Priorisierte Fixpfade
cadwork.de: 6 priorisierte Fixpfad-Gruppe(n) aus 24 Befund(en).
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Evidence-first-Grenze
Fixpfade trennen Scan-Evidence, Betreiberkontext und Nicht-behaupten-Grenzen, bevor Betreiber Nachweispositionen prüfen oder externe Aussagen ableiten.
Claim-Grenze: Diese Betreiberseite ist ein Fixpfad- und Review-Index. Konkrete Findings bleiben an Scan-Evidence gebunden; allgemeine Betreiberaufgaben sind Kontext und müssen fachlich freigegeben werden.
Gespeicherter Kurzreport: Scan-ID, Zeitpunkt, Score, Befunde, Screenshot, HTTP/TLS/Header und direkte Test-URLs.
Formular-Coverage: Crawl-Evidence: 15 Formular(e) auf 4 geprüften Seite(n).
Browserkontakte und Cookies: 227 Request(s), 0 Drittanbieter-Domain(s), 2 Cookie(s) vor Einwilligung.
Google-Consent-Anwendbarkeit: Keine GTM-/Analytics-/Ads-/ID-Evidence im gespeicherten Lauf; kein Google-Consent-Mode-Fix ohne neue Evidence.
Rechtsgrundlagen, Zwecke, Pflichtfelder, Löschfristen und Empfänger je Formular.
Interne Systeme, CRM-/Support-Flüsse, Login-, Checkout-, Paywall- und nachgelagerte Verarbeitung.
AVV/DPA, TOMs, Transfer Impact Assessments, Anbieterakten und interne Freigaben.
Spätere CMP-, Tag-Manager-, Release- oder Content-Änderungen nach dem gespeicherten Scan.
Keine DSGVO-Konformität, Rechtsfreigabe oder Zertifizierung behaupten.
Keinen Google-Consent-Mode-Fehler behaupten, wenn keine Google-Tag-Evidence vorliegt.
Keine fehlende Betreibertransparenz als Tatsache behaupten, wenn Consent-Wall, Paywall, Login oder Geoblocking den Scan begrenzen.
Keine Formularübermittlung, Zahlungsprüfung oder Backend-Validierung behaupten; SaferPage sendet keine Formulare ab.
Nachweispositionen
Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
50 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 3 Button(s) ohne Namen.Buttons mit sichtbarem Text oder aria-label beschriften.
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
51 Bild(er), 5 Formularfeld(er), 6 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Cookie-, Tracking-, Web-Storage- und Drittanbieter-Hinweise mit der tatsächlichen Technik aus dem Scan abgleichen.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 2 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 72.Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden.Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 0.Fehlalarm- und Grenzen-Review
Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.
Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?
Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen. Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert. Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz. Nachweis öffnen · HintergrundWurden GTM, gtag, Analytics, Ads oder eine Google-Tracking-ID wirklich gesehen?
Betreiberaktion: Keinen Google-Consent-Mode-Fix verlangen, solange keine GTM-/Analytics-/Ads-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen. Abnahme: Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence. Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan. Nachweis öffnen · HintergrundGibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?
Betreiberaktion: Alle 15 Formular(e) auf 4 geprüften Seite(n) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen. Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar. Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Die Zählung basiert auf gespeicherter Crawl- und Formular-Evidence. Nachweis öffnen · HintergrundSind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?
Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen. Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung. Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext. Nachweis öffnen · HintergrundWird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?
Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden. Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims. Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit. Nachweis öffnen · HintergrundTrennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?
Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Nachweispositionen übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren. Abnahme: Nachweispositionen, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims. Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking. Nachweis öffnen · HintergrundNachweis-Delivery
Das Delivery-Paket enthält Payload-Vorlagen, Idempotency-Keys, Body-SHA-256, HMAC-Signaturvertrag, Retry-Policy und Links zu Hintergrundseite, Nachweis und Re-Scan. Es versendet nichts automatisch und enthält keine echten Secrets.
Strukturierte Events für interne PrivacyOps-Workflows, Queue-Worker oder Integrationsplattformen.
Kompakte Nachrichten mit Priorität, Verantwortlichkeit, Zielzeit und Nachweislink für operative Kanäle.
Nachweisvorlagen mit Summary, Beschreibung, Labels, Priorität und deduplizierbarer External-ID.
Empfänger prüfen Signatur, Body-Hash, Event, Schema, Idempotency-Key und erlaubtes Zielsystem vor jeder Verarbeitung.
Der JSON-Export enthält ein öffentliches Test-Secret mit erwarteter Signatur für Receiver-Tests ohne produktive Secrets.
CMS-/Shop-Fixes
SaferPage leitet aus sichtbaren CMS-, Shop-, Frontend- und Deployment-Signalen konkrete Betreiber-Schritte ab. Wenn keine Plattform sicher erkennbar ist, wird kein CMS behauptet, sondern ein allgemeines Deployment-Playbook gezeigt.
Joomla-Templates, Erweiterungen und Cookie-Plugins nach Updates gegen echte Browserkontakte prüfen.
Joomla Core, Templates und Erweiterungen aktualisieren; veraltete Erweiterungen entfernen.
Template-Overrides und Module nach externen Skripten, Fonts, Maps, Videos, Captchas und Pixeln prüfen.
Cookie-/Consent-Erweiterung so konfigurieren, dass nicht notwendige Dienste erst nach Einwilligung laden.
Security-Header und HTTPS-Weiterleitungen im Hosting/Webserver setzen und Re-Scan ausführen.
Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Hintergrund · Re-ScanCore, Theme, Plugins, Consent-Plugin, Tag Manager und Cache gemeinsam prüfen.
WordPress Core, aktive Themes und Plugins in Staging aktualisieren; ungenutzte Plugins entfernen.
Consent-/Cookie-Plugin mit Erstaufruf, Ablehnen, Akzeptieren und GPC gegen SaferPage testen.
Google Fonts, Maps, YouTube, reCAPTCHA, Analytics und Pixel in Theme, Page Builder und Tag Manager suchen und vor Consent blockieren.
Security-Header, HSTS, Referrer-Policy und CSP im Hosting, Webserver oder Security-Plugin setzen und Cache leeren.
Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Hintergrund · Re-ScanSaferPage erkennt ein CMS-/Website-Signal, aber keine sichere Plattform. Patchstand, Erweiterungen, Templates, Consent und externe Dienste manuell abgleichen.
CMS, Theme, Plugins/Extensions, Page Builder, Tag Manager und Hosting/CDN inventarisieren.
Nicht notwendige Skripte, Cookies, Fonts, Maps, Videos und Pixel vor Consent blockieren.
Datenschutzerklärung, Anbieterregister, Cookie-Liste und Impressum gegen die reale Browser-Evidence abgleichen.
Nach jeder Änderung Re-Scan ausführen und Exportpaket als Nachweis sichern.
Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Hintergrund · Re-ScanFixpfad-Gruppen
Tracking, Werbung und nicht notwendige Cookies muessen aus Betreiberperspektive nach Consent-Zustand getrennt geprueft werden. Der SaferPage-Befund zeigt sichtbare Cookies, Storage- und Browserkontakte; die finale Rechtsfreigabe, CMP-Konfiguration und Anbieterfreigabe bleiben Betreiberaufgabe.
4 Befund(e) · Re-Test: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.
1 Befund(e) · Re-Test: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.Eine gute Datenschutzerklärung erklärt Ihren Besuchern verständlich, welche Daten verarbeitet werden und warum.
2 Befund(e) · Re-Test: Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.Cookie-Banner und Formulare sind typische Bruchstellen fuer Datenschutz, Usability und Barrierefreiheit. SaferPage kann sichtbare Labels, Button-Namen, Viewport-Signale und einfache WCAG-/BFSG-nahe Hinweise liefern; eine vollstaendige Barrierefreiheitspruefung braucht zusaetzlich Tastatur-, Screenreader- und manuelle Flow-Tests.
5 Befund(e) · Re-Test: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.Security-Header sind eine Betreiberaufgabe an Webserver, CDN oder Hosting-Panel. Der SaferPage-Befund zeigt nur, welche Header im passiven Abruf sichtbar waren; die Umsetzung muss kontrolliert ausgerollt, getestet und bei CSP schrittweise gehärtet werden.
9 Befund(e) · Re-Test: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.Langsame oder mobil schlecht nutzbare Seiten wirken fuer Besucher weniger vertrauenswuerdig. SaferPage kann Antwortzeit, sichtbare Mobil-Signale, Header und grobe Asset-Hinweise zeigen; Core-Web-Vitals-Felddaten, reale Nutzergeraete und Business-Auswirkungen muessen Betreiber separat messen.
3 Befund(e) · Re-Test: Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.Arbeitsphasen
Hoch priorisierte Befunde reproduzieren, Verantwortlichkeit bestätigen, Exportpaket sichern.
Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.
Tracker- und Service-Mapping
Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cadwork.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cadwork.deAbnahme und Quellen
Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe TelemedienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
Google Search Central: Security Issues · Google Search Central: Page ExperienceDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe Telemedien · BfDI: Cookies und Tracking-TechnologienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BITV 2.0 · BFIT Bund · Google Search Central: Page ExperienceDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BSI IT-Grundschutz APP.3.1 Webanwendungen · BSI IT-Grundschutz APP.3.2 Webserver · MDN: Content Security PolicyDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
Google Search Central: Page Experience · Google Search Central: Core Web Vitals