{ "schema": "https://saferpage.de/schemas/operator-fix-guide-package.v1", "generated_at": "2026-06-10T08:34:53+00:00", "domain": "elearning.cas.dhbw.de", "available": true, "scan": { "id": "e268435f-8659-48ff-9327-07fa0b7c9f11", "checked_at": "2026-06-10 06:05:33.214916+02" }, "summary": "elearning.cas.dhbw.de: 12 priorisierte Betreiber-Guide(s) aus 32 Befund(en).", "metrics": { "issue_count": 32, "guide_count": 12, "high_priority_count": 13, "medium_priority_count": 6, "tracker_task_count": 3, "remediation_ticket_count": 35, "high_ticket_count": 13, "acceptance_count": 36, "source_count": 16 }, "guide_streams": [ { "guide_slug": "sichtbare-versionen-und-cves-beheben", "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "title": "Sichtbare Versionen und CVE-Hinweise beheben", "intro": "Sichtbare veraltete Versionen können ein Risiko sein und sollten gegen Herstellerhinweise geprüft werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Vulnerability Hygiene", "owner": "IT/Security", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "known_vulnerability_advisory", "area": "vulnerability", "title": "CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "sichtbare-versionen-und-cves-beheben", "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "source": "finding" } ], "guide_steps": [ "Aktualisieren Sie CMS, Plugins, Themes, Frameworks und JavaScript-Bibliotheken.", "Entfernen Sie unnötige Versionshinweise aus Headern und Generator-Meta-Tags.", "Prüfen Sie CVE-Hinweise gegen den tatsächlichen Paketstand, besonders bei Distributionen mit Backports." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Generator-, Header- und Bibliothekssignale erneut prüfen.", "evidence": "Patchstand, Herstellerhinweis, CVE-Bewertung, Backport-Nachweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Generator-, Header- und Bibliothekssignale erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" } ] }, { "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "title": "SEO-Spam und Cloaking bereinigen", "intro": "Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Trust & Content Integrity", "owner": "Webbetrieb/SEO/Security", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "hidden_text", "area": "seo", "title": "Versteckter Text erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" } ], "guide_steps": [ "Entfernen Sie versteckte Linklisten, Keyword-Stuffing und automatisch erzeugte Doorway-Seiten.", "Vergleichen Sie normalen Abruf und Googlebot-Abruf auf Weiterleitungen und sichtbare Inhalte.", "Prüfen Sie CMS, Themes und Plugins auf Schadcode, wenn solche Muster unerwartet auftauchen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webbetrieb/SEO/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webbetrieb/SEO/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "evidence": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "sources": [ { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "title": "Tracking und Consent reparieren", "intro": "Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Consent & Tracking", "owner": "Marketing/IT/Datenschutz", "effort": "mittel", "issue_count": 4, "issues": [ { "id": "consent_no_reject_option", "area": "privacy", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "consent_accept_only", "area": "privacy", "title": "Consent wirkt wie Nur-Akzeptieren", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Cookie-Auswahl und Ablehnen-Option sichtbar anbieten.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "module_privacy_consent", "area": "Audit-Modul", "title": "Datenschutz, Cookies & Consent", "priority": "hoch", "impact_score": 50, "evidence": "0 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 50.", "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "audit_module" }, { "id": "consent_preconsent_gap", "area": "Consent & Tracking", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "hoch", "impact_score": 50, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing/IT", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "consent_audit" } ], "guide_steps": [ "Blockieren Sie Analytics-, Ads-, Pixel- und Remarketing-Skripte bis zur aktiven Zustimmung.", "Nutzen Sie CMP-Autoblocking oder neutrale Script-/Iframe-Attribute wie type=\"text/plain\" beziehungsweise data-cookieblock-src, damit Quellen nicht vor Consent laden.", "Bieten Sie Ablehnen und Akzeptieren gleich sichtbar an; vermeiden Sie reine Akzeptieren-Banner.", "Dokumentieren Sie Anbieter, Zwecke, Rechtsgrundlagen und Widerruf in der Datenschutzerklärung.", "Testen Sie die Startseite im Inkognito-Fenster ohne Zustimmung und prüfen Sie, ob Trackingkontakte ausbleiben." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "title": "Google-Dienste datenschutzfreundlich einbinden", "intro": "Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Google-Dienste", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "google_consent_mode_missing", "area": "privacy", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "finding" }, { "id": "module_google_third_parties", "area": "Audit-Modul", "title": "Google-Dienste & Drittanbieter", "priority": "mittel", "impact_score": 42, "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "operator_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "audit_module" }, { "id": "google_consent_gap", "area": "Google Consent Mode und Tags reparieren", "title": "Google-Dienste", "priority": "mittel", "impact_score": 42, "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing Ops/Webentwicklung", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "google_consent" } ], "guide_steps": [ "Blockieren Sie Google Analytics, Google Tag Manager, Ads und vergleichbare Tags bis zur aktiven Einwilligung.", "Setzen Sie Consent Mode defaults vor dem ersten Google-Tag auf denied und feuern Sie config/event erst nach dem passenden Consent.", "Hosten Sie Google Fonts lokal oder entfernen Sie Remote-Font-Requests zu fonts.googleapis.com und fonts.gstatic.com.", "Laden Sie Maps, YouTube und reCAPTCHA erst nach Klick, Einwilligung oder auf klar begründeten Formularseiten.", "Nennen Sie Google-Dienste konkret in Datenschutzerklärung und Consent-Oberfläche, inklusive Zweck, Anbieter und Widerruf." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Google-Requests vor und nach Consent vergleichen.", "evidence": "Consent-Mode-Defaults, Tag-Manager-Regeln, Anbieterzwecke." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Google-Requests vor und nach Consent vergleichen.", "sources": [ { "label": "DSK/BfDI: Hinweise zu Google Analytics", "url": "https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/99DSK_Google-Analytics.pdf?__blob=publicationFile&v=3" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" }, { "label": "Google Consent Mode concepts", "url": "https://developers.google.com/tag-platform/security/concepts/consent-mode" }, { "label": "Google Fonts Privacy FAQ", "url": "https://developers.google.com/fonts/faq/privacy" } ] }, { "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "title": "Datenschutzerklärung verbessern", "intro": "Eine gute Datenschutzerklärung erklärt für Nutzer verständlich, welche Daten verarbeitet werden und warum.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Transparenz", "owner": "Datenschutz/Content", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "privacy_policy_too_thin", "area": "privacy", "title": "Datenschutzhinweis wirkt sehr dünn", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Datenschutzerklärung sollte Verarbeitung, Rechtsgrundlagen, Cookies/Drittanbieter und Betroffenenrechte nachvollziehbar erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "source": "finding" } ], "guide_steps": [ "Verlinken Sie die Datenschutzerklärung gut sichtbar im Footer und in Formularnähe.", "Nennen Sie Zwecke, Rechtsgrundlagen, Empfänger/Drittanbieter, Speicherdauer und Betroffenenrechte.", "Erklären Sie Cookies, Tracking, Kontaktformulare, Newsletter und Zahlungsanbieter konkret statt nur allgemein.", "Pflegen Sie ein sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach neuen Tools, Cookies oder Formularen erneut.", "Nennen Sie einen Datenschutzkontakt oder den Datenschutzbeauftragten-Hinweis so, dass Nutzer Anfragen ohne Suchen stellen können.", "Strukturieren Sie lange Absätze mit klaren Zwischenüberschriften und kurzen Sätzen, damit auch nicht-juristische Nutzer die Hinweise verstehen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Datenschutz/Content", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Datenschutz/Content", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "evidence": "Versionierter Datenschutzhinweis, Änderungsdatum, Freigabeprotokoll." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "cookies-sicher-konfigurieren", "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "title": "Cookies sicher konfigurieren", "intro": "Cookies sollten technisch sauber gesetzt sein und nicht mehr Daten preisgeben als nötig.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Cookie Security", "owner": "IT/Webbetrieb", "effort": "klein", "issue_count": 2, "issues": [ { "id": "cookie_missing_secure", "area": "privacy", "title": "Cookie ohne Secure-Flag", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Cookies über HTTPS mit Secure-Flag setzen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "cookies-sicher-konfigurieren", "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "source": "finding" }, { "id": "cookie_missing_samesite", "area": "privacy", "title": "Cookie ohne SameSite-Attribut", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "cookies-sicher-konfigurieren", "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "source": "finding" } ], "guide_steps": [ "Setzen Sie Secure für Cookies, die nur über HTTPS übertragen werden sollen.", "Setzen Sie SameSite=Lax oder SameSite=Strict, wenn fachlich möglich.", "Trennen Sie notwendige Session-Cookies von Tracking- oder Marketing-Cookies." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webbetrieb", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webbetrieb", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.", "evidence": "Set-Cookie-Belege, Konfigurationsdiff, Re-Scan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "title": "Datenschutz-Webseiten-Prüfkatalog umsetzen", "intro": "Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Programmsteuerung", "owner": "Programm-Owner/Datenschutz", "effort": "hoch", "issue_count": 3, "issues": [ { "id": "important_pages_not_discovered", "area": "crawl", "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "finding" }, { "id": "module_site_coverage", "area": "Audit-Modul", "title": "Seitenabdeckung & Crawl", "priority": "mittel", "impact_score": 32, "evidence": "3 interne Linkziele erkannt, 3 priorisierte Unterseite(n) abgerufen.", "operator_action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "audit_module" }, { "id": "coverage_gap", "area": "Crawl-Abdeckung", "title": "Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken", "priority": "mittel", "impact_score": 32, "evidence": "3 interne Linkziele erkannt (0 aus Sitemap), 3 priorisierte Unterseite(n) zusätzlich abgerufen.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Webbetrieb/SEO", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "coverage" } ], "guide_steps": [ "Inventarisieren Sie alle eingebundenen Komponenten: Hosting, CDN, Cookies, Local Storage, Analyse, Tag Manager, Karten, Videos, Fonts, Captchas, Formulare und Newsletter.", "Prüfen Sie Erstaufruf, Ablehnen und Zustimmung getrennt: Netzwerkrequests, Cookies, Storage, Screenshot und DOM-Zustand müssen je Consent-Zustand dokumentiert werden.", "Gleichen Sie Datenschutzerklärung und Consent-Banner gegen die tatsächlich geladenen Dienste und Domains ab.", "Trennen Sie Serverebene und Seitenebene: DNS/TLS/Header/Logs gehören zum Betrieb, Banner/Formulare/Drittinhalte zur Website-Implementierung.", "Halten Sie Sitemap und robots.txt aktuell, damit Datenschutz-, Impressums-, Kontakt-, Formular- und Cookie-Seiten maschinell gefunden und geprüft werden können.", "Ordnen Sie Befunde nach Regelwerksbereich: DSGVO-Transparenz, TDDDG/ePrivacy-Consent, BSI-Sicherheit, BITV/Usability und Google-/Drittanbieter-Spezialthemen.", "Planen Sie Regressionstests quartalsweise oder nach jedem Relaunch, Plugin-Update und Consent-Tool-Wechsel." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Programm-Owner/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Programm-Owner/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.", "evidence": "Prioritätenliste, Owner, Exportpaket, Re-Scan und Freigabe." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" } ] }, { "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "title": "Security-Header setzen", "intro": "Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Web Security", "owner": "IT/Security", "effort": "mittel", "issue_count": 12, "issues": [ { "id": "missing_x_frame_options", "area": "security_headers", "title": "X-Frame-Options fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_x_content_type_options", "area": "security_headers", "title": "X-Content-Type-Options fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "module_security_tls", "area": "Audit-Modul", "title": "Sicherheit, TLS & Header", "priority": "mittel", "impact_score": 42, "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 1.", "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "audit_module" }, { "id": "security_header_gap", "area": "Security", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "impact_score": 42, "evidence": "2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 3 Hinweis(e).", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "IT/Security", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "security_header" }, { "id": "csp_missing_frame_ancestors", "area": "security_headers", "title": "Kein CSP-frame-ancestors oder X-Frame-Options", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "frame-ancestors 'none' oder 'self' setzen, alternativ X-Frame-Options als Basisschutz nutzen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "csp_missing_object_src", "area": "security_headers", "title": "CSP ohne object-src", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "csp_missing_base_uri", "area": "security_headers", "title": "CSP ohne base-uri", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_embedder_policy", "area": "security_headers", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_opener_policy", "area": "security_headers", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_resource_policy", "area": "security_headers", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_referrer_policy", "area": "security_headers", "title": "Referrer-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_permissions_policy", "area": "security_headers", "title": "Permissions-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" } ], "guide_steps": [ "Setzen Sie HSTS nach erfolgreichem HTTPS-Test.", "Nutzen Sie Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy.", "Starten Sie mit einer vorsichtigen CSP im Report-Only-Modus und verschärfen Sie sie schrittweise.", "Entfernen Sie unsafe-inline, unsafe-eval, Wildcards und reine http:-Quellen aus script-src, sobald Nonces, Hashes oder konkrete Hosts funktionieren.", "Setzen Sie base-uri und object-src restriktiv, typischerweise base-uri self und object-src none.", "Nutzen Sie frame-ancestors oder X-Frame-Options, damit fremde Seiten die Website nicht ungewollt einbetten." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "evidence": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" } ] }, { "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "title": "Drittanbieter im Datenschutz erklären", "intro": "Externe Browserkontakte müssen für Nutzer nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.", "priority": "hoch", "impact_score": 84, "phase": "0-7 Tage", "area": "Drittanbieter", "owner": "Legal/Vendor Owner", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "vendor_contract_transfer_fix", "area": "Anbieter & Transfer", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "impact_score": 84, "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).", "operator_action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "owner": "Legal/Vendor Owner", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "vendor_due_diligence" } ], "guide_steps": [ "Erstellen Sie eine Liste aller externen Domains, die beim ersten Seitenaufruf geladen werden.", "Ordnen Sie jeden Anbieter einem Zweck zu: Hosting/CDN, Fonts, Consent, Analytics, Werbung, Zahlung oder Support.", "Dokumentieren Sie pro Anbieter Empfängerrolle, Anbieterland, Transfergrundlage, AVV/Vertrag und Widerrufs- oder Opt-out-Möglichkeit.", "Reduzieren Sie unnötige Drittanbieter und erklären Sie die übrigen verständlich in Cookie-Auswahl und Datenschutzhinweisen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Vendor Owner", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Vendor Owner", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "evidence": "Anbieterregister, AVV/DPA-Status, Transferbewertung, Datenschutzhinweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "impressum-und-kontakt-sichtbar-machen", "guide_url": "https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen", "title": "Impressum und Kontakt sichtbar machen", "intro": "Für deutschsprachige Nutzer sind klare Betreiberangaben ein zentrales Vertrauenssignal.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Betreibertransparenz", "owner": "Legal/Content", "effort": "klein", "issue_count": 1, "issues": [ { "id": "operator_identity_unclear", "area": "privacy", "title": "Betreiberidentität wirkt unklar", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "impressum-und-kontakt-sichtbar-machen", "guide_url": "https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen", "source": "finding" } ], "guide_steps": [ "Verlinken Sie das Impressum gut sichtbar von jeder Seite, typischerweise im Footer.", "Nennen Sie Betreibername, ladungsfähige Anschrift und eine schnelle Kontaktmöglichkeit.", "Achten Sie darauf, dass Impressum, Domain, Marke und Zahlungsanbieter zusammenpassen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Content", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Content", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.", "evidence": "Impressumsseite, Kontaktweg, Footer-Link, Änderungsdatum." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" } ] }, { "guide_slug": "session-replay-und-fingerprinting-pruefen", "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen", "title": "Session-Replay und Fingerprinting prüfen", "intro": "Fingerprinting, Session-Replay und Eingabeaufzeichnung sind besonders erklärungsbedürftig, weil Nutzer sie beim Seitenbesuch kaum erkennen können.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Behavior Tracking", "owner": "Marketing/Datenschutz", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "browser_keystroke_listener_signals", "area": "privacy", "title": "Viele Tastatur-/Eingabe-Listener im Browser erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "session-replay-und-fingerprinting-pruefen", "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen", "source": "finding" } ], "guide_steps": [ "Laden Sie Session-Replay-, Heatmap- und Verhaltenstracking-Skripte erst nach aktiver Einwilligung.", "Maskieren Sie Formularfelder, Suchfelder, Checkout, Login und Freitextbereiche konsequent; sensible Eingaben dürfen nicht in Replay-Daten landen.", "Prüfen Sie Canvas-, WebGL- und AudioContext-Zugriffe: entfernen Sie unnötige Bibliotheken oder dokumentieren Sie den konkreten Zweck.", "Nennen Sie Anbieter, Zwecke, Speicherdauer, Empfänger und Widerruf verständlich in Datenschutzerklärung und Consent-Oberfläche.", "Testen Sie Ablehnen und GPC separat: nach Ablehnung sollten Replay- und Fingerprinting-Skripte nicht neu geladen werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.", "evidence": "Maskierungsregeln, Zweck, Consent-Kategorie, Anbieterfreigabe." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "title": "Externe Skripte und SRI absichern", "intro": "Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Nutzer zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Browser Supply Chain", "owner": "IT/Webentwicklung", "effort": "mittel", "issue_count": 2, "issues": [ { "id": "external_script_without_sri", "area": "security_headers", "title": "Externe Skripte ohne Subresource Integrity", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "finding" }, { "id": "missing_meta_description", "area": "content", "title": "Meta-Description fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "finding" } ], "guide_steps": [ "Führen Sie ein Skriptinventar mit Host, Anbieter, Zweck, Kategorie, Rechtsgrundlage, Consent-Zustand und Verantwortlichem.", "Hosten Sie stabile Bibliotheken lokal, wenn kein zwingender CDN-Grund besteht.", "Setzen Sie für statische CDN-Skripte Subresource Integrity mit passendem crossorigin-Attribut und aktualisieren Sie Hashes bei Versionswechseln.", "Beschränken Sie erlaubte Skriptquellen über eine Content-Security-Policy und testen Sie Änderungen zuerst im Report-Only-Modus.", "Laden Sie Tracking-, Tag-Manager-, Ads-, Analytics- und Session-Replay-Skripte erst nach passender Einwilligung.", "Prüfen Sie nach jedem Plugin-, Theme-, Consent-Tool- oder Tag-Manager-Update erneut, ob neue externe Skriptquellen hinzugekommen sind." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webentwicklung", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webentwicklung", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "evidence": "Skriptinventar, SRI-Hashes, CSP-Report-Only-Test." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Subresource Integrity", "url": "https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] } ], "remediation_tickets": [ { "id": "remediation_vendor_contract_transfer_fix", "type": "befund_fix", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "owner": "Legal/Vendor Owner", "area": "Anbieter & Transfer", "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).", "action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "vendor_due_diligence", "sla": "7 Tage" }, { "id": "remediation_known_vulnerability_advisory", "type": "befund_fix", "title": "CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "vulnerability", "evidence": "", "action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_consent_accept_only", "type": "befund_fix", "title": "Consent wirkt wie Nur-Akzeptieren", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Cookie-Auswahl und Ablehnen-Option sichtbar anbieten.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_cookie_missing_secure", "type": "befund_fix", "title": "Cookie ohne Secure-Flag", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Cookies über HTTPS mit Secure-Flag setzen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_consent_no_reject_option", "type": "befund_fix", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_module_privacy_consent", "type": "befund_fix", "title": "Datenschutz, Cookies & Consent", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 50.", "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_privacy_policy_too_thin", "type": "befund_fix", "title": "Datenschutzhinweis wirkt sehr dünn", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Datenschutzerklärung sollte Verarbeitung, Rechtsgrundlagen, Cookies/Drittanbieter und Betroffenenrechte nachvollziehbar erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_google_consent_mode_missing", "type": "befund_fix", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_consent_preconsent_gap", "type": "befund_fix", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "hoch", "owner": "Marketing/IT", "area": "Consent & Tracking", "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "consent_audit", "sla": "7 Tage" }, { "id": "remediation_hidden_text", "type": "befund_fix", "title": "Versteckter Text erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_important_pages_not_discovered", "type": "befund_fix", "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "crawl", "evidence": "", "action": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_x_content_type_options", "type": "befund_fix", "title": "X-Content-Type-Options fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_x_frame_options", "type": "befund_fix", "title": "X-Frame-Options fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_google_consent_gap", "type": "befund_fix", "title": "Google-Dienste", "priority": "mittel", "owner": "Marketing Ops/Webentwicklung", "area": "Google Consent Mode und Tags reparieren", "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "google_consent", "sla": "30 Tage" }, { "id": "remediation_module_google_third_parties", "type": "befund_fix", "title": "Google-Dienste & Drittanbieter", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "mapping_cookie_moodlesession", "type": "service_mapping", "title": "MoodleSession", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "elearning.cas.dhbw.de", "action": "Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "evidence_url": "https://saferpage.de/cookies/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "remediation_security_header_gap", "type": "befund_fix", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "owner": "IT/Security", "area": "Security", "evidence": "2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. CSP wirksam mit 1 Direktive(n), 0 Warnung(en), 3 Hinweis(e).", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "security_header", "sla": "30 Tage" }, { "id": "remediation_module_site_coverage", "type": "befund_fix", "title": "Seitenabdeckung & Crawl", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "3 interne Linkziele erkannt, 3 priorisierte Unterseite(n) abgerufen.", "action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_module_security_tls", "type": "befund_fix", "title": "Sicherheit, TLS & Header", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 1.", "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_coverage_gap", "type": "befund_fix", "title": "Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken", "priority": "mittel", "owner": "Webbetrieb/SEO", "area": "Crawl-Abdeckung", "evidence": "3 interne Linkziele erkannt (0 aus Sitemap), 3 priorisierte Unterseite(n) zusätzlich abgerufen.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "coverage", "sla": "30 Tage" }, { "id": "mapping_vendor_cdn.jsdelivr.net", "type": "service_mapping", "title": "cdn.jsdelivr.net", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "CDN", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/anbieter/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "mapping_request_cdn.jsdelivr.net", "type": "service_mapping", "title": "cdn.jsdelivr.net", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "cdn", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "evidence_url": "https://saferpage.de/anbieter/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "remediation_operator_identity_unclear", "type": "befund_fix", "title": "Betreiberidentität wirkt unklar", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_csp_missing_base_uri", "type": "befund_fix", "title": "CSP ohne base-uri", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_csp_missing_object_src", "type": "befund_fix", "title": "CSP ohne object-src", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_cookie_missing_samesite", "type": "befund_fix", "title": "Cookie ohne SameSite-Attribut", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/cookies-sicher-konfigurieren", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_embedder_policy", "type": "befund_fix", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_opener_policy", "type": "befund_fix", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_resource_policy", "type": "befund_fix", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_external_script_without_sri", "type": "befund_fix", "title": "Externe Skripte ohne Subresource Integrity", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_csp_missing_frame_ancestors", "type": "befund_fix", "title": "Kein CSP-frame-ancestors oder X-Frame-Options", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "frame-ancestors 'none' oder 'self' setzen, alternativ X-Frame-Options als Basisschutz nutzen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_meta_description", "type": "befund_fix", "title": "Meta-Description fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "content", "evidence": "", "action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_permissions_policy", "type": "befund_fix", "title": "Permissions-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_referrer_policy", "type": "befund_fix", "title": "Referrer-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_browser_keystroke_listener_signals", "type": "befund_fix", "title": "Viele Tastatur-/Eingabe-Listener im Browser erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen", "evidence_url": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "rescan_url": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "source": "finding", "sla": "quartalsweise" } ], "tracker_mapping_tasks": [ { "id": "vendor_cdn.jsdelivr.net", "label": "cdn.jsdelivr.net", "type": "vendor", "status": "prüfen", "evidence": "CDN", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "target_url": "https://saferpage.de/anbieter/elearning.cas.dhbw.de" }, { "id": "cookie_moodlesession", "label": "MoodleSession", "type": "cookie_storage", "status": "necessary", "evidence": "elearning.cas.dhbw.de", "action": "Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.", "guide_slug": "cookie-laufzeiten-und-zwecke-pruefen", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "target_url": "https://saferpage.de/cookies/elearning.cas.dhbw.de" }, { "id": "request_cdn.jsdelivr.net", "label": "cdn.jsdelivr.net", "type": "browser_request", "status": "prüfen", "evidence": "cdn", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "guide_slug": "servicekarte-und-anbieterinventar-aufbauen", "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "target_url": "https://saferpage.de/anbieter/elearning.cas.dhbw.de" } ], "phases": [ { "id": "triage", "label": "Triage", "timebox": "0-48 Stunden", "action": "Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern." }, { "id": "fix", "label": "Fix umsetzen", "timebox": "0-14 Tage", "action": "Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren." }, { "id": "content", "label": "Nutzertexte synchronisieren", "timebox": "parallel", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen." }, { "id": "rescan", "label": "Re-Scan und Freigabe", "timebox": "nach Deployment", "action": "Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen." } ], "links": { "fix_guides": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de", "json": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/export", "csv": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/export-csv", "markdown": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/playbook-md", "tickets_json": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/tickets-json", "tickets_csv": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/tickets-csv", "tickets_markdown": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/tickets-md", "tickets_delivery_json": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/tickets-delivery-json", "tickets_delivery_csv": "https://saferpage.de/fix-guides/elearning.cas.dhbw.de/tickets-delivery-csv", "findings": "https://saferpage.de/befunde/elearning.cas.dhbw.de", "operator_board": "https://saferpage.de/betreiber/elearning.cas.dhbw.de", "privacy_hub": "https://saferpage.de/datenschutz-hub/elearning.cas.dhbw.de", "scan_operations": "https://saferpage.de/scanbetrieb/elearning.cas.dhbw.de", "guides_index": "https://saferpage.de/guides", "report": "https://saferpage.de/elearning.cas.dhbw.de" }, "competitor_references": [ { "title": "Cookiebot Scan Report", "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report", "note": "Scanreports verbinden Cookie-/Prior-Consent-Befunde mit Betreiberaktionen." }, { "title": "Usercentrics Handling Trackers", "url": "https://support.usercentrics.com/hc/en-us/articles/18579668393372-Handling-trackers", "note": "Tracker-Ergebnisse werden gemappt, blockiert oder bewusst manuell verwaltet." }, { "title": "Osano Compliance Check", "url": "https://www.osano.com/features/compliance-check", "note": "Compliance Checks priorisieren Lücken und geben Hinweise zur schnellen Behebung." } ], "disclaimer": "Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben." }