# Betreiber-Fix-Guides fuer egovernment.de egovernment.de: 17 priorisierte Betreiber-Guide(s) aus 50 Befund(en). > Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben. ## Phasen - **Triage** (0-48 Stunden): Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern. - **Fix umsetzen** (0-14 Tage): Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren. - **Nutzertexte synchronisieren** (parallel): Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen. - **Re-Scan und Freigabe** (nach Deployment): Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen. ## Guide-Streams ### Tracking und Consent reparieren - Priorität: hoch / Owner: Marketing/IT/Datenschutz / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/tracking-und-consent-reparieren - Befund: Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren - Befund mit Betreiber-Guide beheben und danach erneut scannen. - Befund: Datenschutz, Cookies & Consent - Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären. - Befund: Möglicherweise nicht notwendige Cookies vor Einwilligung - Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen. - Befund: Tracking ohne sichtbaren Cookie-Hinweis - Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird. - Befund: Consent-Zustand: Ablehnen löst weiterhin Datenschutz-Signale aus - Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren. - Befund: Tracking-Hinweise im Browser-Storage - LocalStorage und SessionStorage wie Cookies inventarisieren und nicht notwendige IDs an Consent koppeln. - Befund: Datenschutzrelevante Kontakte trotz GPC-Signal - Bei aktivem Global Privacy Control sollten Anbieter wie Google Tag Manager besonders begründet oder blockiert werden. - Befund: Tracking-Hinweise im Storage trotz GPC-Signal - Bei Global Privacy Control sollten Tracking-IDs in LocalStorage und SessionStorage vermieden oder klar an Opt-out gekoppelt werden. - Befund: Consent-Zustand: GPC mit Tracking-Hinweisen - GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen. ### SEO-Spam und Cloaking bereinigen - Priorität: hoch / Owner: Webbetrieb/SEO/Security / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen - Befund: Versteckter Text erkannt - Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen. ### Impressum und Kontakt sichtbar machen - Priorität: hoch / Owner: Legal/Content / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen - Befund: Kein Impressum-Link erkannt - Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein. - Befund: Impressum, Kontakt & Datenschutzerklärung - Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen. ### Formulare und Zahlungen absichern - Priorität: hoch / Owner: Webentwicklung/Datenschutz / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/formulare-datenschutzkonform-absichern - Befund: Dateneingabe ohne klaren Datenschutzkontext - Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen. - Befund: Formulare, Login & Zahlung - Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen. ### Referrer- und URL-Leaks vermeiden - Priorität: hoch / Owner: Webentwicklung/IT / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden - Befund: Drittanbieter können vollen Referrer-Kontext erhalten - Referrer-Policy prüfen und für Anbieter wie cdn2.vogel.de, b.delivery.consentmanager.net mindestens strict-origin-when-cross-origin oder strenger setzen. - Befund: Seiten-URL wird in Drittanbieter-Requests übertragen - Tracking-/Tag-Parameter für Anbieter wie cdn2.vogel.de, b.delivery.consentmanager.net so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden. - Befund: Referrer & URL-Leaks - Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Referrer-Header und Query-Parameter in Request-Samples kontrollieren. ### Google-Dienste datenschutzfreundlich einbinden - Priorität: hoch / Owner: Marketing/IT / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden - Befund: Google Consent Mode Default nicht erkannt - Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied. - Befund: Google-Tags ohne klaren Consent-Kontext - Google Analytics, Ads, Tag Manager, Fonts, Maps oder YouTube in Consent-Banner und Datenschutzerklärung konkret erklären. - Befund: Google-Dienste & Drittanbieter - Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern. - Befund: Google-Dienste - Befund mit Betreiber-Guide beheben und danach erneut scannen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Google-Requests vor und nach Consent vergleichen. ### PII- und URL-Datenlecks vermeiden - Priorität: hoch / Owner: Webentwicklung/IT / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden - Befund: Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf - Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: URLs, Referrer, Logs und Drittanbieter-Requests auf personenbezogene Werte prüfen. ### Tracking-Pixel und Beacons begrenzen - Priorität: hoch / Owner: Marketing/IT / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen - Befund: Beacon-/Keepalive-Telemetrie erkannt - navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen. - Befund: Tracking-Pixel & Beacons - Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen. - Befund: Tracking-Pixel oder pixelnahe Requests erkannt - Pixel von b.delivery.consentmanager.net erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren. ### Drittanbieter im Datenschutz erklären - Priorität: hoch / Owner: Legal/Vendor Owner / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren - Befund: Erkannte Anbieter fehlen in der Datenschutzerklärung - Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen. - Befund: Anbieterakten, AVV/DPA und Transfers priorisiert schließen - Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren. - Befund: Browser-Nachweis - Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden. - Befund: Datenschutzrelevante Drittanbieter im Browseraufruf - Prüfen, ob Anbieter wie Google Tag Manager in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen. ### Datenschutzerklärung verbessern - Priorität: hoch / Owner: Datenschutz/Content / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/datenschutzerklaerung-verbessern - Befund: Kein klarer Datenschutz-Hinweis erkannt - Eine gut auffindbare Datenschutzerklärung verlinken. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen. ### Barrierefreiheit bei Bannern und Formularen prüfen - Priorität: hoch / Owner: UX/Content/IT / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare - Befund: Buttons ohne erkennbaren Namen - Buttons mit sichtbarem Text oder aria-label beschriften. - Befund: Barrierefreiheit & Usability - Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen. - Befund: Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen - Befund mit Betreiber-Guide beheben und danach erneut scannen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen. ### Security-Header setzen - Priorität: hoch / Owner: IT/Security / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/security-header-setzen - Befund: HSTS fehlt - Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Befund: Sicherheit, TLS & Header - HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Befund: Security-Header, Referrer-Policy und Browser-Schutz setzen - Befund mit Betreiber-Guide beheben und danach erneut scannen. - Befund: CSP ohne object-src - object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden. - Befund: CSP ohne base-uri - base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird. - Befund: Cross-Origin-Embedder-Policy fehlt - Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen. - Befund: Cross-Origin-Opener-Policy fehlt - Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen. - Befund: Cross-Origin-Resource-Policy fehlt - Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen. - Befund: Referrer-Policy fehlt - Header `referrer-policy` setzen und nach Deployment erneut prüfen. - Befund: Permissions-Policy fehlt - Header `permissions-policy` setzen und nach Deployment erneut prüfen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen. ### Drittlandtransfer und Anbieter prüfen - Priorität: hoch / Owner: Legal/Datenschutz / Phase: 0-7 Tage - Guide: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen - Befund: Drittland-/US-Anbieter im Browseraufruf prüfen - Für Anbieter wie Google Tag Manager Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen. - Befund: Anbieter-Jurisdiktion nicht klar ableitbar - Unklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: US-/Drittlandhosts, Anbieterrolle und Transfergrundlage erneut prüfen. ### Servicekarte und Anbieterinventar aufbauen - Priorität: mittel / Owner: Datenschutz/Marketing/IT / Phase: 7-30 Tage - Guide: https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen - Befund: Drittanbieter aus Browserkontakten einem Dienst zuordnen - Servicekarte je Anbieter anlegen und Datenschutzhinweis, CMP und Anbieterregister synchronisieren. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Anbieter-Radar, Cookie-Inventar und Browserkontakte gegen die Servicekarten abgleichen. ### Session-Replay und Fingerprinting prüfen - Priorität: niedrig / Owner: Marketing/Datenschutz / Phase: quartalsweise - Guide: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen - Befund: Viele Tastatur-/Eingabe-Listener im Browser erkannt - Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen. ### Externe Skripte und SRI absichern - Priorität: niedrig / Owner: IT/Webentwicklung / Phase: quartalsweise - Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern - Befund: Tracking-/Tag-Skripte aus externer Lieferkette - Tracking-, Tag-Manager- und Replay-Skripte erst nach Einwilligung laden und mit CSP, Anbieterinventar und Datenschutzerklärung abgleichen. - Befund: Externe Skripte ohne Subresource Integrity - Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen. ### Datenschutz-Webseiten-Prüfkatalog umsetzen - Priorität: niedrig / Owner: Programm-Owner/Datenschutz / Phase: quartalsweise - Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog - Befund: Tracking-Signale auf geprüften Unterseiten - Tracking und Drittanbieter nicht nur auf der Startseite, sondern auch auf Pflicht- und Formularseiten prüfen. - [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern. - [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren. - [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen. - [ ] Re-Test und Abschluss: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen. ## Tracker- und Service-Mapping - googletagmanager.com (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - cdn.consentmanager.net (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - cdn2.vogel.de (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - cdn1.vogel.de (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - b.delivery.consentmanager.net (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - cp.egovernment.de (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - p7i.vogel.de (vendor): Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen. - INFINITYWATCHER (cookie_storage): Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen. - googletagmanager.com (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. - cdn2.vogel.de (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. - cdn1.vogel.de (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. - cdn.consentmanager.net (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. - cp.egovernment.de (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. - b.delivery.consentmanager.net (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. - p7i.vogel.de (browser_request): Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren. ## CMS-/Shop- und Deployment-Playbooks ### Allgemeines Website-Deployment Wenn kein eindeutiges CMS sichtbar ist, Release, Consent, Drittanbieter, Security-Header und Nachweise wie bei einem CMS-Update behandeln. - Owner: Webbetrieb/IT/Datenschutz / Technik-Nachweis: https://saferpage.de/technik/egovernment.de/export / Re-Scan: https://saferpage.de/?url=egovernment.de - [ ] Deployment-Quelle, Hosting/CDN, externe Skripte, Consent-Tool und wichtige Templates inventarisieren. - [ ] Alle nicht notwendigen Drittanbieter vor Einwilligung blockieren und Anbieterzwecke dokumentieren. - [ ] Security-Header, HTTPS/HSTS, Referrer-Policy, CSP und Cookie-Attribute prüfen. - [ ] Nach Änderungen Re-Scan, Screenshot, JSON/CSV und Fix-Guides ablegen. - Abnahme: Release-Änderung ist nachvollziehbar. - Abnahme: Drittanbieter-/Cookie-Abgleich ist aktualisiert. - Abnahme: Re-Scan und Nachweise sind verlinkt. > Grenze: Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. ## Fehlalarm- und Grenzen-Review Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording. ### Consent-Wall, Paywall oder Overlay einordnen - Frage: Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen? - Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen. - Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert. - Nachweis: https://saferpage.de/egovernment.de / Guide: https://saferpage.de/methodik > Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz. ### Google Consent Mode nur bei Google-Evidenz fordern - Frage: Wurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen? - Betreiberaktion: Google-Tags, Zwecke, Consent Defaults und Tag-Gating anhand der konkreten Request-/Script-Evidence prüfen. - Abnahme: Google-Dienst ist inventarisiert, Consent Default ist belegt und Re-Scan bestätigt das Gating. - Nachweis: https://saferpage.de/egovernment.de/top-fixes-json / Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden > Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan. ### Formular-Coverage gegen Startseiten-Sample abgleichen - Frage: Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten? - Betreiberaktion: Alle 2 Formular(e) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen. - Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar. - Nachweis: https://saferpage.de/abdeckung/egovernment.de/export / Guide: https://saferpage.de/guides/formulare-datenschutzkonform-absichern > Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. ### Cookies nach Zweck statt pauschal bewerten - Frage: Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing? - Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen. - Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung. - Nachweis: https://saferpage.de/cookies/egovernment.de / Guide: https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen > Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext. ### Score und Warntexte als Priorisierung formulieren - Frage: Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil? - Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden. - Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims. - Nachweis: https://saferpage.de/evidence/report-quality-smoke.json / Guide: https://saferpage.de/methodik > Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit. ### Aussage-Ampel und Claim-Grenzen übernehmen - Frage: Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen? - Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren. - Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims. - Nachweis: https://saferpage.de/egovernment.de / Guide: https://saferpage.de/methodik > Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.