# Betreiber-Fix-Guides fuer fluter.de

fluter.de: 7 priorisierte Betreiber-Guide(s) aus 14 Befund(en).

> Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.

## Phasen
- **Triage** (0-48 Stunden): Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.
- **Fix umsetzen** (0-14 Tage): Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
- **Nutzertexte synchronisieren** (parallel): Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
- **Re-Scan und Freigabe** (nach Deployment): Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.

## Guide-Streams
### Google-Dienste datenschutzfreundlich einbinden
- Priorität: hoch / Owner: Marketing/IT / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
- Befund: Google Consent Mode Default nicht erkannt - Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
- Befund: Google-Dienste & Drittanbieter - Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
- Befund: Google-Dienste - Befund mit Betreiber-Guide beheben und danach erneut scannen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Google-Requests vor und nach Consent vergleichen.

### SEO-Spam und Cloaking bereinigen
- Priorität: hoch / Owner: Webbetrieb/SEO/Security / Phase: 0-7 Tage
- Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen
- Befund: Canonical zeigt auf fremde Domain - Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.

### Session-Replay und Fingerprinting prüfen
- Priorität: niedrig / Owner: Marketing/Datenschutz / Phase: quartalsweise
- Guide: https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen
- Befund: Viele Tastatur-/Eingabe-Listener im Browser erkannt - Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.

### Datenschutzerklärung verbessern
- Priorität: niedrig / Owner: Datenschutz/Content / Phase: quartalsweise
- Guide: https://saferpage.de/guides/datenschutzerklaerung-verbessern
- Befund: Datenschutzerklärung wirkt veraltet - Prüfen Sie die Erklärung gegen aktuelle Cookies, Drittanbieter, Consent-Einstellungen und Formulare.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.

### Externe Skripte und SRI absichern
- Priorität: niedrig / Owner: IT/Webentwicklung / Phase: quartalsweise
- Guide: https://saferpage.de/guides/externe-skripte-und-sri-absichern
- Befund: Meta-Description fehlt - Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.

### Security-Header setzen
- Priorität: niedrig / Owner: IT/Security / Phase: quartalsweise
- Guide: https://saferpage.de/guides/security-header-setzen
- Befund: CSP ohne object-src - object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
- Befund: CSP ohne base-uri - base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
- Befund: Cross-Origin-Embedder-Policy fehlt - Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- Befund: Cross-Origin-Opener-Policy fehlt - Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- Befund: Cross-Origin-Resource-Policy fehlt - Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- Befund: Permissions-Policy fehlt - Header `permissions-policy` setzen und nach Deployment erneut prüfen.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.

### Performance und mobile Nutzbarkeit verbessern
- Priorität: niedrig / Owner: Webentwicklung/UX / Phase: quartalsweise
- Guide: https://saferpage.de/guides/performance-und-mobile-usability-verbessern
- Befund: Komprimierung nicht erkannt - Brotli oder gzip für HTML/CSS/JS aktivieren.
- [ ] Befund reproduzieren: SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.
- [ ] Ursache beheben: Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.
- [ ] Nutzertext aktualisieren: Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.
- [ ] Re-Test und Abschluss: Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.

## Tracker- und Service-Mapping
- Service- und Tracker-Mapping (process): Nach nächstem Scan Cookies, Requests und Anbieter in Servicekarten überführen.

## CMS-/Shop- und Deployment-Playbooks
### Drupal
Drupal-Module, Theme-Libraries, Consent-Module und Aggregation/Caches können Datenschutzsignale verändern.
- Owner: Webbetrieb/IT/Datenschutz / Technik-Nachweis: https://saferpage.de/technik/fluter.de/export / Re-Scan: https://saferpage.de/?url=fluter.de
- [ ] Drupal Core und contrib-Module aktualisieren; Security Advisories und Composer-Lockfile prüfen.
- [ ] Libraries, Theme Attachments und Blöcke auf externe Skripte, Fonts, Maps, Videos und Pixel prüfen.
- [ ] Consent- und Cookie-Module mit Erstaufruf/Ablehnen/Akzeptieren/GPC gegen SaferPage testen.
- [ ] Cache-, CDN- und Reverse-Proxy-Regeln nach Änderungen invalidieren und Header erneut prüfen.
- Abnahme: Keine unsupported/stale Technology-Hinweise.
- Abnahme: Drittanbieter sind im Anbieterregister erklärt.
- Abnahme: Re-Scan und Exportpaket sind abgelegt.
> Grenze: Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen.

## Evidence-first-Grenze
Fix-Guides trennen Scan-Evidence, Betreiberkontext und Nicht-behaupten-Grenzen, bevor Betreiber Tickets umsetzen oder externe Aussagen ableiten.
> Claim-Grenze: Diese Betreiberseite ist ein Umsetzungs- und Review-Playbook. Konkrete Findings bleiben an Scan-Evidence gebunden; allgemeine Betreiberaufgaben sind Kontext und müssen fachlich freigegeben werden.

### Aus Scan belegt
- **Gespeicherter Kurzreport**: Scan-ID, Zeitpunkt, Score, Befunde, Screenshot, HTTP/TLS/Header und direkte Test-URLs. Nachweis: https://saferpage.de/fluter.de
- **Formular-Coverage**: Keine Formular-Evidence im gespeicherten passiven Kurzcheck. Nachweis: https://saferpage.de/abdeckung/fluter.de/export
- **Browserkontakte und Cookies**: 25 Request(s), 0 Drittanbieter-Domain(s), 0 Cookie(s) vor Einwilligung. Nachweis: https://saferpage.de/cookies/fluter.de
- **Google-Consent-Anwendbarkeit**: Keine GTM-/Analytics-/Ads-/ID-Evidence im gespeicherten Lauf; kein Google-Consent-Mode-Fix ohne neue Evidence. Nachweis: https://saferpage.de/fluter.de/top-fixes-json

### Betreiberkontext, nicht gescannt
- Rechtsgrundlagen, Zwecke, Pflichtfelder, Löschfristen und Empfänger je Formular.
- Interne Systeme, CRM-/Support-Flüsse, Login-, Checkout-, Paywall- und nachgelagerte Verarbeitung.
- AVV/DPA, TOMs, Transfer Impact Assessments, Anbieterakten und interne Freigaben.
- Spätere CMP-, Tag-Manager-, Release- oder Content-Änderungen nach dem gespeicherten Scan.

### Nicht behaupten
- Keine DSGVO-Konformität, Rechtsfreigabe oder Zertifizierung behaupten.
- Keinen Google-Consent-Mode-Fehler behaupten, wenn keine Google-Tag-Evidence vorliegt.
- Keine fehlende Betreibertransparenz als Tatsache behaupten, wenn Consent-Wall, Paywall, Login oder Geoblocking den Scan begrenzen.
- Keine Formularübermittlung, Zahlungsprüfung oder Backend-Validierung behaupten; SaferPage sendet keine Formulare ab.

## Fehlalarm- und Grenzen-Review
Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.
### Consent-Wall, Paywall oder Overlay einordnen
- Frage: Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?
- Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.
- Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.
- Nachweis: https://saferpage.de/fluter.de / Guide: https://saferpage.de/methodik
> Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.

### Google Consent Mode nur bei Google-Evidenz fordern
- Frage: Wurden GTM, gtag, Analytics, Ads oder eine Google-Tracking-ID wirklich gesehen?
- Betreiberaktion: Keinen Google-Consent-Mode-Fix verlangen, solange keine GTM-/Analytics-/Ads-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen.
- Abnahme: Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence.
- Nachweis: https://saferpage.de/fluter.de/top-fixes-json / Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden
> Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.

### Formular-Coverage gegen Startseiten-Sample abgleichen
- Frage: Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?
- Betreiberaktion: Nicht sichtbare, mehrstufige oder Login-Formulare manuell ergänzen, wenn der Kurzcheck keine Formular-Evidence fand.
- Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.
- Nachweis: https://saferpage.de/abdeckung/fluter.de/export / Guide: https://saferpage.de/guides/formulare-datenschutzkonform-absichern
> Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Die Zählung basiert auf gespeicherter Crawl- und Formular-Evidence.

### Cookies nach Zweck statt pauschal bewerten
- Frage: Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?
- Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.
- Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.
- Nachweis: https://saferpage.de/cookies/fluter.de / Guide: https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen
> Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.

### Score und Warntexte als Priorisierung formulieren
- Frage: Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?
- Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.
- Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.
- Nachweis: https://saferpage.de/evidence/report-quality-smoke.json / Guide: https://saferpage.de/methodik
> Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.

### Aussage-Ampel und Claim-Grenzen übernehmen
- Frage: Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?
- Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.
- Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.
- Nachweis: https://saferpage.de/fluter.de / Guide: https://saferpage.de/methodik
> Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.