Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 14 Anbieter(n), 3 hohem Risiko, 14 AVV-/DPA-Prüfung(en) und 13 Transfer-/Jurisdiktionsfrage(n).Nachweispositionen
cylex.at: Nachweispositionen
Prüfbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Verantwortlichkeit, Zielzeit, Nachweis und Re-Scan-Link
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
74 Request(s), 14 Drittanbieter-Domain(s), davon 4 datenschutzrelevant, 7 Browser-Cookie(s), Transfer-Prüfbedarf: 8, Referrer-/URL-Leaks: 2, Fingerprinting-/Replay-Hinweise: 1.Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.
Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Cookie-Liste mit Zweck, Anbieter, First-/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen.
7 Cookie(s), 4 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 5 langlebig, 0 sehr lang.Befund mit Hintergrundseite einordnen und danach erneut scannen.
7 Cookie(s) inventarisiert: 4 Tracking-/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 5 langlebige Cookie(s), 0 sehr lange Laufzeit(en).Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 7 Cookie(s) vor Einwilligung, 4 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 0.Prüfen, ob Anbieter wie Google Tag Manager, Google Analytics, Cloudflare Web Analytics in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.
Für Anbieter wie Google Tag Manager, Google Analytics, Google DoubleClick, Google Fonts, Google Funding Choices, Google Fonts, google.de, lh3.googleusercontent.com Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen.
Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.
Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 8 Google-nahe Domain(s), Consent-Default: nein, Analytics: ja, Werbung: ja, Fonts: ja.Cookies wie _ga, _ga_3SZ7EK3Z56, _pk_id.38.2809 auf kurze Laufzeiten begrenzen, erst nach Einwilligung setzen und Speicherdauer konkret erklären.
Serverantwort, Caching und Backend-Latenz prüfen.
Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.
Tracking-/Tag-Parameter für Anbieter wie Google Analytics, m.cylex-international.com so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.Tracking-Cookies erst nach aktiver Einwilligung setzen.
Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.
1 Pixel-/Bildtracking-Hinweis(e), 5 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).Pixel von Google Analytics, Google DoubleClick, google.de erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen.
Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
tag_managerRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
analyticsRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
analyticsRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
advertisingBefund mit Hintergrundseite einordnen und danach erneut scannen.
Consent-Banner-UX: 2 auffällige Prüfpunkt(e), davon 1 hoch. Muster: Tracking vor Einwilligung.Drittanbieter je Consent-Zustand prüfen; nach Ablehnen und bei GPC sollten keine neuen Trackingkontakte entstehen.
Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 4 im GPC-Aufruf.Servicekarte je Anbieter anlegen und Datenschutzhinweis, CMP und Anbieterregister synchronisieren.
14 Drittanbieter-Domain(s) im Browserlauf.Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.
7 externe Skript(e) von 5 Host(s), 5 ohne SRI, 1 Tracking-/Tag-nahe Skript(e).Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atBei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. /impressum.htm, /%C3%A4rzte.html. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.Befund mit Hintergrundseite einordnen und danach erneut scannen.
Google-Consent-Mode-Signale wurden aus GTM/Analytics/Ads-Tags, passenden Browserkontakten und Tracking-IDs abgeleitet; reine Google-Service-Kontakte werden separat gezählt.Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.
2 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
2 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 1 sensible Query-Kontexte.Befund mit Hintergrundseite einordnen und danach erneut scannen.
3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 2 Hinweis(e).Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 5.Befund mit Hintergrundseite einordnen und danach erneut scannen.
30 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen.Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
cdnZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
cylex.atZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SchriftenZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SchriftenRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
fontsZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
ConsentRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
consentZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
Tag-ManagerRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
AnalyticsZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
AnalyticsZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
WerbungUnklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.
base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Bei aktivem Global Privacy Control sollten Anbieter wie Google Tag Manager, Google Analytics, Cloudflare Web Analytics besonders begründet oder blockiert werden.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
Cookies wie FCCDCF, cf_clearance auf Zweck, Erforderlichkeit und Speicherdauer prüfen und transparent erklären.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Prüfen, ob Google Fonts lokal gehostet oder in der Datenschutzerklärung und Consent-Logik sauber erklärt werden.
Tracking-, Tag-Manager- und Replay-Skripte erst nach Einwilligung laden und mit CSP, Anbieterinventar und Datenschutzerklärung abgleichen.
Tracking und Drittanbieter nicht nur auf der Startseite, sondern auch auf Pflicht- und Formularseiten prüfen.
Viele externe Kontakte erschweren die Datenschutz-Einordnung für Nutzer. Drittanbieter reduzieren oder klar begründen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Externe Skriptquellen reduzieren, Anbieter inventarisieren und über CSP/Consent absichern.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.