Nachweispositionen
Pruefbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 3 Anbieter(n), 0 hohem Risiko, 3 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).Buttons mit sichtbarem Text oder aria-label beschriften.
unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.
Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.
Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.
Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.
Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.
Formulartexte, Pflichtfelder, Datenschutzlink, Referrer-Policy und Tracking auf Formularseiten prüfen.
Crawl-Evidence: 7 Formular(e) auf 4 geprüften Seite(n).Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.
Ablehnen oder nur notwendige Cookies im sichtbaren Banner genauso erreichbar machen wie Akzeptieren.
Passwörter nur eingeben, wenn Betreiber, Zweck und Datenschutzangaben nachvollziehbar sind.
Tracking-/Tag-Parameter für Anbieter wie etracker.de so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
22 Request(s), 3 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 1.Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 64.Servicekarte je Anbieter anlegen und Datenschutzhinweis, CMP und Anbieterregister synchronisieren.
3 Drittanbieter-Domain(s) im Browserlauf.Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Crawl fand 7 Formular(e) auf 4 geprüften Seite(n), u. a. /user/login, /, /en, /search. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.
Impressum: nein, Datenschutz: nein, Kontakt: ja.Befund mit Hintergrundseite einordnen und danach erneut scannen.
4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. CSP wirksam mit 3 Direktive(n), 2 Warnung(en), 2 Hinweis(e).Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
4 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 4/9 vorhanden, 5 fehlen, externe Skript-Hosts: 2.Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent ist teilweise erkennbar; einzelne Punkte bleiben Betreiberkontext.Befund mit Hintergrundseite einordnen und danach erneut scannen.
4 interne Linkziele erkannt (2 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen.Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
CDNRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
cdnZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherUnklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.
base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.