernummer im Impressum prüfen, sofern eine registerpflichtige Rechtsform vorliegt.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

## Viele Tastatur-/Eingabe-Listener im Browser erkannt
- Nachweisposition: remediation_browser_keystroke_listener_signals / Prioritaet: niedrig / Zielzeit: quartalsweise
- Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy
- Evidenz: 
- Aktion: Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
- [ ] Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
- [ ] Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
- [ ] Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
- Hintergrundseite: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen
- Nachweis: https://saferpage.de/befunde/cadwork.at / Re-Scan: https://saferpage.de/scanbetrieb/cadwork.at

