Betreiber-Tickets
Umsetzbare Betreiber-Tickets aus SaferPage-Befunden, Guide-Streams, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Ticketliste
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 6 Anbieter(n), 1 hohem Risiko, 6 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
89 Request(s), 6 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 2, Fingerprinting-/Replay-Hinweise: 1.Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 56.Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.
Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.
Externe Formularziele auf Auftragsverarbeitung, Zweck, Region und Datenschutzerklärung prüfen.
Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
2 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 3 sensible Query-Kontexte.Tracking-/Tag-Parameter für Anbieter wie ccm.softgarden.io, Matomo so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen.Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.
Pixel von pcw-cdn.softgarden.de, Matomo erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen.
Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
Befund mit Betreiber-Guide beheben und danach erneut scannen.
0 interne Linkziele erkannt (0 aus Sitemap), 0 priorisierte Unterseite(n) zusätzlich abgerufen.Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
analyticsAlt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
14 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.Befund mit Betreiber-Guide beheben und danach erneut scannen.
15 Bild(er), 2 Formularfeld(er), 21 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Servicekarte je Anbieter anlegen und Datenschutzhinweis, CMP und Anbieterregister synchronisieren.
6 Drittanbieter-Domain(s) im Browserlauf.Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.
38 externe Skript(e) von 2 Host(s), 38 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Die Seite kann E-Mail, Kontaktformular, Newsletter abfragen.Befund mit Betreiber-Guide beheben und danach erneut scannen.
Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: ja, Werbung: nein, Fonts: nein.Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.
3 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).Befund mit Betreiber-Guide beheben und danach erneut scannen.
3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 3 Hinweis(e).HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 3/9 vorhanden, 6 fehlen, externe Skript-Hosts: 2.Befund mit Betreiber-Guide beheben und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.
1 Pixel-/Bildtracking-Hinweis(e), 3 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
AnalyticsZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherUnklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.
Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Prüfen, ob Anbieter wie Matomo in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.
Bei aktivem Global Privacy Control sollten Anbieter wie Matomo besonders begründet oder blockiert werden.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
frame-ancestors 'none' oder 'self' setzen, alternativ X-Frame-Options als Basisschutz nutzen.
Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Kontext prüfen: einzelne Begriffe sind kein Beweis, können aber bei gehackten Seiten oder Doorways auffallen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.
Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.