# Betreiber-Fix-Guides fuer easyfunshop.de

easyfunshop.de: 8 priorisierte Betreiber-Guide(s) aus 33 Befund(en).

> Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.

## Phasen
- **Triage** (0-48 Stunden): Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.
- **Fix umsetzen** (0-14 Tage): Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
- **Nutzertexte synchronisieren** (parallel): Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
- **Re-Scan und Freigabe** (nach Deployment): Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.

## Guide-Streams
### SEO-Spam und Cloaking bereinigen
- Priorität: hoch / Owner: Webbetrieb/SEO/Security / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen
- Befund: Versteckter Text erkannt - Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.
- Befund: Strukturierte Daten wirken irreführend - Bewertungs-/Review-Markup muss für Nutzer sichtbar und inhaltlich belegbar sein.
- Befund: Canonical zeigt auf fremde Domain - Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
- Befund: Sehr viele externe Links erkannt - Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.
- Befund: SEO-Integrität & Cloaking - Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.

### Tracking und Consent reparieren
- Priorität: hoch / Owner: Marketing/IT/Datenschutz / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren
- Befund: Möglicherweise nicht notwendige Cookies vor Einwilligung - Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
- Befund: Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus - Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren.
- Befund: Neue Cookies nach Ablehnen erkannt - Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären.
- Befund: Consent-Banner mit Dark-Pattern-/UX-Risiko - Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.
- Befund: Datenschutz, Cookies & Consent - Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.

### Drittanbieter im Datenschutz erklären
- Priorität: hoch / Owner: Legal/Vendor Owner / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren
- Befund: Erkannte Anbieter fehlen in der Datenschutzerklärung - Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.
- Befund: Anbieterakten, AVV/DPA und Transfers priorisiert schließen - Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.

### Barrierefreiheit bei Bannern und Formularen prüfen
- Priorität: hoch / Owner: UX/Content/IT / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare
- Befund: Formularfelder ohne klare Beschriftung - Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
- Befund: Buttons ohne erkennbaren Namen - Buttons mit sichtbarem Text oder aria-label beschriften.
- Befund: Barrierefreiheit & Usability - Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
- Befund: Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- Befund: Bilder ohne Alternativtext - Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.

### Datenschutz-Webseiten-Prüfkatalog umsetzen
- Priorität: hoch / Owner: Programm-Owner/Datenschutz / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog
- Befund: Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden - Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
- Befund: Seitenabdeckung & Crawl - Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
- Befund: Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- Befund: Wenig interne Seiten auf der Startseite gefunden - Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.

### Security-Header setzen
- Priorität: hoch / Owner: IT/Security / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/security-header-setzen
- Befund: X-Content-Type-Options fehlt - Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
- Befund: Sicherheit, TLS & Header - HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Befund: Security-Header, Referrer-Policy und Browser-Schutz setzen - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- Befund: CSP ohne object-src - object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
- Befund: CSP ohne base-uri - base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
- Befund: Cross-Origin-Embedder-Policy fehlt - Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- Befund: Cross-Origin-Opener-Policy fehlt - Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- Befund: Cross-Origin-Resource-Policy fehlt - Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- Befund: Referrer-Policy fehlt - Header `referrer-policy` setzen und nach Deployment erneut prüfen.
- Befund: Permissions-Policy fehlt - Header `permissions-policy` setzen und nach Deployment erneut prüfen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.

### Drittlandtransfer und Anbieter prüfen
- Priorität: hoch / Owner: Legal/Datenschutz / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen
- Befund: Drittland-/US-Anbieter im Browseraufruf prüfen - Für Anbieter wie ajax.googleapis.com Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: US-/Drittlandhosts, Anbieterrolle und Transfergrundlage erneut prüfen.

### Externe Skripte und SRI absichern
- Priorität: niedrig / Owner: IT/Webentwicklung / Phase: quartalsweise
- Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern
- Befund: Externe Skripte ohne Subresource Integrity - Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.

## Tracker- und Service-Mapping
- ajax.googleapis.com (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
- x-ua-device (cookie_storage): Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
- ajax.googleapis.com (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.

## CMS-/Shop- und Deployment-Playbooks
### Joomla
Joomla-Templates, Erweiterungen und Cookie-Plugins nach Updates gegen echte Browserkontakte prüfen.
- Owner: Webbetrieb/IT/Datenschutz / Technik-Nachweis: https://saferpage.de/technik/easyfunshop.de/export / Re-Scan: https://saferpage.de/?url=easyfunshop.de
- [ ] Joomla Core, Templates und Erweiterungen aktualisieren; veraltete Erweiterungen entfernen.
- [ ] Template-Overrides und Module nach externen Skripten, Fonts, Maps, Videos, Captchas und Pixeln prüfen.
- [ ] Cookie-/Consent-Erweiterung so konfigurieren, dass nicht notwendige Dienste erst nach Einwilligung laden.
- [ ] Security-Header und HTTPS-Weiterleitungen im Hosting/Webserver setzen und Re-Scan ausführen.
- Abnahme: Template-/Extension-Änderungen dokumentiert.
- Abnahme: Consent-Test zeigt keine vorzeitigen Trackingkontakte.
- Abnahme: Fix-Guides sind abgearbeitet.
> Grenze: Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen.

### CMS / Website-Deployment
SaferPage erkennt ein CMS-/Website-Signal, aber keine sichere Plattform. Patchstand, Erweiterungen, Templates, Consent und externe Dienste manuell abgleichen.
- Owner: Webbetrieb/IT/Datenschutz / Technik-Nachweis: https://saferpage.de/technik/easyfunshop.de/export / Re-Scan: https://saferpage.de/?url=easyfunshop.de
- [ ] CMS, Theme, Plugins/Extensions, Page Builder, Tag Manager und Hosting/CDN inventarisieren.
- [ ] Nicht notwendige Skripte, Cookies, Fonts, Maps, Videos und Pixel vor Consent blockieren.
- [ ] Datenschutzerklärung, Anbieterregister, Cookie-Liste und Impressum gegen die reale Browser-Evidence abgleichen.
- [ ] Nach jeder Änderung Re-Scan ausführen und Exportpaket als Nachweis sichern.
- Abnahme: Plattform und Erweiterungen sind dokumentiert.
- Abnahme: Consent- und Anbieterbefunde sind geschlossen oder begründet.
- Abnahme: Re-Scan zeigt keine neuen kritischen Signale.
> Grenze: Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen.

## Evidence-first-Grenze
Fix-Guides trennen Scan-Evidence, Betreiberkontext und Nicht-behaupten-Grenzen, bevor Betreiber Tickets umsetzen oder externe Aussagen ableiten.
> Claim-Grenze: Diese Betreiberseite ist ein Umsetzungs- und Review-Playbook. Konkrete Findings bleiben an Scan-Evidence gebunden; allgemeine Betreiberaufgaben sind Kontext und müssen fachlich freigegeben werden.

### Aus Scan belegt
- **Gespeicherter Kurzreport**: Scan-ID, Zeitpunkt, Score, Befunde, Screenshot, HTTP/TLS/Header und direkte Test-URLs. Nachweis: https://saferpage.de/easyfunshop.de
- **Formular-Coverage**: Crawl-Evidence: 2 Formular(e). Nachweis: https://saferpage.de/abdeckung/easyfunshop.de/export
- **Browserkontakte und Cookies**: 45 Request(s), 1 Drittanbieter-Domain(s), 1 Cookie(s) vor Einwilligung. Nachweis: https://saferpage.de/cookies/easyfunshop.de
- **Google-Consent-Anwendbarkeit**: Google-Tag-/Domain-/ID-Evidence vorhanden; Consent-Mode-Prüfung ist begründet. Nachweis: https://saferpage.de/easyfunshop.de/top-fixes-json

### Betreiberkontext, nicht gescannt
- Rechtsgrundlagen, Zwecke, Pflichtfelder, Löschfristen und Empfänger je Formular.
- Interne Systeme, CRM-/Support-Flüsse, Login-, Checkout-, Paywall- und nachgelagerte Verarbeitung.
- AVV/DPA, TOMs, Transfer Impact Assessments, Anbieterakten und interne Freigaben.
- Spätere CMP-, Tag-Manager-, Release- oder Content-Änderungen nach dem gespeicherten Scan.

### Nicht behaupten
- Keine DSGVO-Konformität, Rechtsfreigabe oder Zertifizierung behaupten.
- Keinen Google-Consent-Mode-Fehler behaupten, wenn keine Google-Tag-Evidence vorliegt.
- Keine fehlende Betreibertransparenz als Tatsache behaupten, wenn Consent-Wall, Paywall, Login oder Geoblocking den Scan begrenzen.
- Keine Formularübermittlung, Zahlungsprüfung oder Backend-Validierung behaupten; SaferPage sendet keine Formulare ab.

## Fehlalarm- und Grenzen-Review
Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.
### Consent-Wall, Paywall oder Overlay einordnen
- Frage: Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?
- Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.
- Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.
- Nachweis: https://saferpage.de/easyfunshop.de / Guide: https://saferpage.de/methodik
> Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.

### Google Consent Mode nur bei Google-Evidenz fordern
- Frage: Wurden GTM, gtag, Analytics, Ads oder eine Google-Tracking-ID wirklich gesehen?
- Betreiberaktion: Google-Tags, Zwecke, Consent Defaults und Tag-Gating anhand der konkreten Request-/Script-Evidence prüfen.
- Abnahme: Google-Dienst ist inventarisiert, Consent Default ist belegt und Re-Scan bestätigt das Gating.
- Nachweis: https://saferpage.de/easyfunshop.de/top-fixes-json / Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
> Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.

### Formular-Coverage gegen Startseiten-Sample abgleichen
- Frage: Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?
- Betreiberaktion: Alle 2 Formular(e) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen.
- Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.
- Nachweis: https://saferpage.de/abdeckung/easyfunshop.de/export / Guide: https://saferpage.de/guides/formulare-datenschutzkonform-absichern
> Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Die Zählung basiert auf gespeicherter Crawl- und Formular-Evidence.

### Cookies nach Zweck statt pauschal bewerten
- Frage: Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?
- Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.
- Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.
- Nachweis: https://saferpage.de/cookies/easyfunshop.de / Guide: https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen
> Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.

### Score und Warntexte als Priorisierung formulieren
- Frage: Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?
- Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.
- Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.
- Nachweis: https://saferpage.de/evidence/report-quality-smoke.json / Guide: https://saferpage.de/methodik
> Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.

### Aussage-Ampel und Claim-Grenzen übernehmen
- Frage: Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?
- Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.
- Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.
- Nachweis: https://saferpage.de/easyfunshop.de / Guide: https://saferpage.de/methodik
> Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.