{ "schema": "https://saferpage.de/schemas/operator-fix-guide-package.v1", "generated_at": "2026-06-14T15:51:49+00:00", "domain": "foerderpreisoekologischerlandbau.de", "available": true, "scan": { "id": "bc5efe41-9399-457b-a680-646eef4a2712", "checked_at": "2026-06-14 14:23:49.897758+02" }, "summary": "foerderpreisoekologischerlandbau.de: 13 priorisierte Betreiber-Guide(s) aus 38 Befund(en).", "metrics": { "issue_count": 38, "guide_count": 13, "high_priority_count": 16, "medium_priority_count": 7, "tracker_task_count": 2, "remediation_ticket_count": 40, "remediation_ticket_fingerprint_count": 40, "remediation_ticket_duplicate_count": 0, "high_ticket_count": 17, "acceptance_count": 39, "source_count": 16, "platform_playbook_count": 1, "platform_playbook_step_count": 4, "platform_playbook_acceptance_count": 3, "platform_playbook_boundary_count": 1, "platform_playbook_evidence_url_count": 1, "quality_review_row_count": 6, "quality_review_acceptance_count": 6, "quality_review_boundary_count": 6, "quality_review_evidence_url_count": 6, "quality_review_guide_url_count": 6, "quality_review_form_count": 2, "quality_review_form_page_count": 0, "evidence_first_measured_count": 4, "evidence_first_operator_context_count": 4, "evidence_first_do_not_claim_count": 4 }, "guide_streams": [ { "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "title": "SEO-Spam und Cloaking bereinigen", "intro": "Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Trust & Content Integrity", "owner": "Webbetrieb/SEO/Security", "effort": "hoch", "issue_count": 3, "issues": [ { "id": "hidden_text", "area": "seo", "title": "Versteckter Text erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" }, { "id": "external_canonical", "area": "seo", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" }, { "id": "module_seo_integrity", "area": "Audit-Modul", "title": "SEO-Integrität & Cloaking", "priority": "mittel", "impact_score": 36, "evidence": "2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).", "operator_action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "audit_module" } ], "guide_steps": [ "Entfernen Sie versteckte Linklisten, Keyword-Stuffing und automatisch erzeugte Doorway-Seiten.", "Vergleichen Sie normalen Abruf und Googlebot-Abruf auf Weiterleitungen und sichtbare Inhalte.", "Prüfen Sie CMS, Themes und Plugins auf Schadcode, wenn solche Muster unerwartet auftauchen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webbetrieb/SEO/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webbetrieb/SEO/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "evidence": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "sources": [ { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "title": "Tracking und Consent reparieren", "intro": "Tracking, Werbung und nicht notwendige Cookies muessen aus Betreiberperspektive nach Consent-Zustand getrennt geprueft werden. Der SaferPage-Befund zeigt sichtbare Cookies, Storage- und Browserkontakte; die finale Rechtsfreigabe, CMP-Konfiguration und Anbieterfreigabe bleiben Betreiberaufgabe.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Consent & Tracking", "owner": "Marketing/IT/Datenschutz", "effort": "mittel", "issue_count": 5, "issues": [ { "id": "tracking_without_consent_hint", "area": "privacy", "title": "Tracking ohne sichtbaren Cookie-Hinweis", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "module_privacy_consent", "area": "Audit-Modul", "title": "Datenschutz, Cookies & Consent", "priority": "mittel", "impact_score": 45, "evidence": "1 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 82.", "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "audit_module" }, { "id": "gpc_privacy_domains_present", "area": "privacy", "title": "Datenschutzrelevante Kontakte trotz GPC-Signal", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Bei aktivem Global Privacy Control sollten Anbieter wie Matomo besonders begründet oder blockiert werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "consent_state_gpc_evidence_review", "area": "privacy", "title": "Consent-Zustand: GPC mit Tracking-Hinweisen", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "cmp_api_not_detected", "area": "privacy", "title": "Keine gängige CMP-/TCF-API im Browser erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" } ], "guide_steps": [ "Trennen Sie die Pruefung nach Consent-Zustaenden: Erstaufruf ohne Auswahl, Ablehnen, Akzeptieren und wenn relevant GPC. Speichern Sie pro Zustand Cookies, Storage, Requests, Screenshot und Scan-ID.", "Blockieren Sie Analytics-, Ads-, Pixel-, Remarketing-, Session-Replay- und Fingerprinting-Skripte bis zur aktiven Zustimmung. Notwendige Funktions-, Sicherheits- oder Load-Balancing-Cookies muessen separat begruendet und erklaert werden.", "Nutzen Sie CMP-Autoblocking oder neutrale Script-/Iframe-Attribute wie type=\"text/plain\" beziehungsweise data-cookieblock-src, damit Quellen nicht vor Consent laden.", "Bieten Sie Ablehnen, Akzeptieren und Einstellungen gleichwertig sichtbar an. Consent-Walls, Paywalls und Pur-Abo-Modelle muessen im Report als Kontext geprueft werden, statt pauschal als fehlende Transparenz zu gelten.", "Fordern Sie Google Consent Mode nur, wenn Google-Tags, Google Tag Manager, Analytics, Ads oder vergleichbare Google-Dienste tatsaechlich sichtbar sind. Ohne Google-Evidence ist ein Consent-Mode-Hinweis nur ein allgemeiner Hintergrundpunkt.", "Dokumentieren Sie Anbieter, Zwecke, Cookie-Kategorien, Rechtsgrundlagen, Empfaenger, Drittlandtransfer, Speicherdauer und Widerruf in Datenschutzerklaerung und CMP.", "Fuehren Sie nach jeder CMP-, Plugin-, Tag-Manager- oder Marketing-Aenderung einen Re-Scan durch und pruefen Sie False Positives gegen reale Browser-Requests." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "referrer-und-url-leaks-vermeiden", "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "title": "Referrer- und URL-Leaks vermeiden", "intro": "Seitenpfade, Suchparameter und Tracking-Parameter können an Drittanbieter gelangen. Für Ihre Besucher ist wichtig, dass Formular-, Such- oder Kontokontexte nicht unnötig in Tags, Referrern oder Logs auftauchen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Referrer & URL Hygiene", "owner": "Webentwicklung/IT", "effort": "klein", "issue_count": 1, "issues": [ { "id": "third_party_page_url_parameter", "area": "privacy", "title": "Seiten-URL wird in Drittanbieter-Requests übertragen", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Tracking-/Tag-Parameter für Anbieter wie Matomo so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "referrer-und-url-leaks-vermeiden", "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "source": "finding" } ], "guide_steps": [ "Setzen Sie eine Referrer-Policy wie strict-origin-when-cross-origin, origin-when-cross-origin, origin oder no-referrer passend zur Seite.", "Entfernen Sie personenbezogene Werte, Token, Session-IDs und E-Mail-Adressen aus URLs; nutzen Sie POST, serverseitige Zustände oder kurzlebige interne IDs.", "Konfigurieren Sie Analytics-, Ads- und Tag-Manager so, dass keine vollständigen Seiten-URLs mit sensiblen Parametern an Drittanbieter gesendet werden.", "Blockieren Sie Tracking auf Such-, Login-, Kontakt-, Checkout- und Formularseiten bis zur Einwilligung oder verzichten Sie dort ganz darauf.", "Prüfen Sie nach Änderungen Browser-Requests, Referrer, Exportdaten und Serverlogs erneut." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Referrer-Header und Query-Parameter in Request-Samples kontrollieren.", "evidence": "Referrer-Policy, Tag-Konfiguration, URL-Parameter-Regel." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Referrer-Header und Query-Parameter in Request-Samples kontrollieren.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" } ] }, { "guide_slug": "pii-und-url-datenlecks-vermeiden", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "title": "PII- und URL-Datenlecks vermeiden", "intro": "Personenbezogene Daten, Tokens und Formularwerte sollten nicht in URLs, Referrern, Logs oder Tracking-Tags landen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "PII Leakage", "owner": "Webentwicklung/IT", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "pii_tracking_on_data_entry_page", "area": "privacy", "title": "Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "pii-und-url-datenlecks-vermeiden", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "source": "finding" } ], "guide_steps": [ "Senden Sie Formulare mit personenbezogenen Daten per POST und vermeiden Sie GET-Parameter wie email, phone, name, token oder customer_id.", "Entfernen Sie personenbezogene Werte aus internen Links, Weiterleitungen, Suchparametern und Bestätigungsseiten.", "Blockieren Sie Analytics-, Ads- und Session-Replay-Tags auf Formularseiten bis zur Einwilligung und übergeben Sie keine Formularwerte an Tags.", "Prüfen Sie externe Formularziele auf Zweck, Anbieter, Region, Auftragsverarbeitung und Datenschutzhinweise.", "Konfigurieren Sie Referrer-Policy, Logging und Monitoring so, dass sensible Query-Strings nicht unnötig gespeichert werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "URLs, Referrer, Logs und Drittanbieter-Requests auf personenbezogene Werte prüfen.", "evidence": "Parameter-Inventar, Referrer-Policy, Logging-Konfiguration, Re-Scan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "URLs, Referrer, Logs und Drittanbieter-Requests auf personenbezogene Werte prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" } ] }, { "guide_slug": "ssl-zertifikat-reparieren", "guide_url": "https://saferpage.de/guides/ssl-zertifikat-reparieren", "title": "SSL-Zertifikat reparieren", "intro": "Beheben Sie abgelaufene, falsche oder unvollständige HTTPS-Zertifikate, damit Nutzer keine Browserwarnung sehen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "TLS", "owner": "IT/Webbetrieb", "effort": "klein", "issue_count": 1, "issues": [ { "id": "certificate_expires_soon", "area": "tls", "title": "TLS-Zertifikat läuft bald ab", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "ssl-zertifikat-reparieren", "guide_url": "https://saferpage.de/guides/ssl-zertifikat-reparieren", "source": "finding" } ], "guide_steps": [ "Prüfen Sie, ob das Zertifikat exakt zur Domain und zu allen verwendeten Hostnamen passt, zum Beispiel example.de und www.example.de.", "Erneuern Sie abgelaufene Zertifikate und aktivieren Sie automatische Erneuerung, etwa über certbot oder den Hosting-Anbieter.", "Stellen Sie sicher, dass der Webserver das richtige Zertifikat im passenden Nginx-/Apache-vHost ausliefert.", "Deaktivieren Sie alte TLS-Versionen und testen Sie danach Domain und www-Variante erneut." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webbetrieb", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webbetrieb", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Domain und www-Variante per HTTPS erneut prüfen.", "evidence": "Zertifikatskette, Erneuerungsjob, Nginx-/CDN-vHost." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Domain und www-Variante per HTTPS erneut prüfen.", "sources": [ { "label": "BSI Mindeststandard TLS 2.3", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_3.pdf?__blob=publicationFile&v=4" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" } ] }, { "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "title": "Tracking-Pixel und Beacons begrenzen", "intro": "Unsichtbare Pixel, Link-Pings, sendBeacon und Keepalive-Telemetrie können Seitenaufrufe, Klicks und Kampagnenkontakte übertragen, ohne dass Nutzer sie sehen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Pixel & Beacons", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 2, "issues": [ { "id": "beacon_api_usage", "area": "privacy", "title": "Beacon-/Keepalive-Telemetrie erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "source": "finding" }, { "id": "module_tracking_pixels_beacons", "area": "Audit-Modul", "title": "Tracking-Pixel & Beacons", "priority": "mittel", "impact_score": 25, "evidence": "0 Pixel-/Bildtracking-Hinweis(e), 2 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).", "operator_action": "Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "source": "audit_module" } ], "guide_steps": [ "Inventarisieren Sie alle Pixel- und Beacon-Ziele mit Anbieter, Zweck, Rechtsgrundlage, Consent-Kategorie und Auslösezeitpunkt.", "Laden Sie Werbe-, Analytics-, Conversion- und Retargeting-Pixel erst nach aktiver Einwilligung.", "Entfernen Sie ping-Attribute an Links oder ersetzen Sie sie durch datensparsame interne Messung ohne Drittanbieter.", "Prüfen Sie navigator.sendBeacon und fetch keepalive auf gesendete Parameter; personenbezogene Werte, volle URLs und Formularumfelder dürfen nicht unnötig übertragen werden.", "Dokumentieren Sie Pixel und Telemetrie in Datenschutzerklärung und Consent-Oberfläche mit konkretem Anbieter und Zweck.", "Testen Sie Erstaufruf, Ablehnen, Akzeptieren und GPC separat, weil Pixel oft durch Tag-Manager nachgeladen werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.", "evidence": "Tag-Manager-Regeln, Zweckliste, Consent-Test, Request-Samples." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "title": "Drittanbieter im Datenschutz erklären", "intro": "Externe Browserkontakte müssen für Ihre Besucher nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Drittanbieter", "owner": "Legal/Vendor Owner", "effort": "mittel", "issue_count": 4, "issues": [ { "id": "privacy_policy_provider_disclosure_gap", "area": "privacy", "title": "Erkannte Anbieter fehlen in der Datenschutzerklärung", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "finding" }, { "id": "vendor_contract_transfer_fix", "area": "Anbieter & Transfer", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "impact_score": 84, "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).", "operator_action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "owner": "Legal/Vendor Owner", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "vendor_due_diligence" }, { "id": "module_browser_evidence", "area": "Audit-Modul", "title": "Browser-Nachweis", "priority": "mittel", "impact_score": 25, "evidence": "62 Request(s), 1 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 1.", "operator_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "audit_module" }, { "id": "browser_privacy_relevant_third_parties", "area": "privacy", "title": "Datenschutzrelevante Drittanbieter im Browseraufruf", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Prüfen, ob Anbieter wie Matomo in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "finding" } ], "guide_steps": [ "Erstellen Sie eine Liste aller externen Domains, die beim ersten Seitenaufruf geladen werden.", "Ordnen Sie jeden Anbieter einem Zweck zu: Hosting/CDN, Fonts, Consent, Analytics, Werbung, Zahlung oder Support.", "Dokumentieren Sie pro Anbieter Empfängerrolle, Anbieterland, Transfergrundlage, AVV/Vertrag und Widerrufs- oder Opt-out-Möglichkeit.", "Reduzieren Sie unnötige Drittanbieter und erklären Sie die übrigen verständlich in Cookie-Auswahl und Datenschutzhinweisen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Vendor Owner", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Vendor Owner", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "evidence": "Anbieterregister, AVV/DPA-Status, Transferbewertung, Datenschutzhinweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "title": "Security-Header setzen", "intro": "Security-Header sind eine Betreiberaufgabe an Webserver, CDN oder Hosting-Panel. Der SaferPage-Befund zeigt nur, welche Header im passiven Abruf sichtbar waren; die Umsetzung muss kontrolliert ausgerollt, getestet und bei CSP schrittweise gehärtet werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Web Security", "owner": "IT/Security", "effort": "mittel", "issue_count": 10, "issues": [ { "id": "csp_unsafe_inline", "area": "security_headers", "title": "CSP erlaubt unsafe-inline für Skripte", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "csp_unsafe_eval", "area": "security_headers", "title": "CSP erlaubt eval-nahe Skriptausführung", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "module_security_tls", "area": "Audit-Modul", "title": "Sicherheit, TLS & Header", "priority": "hoch", "impact_score": 54, "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 6/9 vorhanden, 3 fehlen, externe Skript-Hosts: 1.", "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "audit_module" }, { "id": "security_header_gap", "area": "Security", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "hoch", "impact_score": 54, "evidence": "6 von 9 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 10 Direktive(n), 2 Warnung(en), 3 Hinweis(e).", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "IT/Security", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "security_header" }, { "id": "csp_permissive_script_sources", "area": "security_headers", "title": "CSP erlaubt sehr breite Skriptquellen", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "csp_missing_object_src", "area": "security_headers", "title": "CSP ohne object-src", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "csp_missing_base_uri", "area": "security_headers", "title": "CSP ohne base-uri", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_embedder_policy", "area": "security_headers", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_opener_policy", "area": "security_headers", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_resource_policy", "area": "security_headers", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" } ], "guide_steps": [ "Inventarisieren Sie zuerst den Ist-Stand aus SaferPage-Report, curl -I, Browser-DevTools, CDN-Regeln und Hosting-Panel. Widerspruechliche doppelte Header muessen vor der Haertung bereinigt werden.", "Setzen Sie als stabile Baseline Strict-Transport-Security, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Aktivieren Sie HSTS erst, wenn HTTPS fuer Domain, www-Variante und benoetigte Subdomains dauerhaft funktioniert.", "Starten Sie Content-Security-Policy zuerst als Content-Security-Policy-Report-Only. Sammeln Sie blockierte Quellen, ordnen Sie sie echten Funktionen zu und erzwingen Sie die CSP erst nach fachlicher Freigabe.", "Nutzen Sie fuer CSP mindestens default-src self, base-uri self, object-src none, frame-ancestors self und form-action self. Entfernen Sie unsafe-inline, unsafe-eval, Wildcards und reine http:-Quellen, sobald Nonces, Hashes oder konkrete Hosts funktionieren.", "Nutzen Sie frame-ancestors in der CSP oder X-Frame-Options: SAMEORIGIN, damit fremde Seiten Ihre Website nicht ungewollt einbetten.", "Rollen Sie Header an genau einer wirksamen Stelle aus: Nginx, Apache, CDN/Reverse Proxy oder Hosting-Panel. Der letzte Edge vor dem Besucher muss den gewollten Header sichtbar ausliefern.", "Dokumentieren Sie Rollback, Ausnahmen, betroffene Pfade, Owner und Re-Scan-Nachweis. Besonders CSP kann Zahlungs-, Login-, Consent- oder Formularfunktionen brechen, wenn Quellen zu hart blockiert werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "evidence": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" } ] }, { "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "title": "Datenschutz-Webseiten-Prüfkatalog umsetzen", "intro": "Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Programmsteuerung", "owner": "Programm-Owner/Datenschutz", "effort": "hoch", "issue_count": 4, "issues": [ { "id": "important_pages_not_discovered", "area": "crawl", "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "finding" }, { "id": "module_site_coverage", "area": "Audit-Modul", "title": "Seitenabdeckung & Crawl", "priority": "hoch", "impact_score": 55, "evidence": "0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen.", "operator_action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "audit_module" }, { "id": "coverage_gap", "area": "Crawl-Abdeckung", "title": "Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken", "priority": "hoch", "impact_score": 55, "evidence": "0 interne Linkziele erkannt (0 aus Sitemap), 0 priorisierte Unterseite(n) zusätzlich abgerufen.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Webbetrieb/SEO", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "coverage" }, { "id": "crawl_coverage_limited", "area": "crawl", "title": "Wenig interne Seiten auf der Startseite gefunden", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "finding" } ], "guide_steps": [ "Inventarisieren Sie alle eingebundenen Komponenten: Hosting, CDN, Cookies, Local Storage, Analyse, Tag Manager, Karten, Videos, Fonts, Captchas, Formulare und Newsletter.", "Prüfen Sie Erstaufruf, Ablehnen und Zustimmung getrennt: Netzwerkrequests, Cookies, Storage, Screenshot und DOM-Zustand müssen je Consent-Zustand dokumentiert werden.", "Gleichen Sie Datenschutzerklärung und Consent-Banner gegen die tatsächlich geladenen Dienste und Domains ab.", "Trennen Sie Serverebene und Seitenebene: DNS/TLS/Header/Logs gehören zum Betrieb, Banner/Formulare/Drittinhalte zur Website-Implementierung.", "Halten Sie Sitemap und robots.txt aktuell, damit Datenschutz-, Impressums-, Kontakt-, Formular- und Cookie-Seiten maschinell gefunden und geprüft werden können.", "Ordnen Sie Befunde nach Regelwerksbereich: DSGVO-Transparenz, TDDDG/ePrivacy-Consent, BSI-Sicherheit, BITV/Usability und Google-/Drittanbieter-Spezialthemen.", "Planen Sie Regressionstests quartalsweise oder nach jedem Relaunch, Plugin-Update und Consent-Tool-Wechsel." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Programm-Owner/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Programm-Owner/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.", "evidence": "Prioritätenliste, Owner, Exportpaket, Re-Scan und Freigabe." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" } ] }, { "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "title": "Externe Skripte und SRI absichern", "intro": "Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Ihre Website zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.", "priority": "mittel", "impact_score": 55, "phase": "7-30 Tage", "area": "Browser Supply Chain", "owner": "IT/Webentwicklung", "effort": "mittel", "issue_count": 2, "issues": [ { "id": "module_script_supply_chain", "area": "Audit-Modul", "title": "Externe Skripte & SRI", "priority": "mittel", "impact_score": 32, "evidence": "9 externe Skript(e) von 1 Host(s), 9 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).", "operator_action": "Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "audit_module" }, { "id": "external_script_without_sri", "area": "security_headers", "title": "Externe Skripte ohne Subresource Integrity", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "finding" } ], "guide_steps": [ "Führen Sie ein Skriptinventar mit Host, Anbieter, Zweck, Kategorie, Rechtsgrundlage, Consent-Zustand und Verantwortlichem.", "Hosten Sie stabile Bibliotheken lokal, wenn kein zwingender CDN-Grund besteht.", "Setzen Sie für statische CDN-Skripte Subresource Integrity mit passendem crossorigin-Attribut und aktualisieren Sie Hashes bei Versionswechseln.", "Beschränken Sie erlaubte Skriptquellen über eine Content-Security-Policy und testen Sie Änderungen zuerst im Report-Only-Modus.", "Laden Sie Tracking-, Tag-Manager-, Ads-, Analytics- und Session-Replay-Skripte erst nach passender Einwilligung.", "Prüfen Sie nach jedem Plugin-, Theme-, Consent-Tool- oder Tag-Manager-Update erneut, ob neue externe Skriptquellen hinzugekommen sind." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webentwicklung", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webentwicklung", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "evidence": "Skriptinventar, SRI-Hashes, CSP-Report-Only-Test." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Subresource Integrity", "url": "https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "title": "Barrierefreiheit bei Bannern und Formularen prüfen", "intro": "Cookie-Banner und Formulare sind typische Bruchstellen fuer Datenschutz, Usability und Barrierefreiheit. SaferPage kann sichtbare Labels, Button-Namen, Viewport-Signale und einfache WCAG-/BFSG-nahe Hinweise liefern; eine vollstaendige Barrierefreiheitspruefung braucht zusaetzlich Tastatur-, Screenreader- und manuelle Flow-Tests.", "priority": "mittel", "impact_score": 55, "phase": "7-30 Tage", "area": "Usability & BITV", "owner": "UX/Content/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "module_accessibility_usability", "area": "Audit-Modul", "title": "Barrierefreiheit & Usability", "priority": "mittel", "impact_score": 25, "evidence": "30 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.", "operator_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "audit_module" }, { "id": "accessibility_gap", "area": "Barrierefreiheit", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "mittel", "impact_score": 25, "evidence": "42 Bild(er), 1 Formularfeld(er), 5 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "UX/IT", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "accessibility" }, { "id": "image_alt_missing", "area": "accessibility", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" } ], "guide_steps": [ "Pruefen Sie Cookie-Banner mit Tastatur, Screenreader und Mobilgerät: Fokus muss im Dialog nachvollziehbar sein, Bedienelemente brauchen Namen und Ablehnen/Akzeptieren/Einstellungen muessen erreichbar bleiben.", "Blockieren Sie Datenschutz, Impressum, Kontakt und Hauptinhalt nicht dauerhaft durch Banner, Modals, Paywalls oder Sticky-Elemente.", "Versehen Sie Formularfelder mit sichtbaren Labels, programmatischen Namen, Fehlermeldungen, Hilfetexten und passenden Autocomplete-Attributen.", "Pruefen Sie Kontrast, Fokuszustand, Tab-Reihenfolge, Tastaturfalle, Skip-Link, Landmark-Struktur, Button-Namen und Linktexte.", "Testen Sie Fehlerszenarien: Pflichtfelder, falsches Format, Captcha, Datei-Upload, Newsletter-Double-Opt-in, Login und Zahlungs-/Checkout-Schritte.", "Erfassen Sie betroffene Templates, Komponenten, Consent-Zustaende, Viewport-Groessen, Re-Scan-ID und manuelle Pruefnotizen als Betreiber-Nachweis.", "Fuehren Sie nach Theme-, CMP-, Formular-, Plugin- oder Checkout-Aenderungen einen Re-Scan plus Tastatur-/Screenreader-Stichprobe durch." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "UX/Content/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "UX/Content/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "evidence": "Testprotokoll, Screenshots, bekannte Einschränkungen." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "sources": [ { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" }, { "label": "BFIT Bund", "url": "https://www.bfit-bund.de/DE/Home/home_node.html" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "session-replay-und-fingerprinting-pruefen", "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen", "title": "Session-Replay und Fingerprinting prüfen", "intro": "Fingerprinting, Session-Replay und Eingabeaufzeichnung sind besonders erklärungsbedürftig, weil Nutzer sie beim Seitenbesuch kaum erkennen können.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Behavior Tracking", "owner": "Marketing/Datenschutz", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "browser_keystroke_listener_signals", "area": "privacy", "title": "Viele Tastatur-/Eingabe-Listener im Browser erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "session-replay-und-fingerprinting-pruefen", "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen", "source": "finding" } ], "guide_steps": [ "Laden Sie Session-Replay-, Heatmap- und Verhaltenstracking-Skripte erst nach aktiver Einwilligung.", "Maskieren Sie Formularfelder, Suchfelder, Checkout, Login und Freitextbereiche konsequent; sensible Eingaben dürfen nicht in Replay-Daten landen.", "Prüfen Sie Canvas-, WebGL- und AudioContext-Zugriffe: entfernen Sie unnötige Bibliotheken oder dokumentieren Sie den konkreten Zweck.", "Nennen Sie Anbieter, Zwecke, Speicherdauer, Empfänger und Widerruf verständlich in Datenschutzerklärung und Consent-Oberfläche.", "Testen Sie Ablehnen und GPC separat: nach Ablehnung sollten Replay- und Fingerprinting-Skripte nicht neu geladen werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.", "evidence": "Maskierungsregeln, Zweck, Consent-Kategorie, Anbieterfreigabe." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "performance-und-mobile-usability-verbessern", "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "title": "Performance und mobile Nutzbarkeit verbessern", "intro": "Langsame oder mobil schlecht nutzbare Seiten wirken fuer Besucher weniger vertrauenswuerdig. SaferPage kann Antwortzeit, sichtbare Mobil-Signale, Header und grobe Asset-Hinweise zeigen; Core-Web-Vitals-Felddaten, reale Nutzergeraete und Business-Auswirkungen muessen Betreiber separat messen.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Performance & Mobile", "owner": "Webentwicklung/UX", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "too_many_render_blocking_assets", "area": "performance", "title": "Viele potenziell blockierende Assets", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "performance-und-mobile-usability-verbessern", "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "source": "finding" } ], "guide_steps": [ "Trennen Sie Laborsignale, SaferPage-Response-Zeit, Browser-DevTools, PageSpeed/Lighthouse und echte Core-Web-Vitals-Felddaten. Ein einzelner Kurzscan beweist keine reale Nutzererfahrung.", "Pruefen Sie LCP, INP und CLS fuer Startseite, Report-/Landingpages, Formularseiten, Login, Checkout und mobile Hauptpfade getrennt.", "Aktivieren Sie Brotli oder gzip fuer HTML, CSS, JavaScript, SVG und JSON; pruefen Sie Cache-Control, ETag, CDN und serverseitige Antwortzeit.", "Reduzieren Sie blockierende Skripte, ungenutzte Bibliotheken, grosse Inline-Daten, Render-Blocking-CSS, Tag-Manager-Last und Drittanbieter-Widgets.", "Optimieren Sie Bilder mit festen Abmessungen, responsive srcset/sizes, lazy loading, passenden Formaten und 160x150-Preview-Grenzen fuer kleine Reportvorschauen.", "Setzen Sie den Viewport-Meta-Tag, ausreichende Tap-Ziele, lesbare Schriftgroessen, stabile Layoutflaechen und testen Sie wichtige Seiten auf echten Mobilgeraeten.", "Dokumentieren Sie Vorher/Nachher-Werte, betroffene Templates, Deployment-Zeitpunkt, Rollback und Re-Scan-Nachweis." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/UX", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/UX", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.", "evidence": "Performance-Messung, Asset-Liste, Mobile-Screenshot." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.", "sources": [ { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" }, { "label": "Google Search Central: Core Web Vitals", "url": "https://developers.google.com/search/docs/appearance/core-web-vitals" } ] } ], "remediation_tickets": [ { "id": "remediation_vendor_contract_transfer_fix", "type": "befund_fix", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "owner": "Legal/Vendor Owner", "area": "Anbieter & Transfer", "evidence": "Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).", "action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "vendor_due_diligence", "sla": "7 Tage", "fingerprint": "aab3971ddedd212f3af193513e9758d348555fe54ebefc10e9599425e4fe9098", "duplicate_group_count": 1, "deduplicated_duplicate_count": 0 }, { "id": "remediation_beacon_api_usage", "type": "befund_fix", "title": "Beacon-/Keepalive-Telemetrie erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "e8b4b984ca56b54a4e86beb137141b63f49abe104e78a11ed88c48fa7f4770ec", "duplicate_group_count": 1 }, { "id": "remediation_csp_unsafe_eval", "type": "befund_fix", "title": "CSP erlaubt eval-nahe Skriptausführung", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "unsafe-eval vermeiden und betroffene Bibliotheken oder Build-Konfigurationen prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "898e8a5141cc57e7e18474b7b2be68ec96ae5f58e88033e9fe9880cf0266273c", "duplicate_group_count": 1 }, { "id": "remediation_csp_unsafe_inline", "type": "befund_fix", "title": "CSP erlaubt unsafe-inline für Skripte", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "df4d37d01324e013c23f68f3a755a8005280959e52e7335cf7aec4e3a43e9a0d", "duplicate_group_count": 1 }, { "id": "remediation_external_canonical", "type": "befund_fix", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "a875b89238f4850630895bee7429cad86786114b53790a6ec212f77917b7162f", "duplicate_group_count": 1 }, { "id": "remediation_pii_tracking_on_data_entry_page", "type": "befund_fix", "title": "Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "80082c65f9a4b35182b2b04e593a76f46f321db3c96763b2d6f8e2486a363b8e", "duplicate_group_count": 1 }, { "id": "remediation_privacy_policy_provider_disclosure_gap", "type": "befund_fix", "title": "Erkannte Anbieter fehlen in der Datenschutzerklärung", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "12fe20649cf2c78850c209f99f6bfdac7fd5d107b41d429c5b1db766e083491f", "duplicate_group_count": 1 }, { "id": "remediation_security_header_gap", "type": "befund_fix", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "hoch", "owner": "IT/Security", "area": "Security", "evidence": "6 von 9 wichtigen Security-Headern vorhanden, 6 korrekt bewertet. CSP wirksam mit 10 Direktive(n), 2 Warnung(en), 3 Hinweis(e).", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "security_header", "sla": "7 Tage", "fingerprint": "1d6064eac12cf70d9c1dadfe9cfccce5b98040853ec753b52cc8479d0517be88", "duplicate_group_count": 1 }, { "id": "remediation_third_party_page_url_parameter", "type": "befund_fix", "title": "Seiten-URL wird in Drittanbieter-Requests übertragen", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Tracking-/Tag-Parameter für Anbieter wie Matomo so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "e07e61f87c74b86945c845dbd7c04f20d55433fd6d377076ed360cb7e1fdb1a1", "duplicate_group_count": 1 }, { "id": "remediation_module_site_coverage", "type": "befund_fix", "title": "Seitenabdeckung & Crawl", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen.", "action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "7 Tage", "fingerprint": "8f24e3763b45f59a600d4710d7b04c525dc0e1fd90ca44ecde38d3d8de1b8621", "duplicate_group_count": 1 }, { "id": "remediation_module_security_tls", "type": "befund_fix", "title": "Sicherheit, TLS & Header", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 6/9 vorhanden, 3 fehlen, externe Skript-Hosts: 1.", "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "7 Tage", "fingerprint": "412d98743b01900776a80e0fba672556492f994841721e2d7cfb193ef2dd960c", "duplicate_group_count": 1 }, { "id": "remediation_certificate_expires_soon", "type": "befund_fix", "title": "TLS-Zertifikat läuft bald ab", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "tls", "evidence": "", "action": "Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/ssl-zertifikat-reparieren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "b037dc12aafe7118bdd09ac578223506ba1e3f50ed0d9d92cf092267bc263733", "duplicate_group_count": 1 }, { "id": "remediation_tracking_without_consent_hint", "type": "befund_fix", "title": "Tracking ohne sichtbaren Cookie-Hinweis", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "92c88932f9efc8b9fdb8a76703362d59799057cb87006eccdb26f7a8609a3e64", "duplicate_group_count": 1 }, { "id": "remediation_hidden_text", "type": "befund_fix", "title": "Versteckter Text erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "61d9a27edacba6af41781e581ab867f2d781e94d656b4b640591c9492fcee7f1", "duplicate_group_count": 1 }, { "id": "remediation_important_pages_not_discovered", "type": "befund_fix", "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "crawl", "evidence": "", "action": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "7 Tage", "fingerprint": "5b45d98124326448aeceddf6d3c6bdd34f1a369d605a9d6e5e8022d6eb04a594", "duplicate_group_count": 1 }, { "id": "remediation_coverage_gap", "type": "befund_fix", "title": "Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken", "priority": "hoch", "owner": "Webbetrieb/SEO", "area": "Crawl-Abdeckung", "evidence": "0 interne Linkziele erkannt (0 aus Sitemap), 0 priorisierte Unterseite(n) zusätzlich abgerufen.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "coverage", "sla": "7 Tage", "fingerprint": "1c5e6d03cfc35e3d7c83b083ccd8750c12b2c0e477439e88ac992a2a3c31aab8", "duplicate_group_count": 1 }, { "id": "mapping_request_matomo01.itzbund.de", "type": "service_mapping", "title": "matomo01.itzbund.de", "priority": "hoch", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "analytics", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "evidence_url": "https://saferpage.de/anbieter/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "tracker_mapping", "sla": "7 Tage", "fingerprint": "5c5362320b0a8e141f7ac8937e25f775444ea09151c6677acd9810e68837af66", "duplicate_group_count": 1 }, { "id": "remediation_module_accessibility_usability", "type": "befund_fix", "title": "Barrierefreiheit & Usability", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "30 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.", "action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "1026c2b67a84af392d50b900a2ea641b698d2cae99409c869a4b3856edcb4eda", "duplicate_group_count": 1 }, { "id": "remediation_module_browser_evidence", "type": "befund_fix", "title": "Browser-Nachweis", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "62 Request(s), 1 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 1.", "action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "697d61aeb25d3011d06362c72442544cdfff4b303225237fd3fb16fc1e68e716", "duplicate_group_count": 1 }, { "id": "remediation_accessibility_gap", "type": "befund_fix", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "mittel", "owner": "UX/IT", "area": "Barrierefreiheit", "evidence": "42 Bild(er), 1 Formularfeld(er), 5 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "accessibility", "sla": "30 Tage", "fingerprint": "be1ea9ccf1f6f303d9c34b30b7a56692a5740e6515c01a479d182048feade376", "duplicate_group_count": 1 }, { "id": "remediation_module_privacy_consent", "type": "befund_fix", "title": "Datenschutz, Cookies & Consent", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "1 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 82.", "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "cb12c531edc6386fe68c51af8dec53bdec31d424fcf2f4a031f4a34eb777ad9c", "duplicate_group_count": 1 }, { "id": "remediation_module_script_supply_chain", "type": "befund_fix", "title": "Externe Skripte & SRI", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "9 externe Skript(e) von 1 Host(s), 9 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).", "action": "Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "89292f420dbbfd59872ffb02545d52267bfc9a245bfc2bf4b3244dac2027e513", "duplicate_group_count": 1 }, { "id": "remediation_module_seo_integrity", "type": "befund_fix", "title": "SEO-Integrität & Cloaking", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).", "action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "03ecd83ab4d8e8418f621d5c2edde44a8ce100808c8e10e4af6793fc1004323c", "duplicate_group_count": 1 }, { "id": "remediation_module_tracking_pixels_beacons", "type": "befund_fix", "title": "Tracking-Pixel & Beacons", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 Pixel-/Bildtracking-Hinweis(e), 2 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).", "action": "Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "audit_module", "sla": "30 Tage", "fingerprint": "e6281489daf99ee71ed4984ed382c35ff84219cd7d677c541851426c67fad310", "duplicate_group_count": 1 }, { "id": "mapping_vendor_matomo01.itzbund.de", "type": "service_mapping", "title": "matomo01.itzbund.de", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "Analytics", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/anbieter/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "tracker_mapping", "sla": "30 Tage", "fingerprint": "b16e402365aedaff888a6981d00f2af25c553db3f65504f9424ed6df0bcaef1e", "duplicate_group_count": 1 }, { "id": "remediation_image_alt_missing", "type": "befund_fix", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "2097cbe784632eb31f2e46dfcf154ca529693584dd73e3ab0cb954940feece3d", "duplicate_group_count": 1 }, { "id": "remediation_csp_permissive_script_sources", "type": "befund_fix", "title": "CSP erlaubt sehr breite Skriptquellen", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "7df2adea8c91402ee8683c1e2047135c2345efd9927bac3bc3465155bbca1149", "duplicate_group_count": 1 }, { "id": "remediation_csp_missing_base_uri", "type": "befund_fix", "title": "CSP ohne base-uri", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "f0c22c1849650c30c549a5a081b182a133c743c66e203617931a13a9fd8d0a3a", "duplicate_group_count": 1 }, { "id": "remediation_csp_missing_object_src", "type": "befund_fix", "title": "CSP ohne object-src", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "3e9b74a14087aaf39ee626d59cf820a1fd60979b597c921d2051fc72fe02c130", "duplicate_group_count": 1 }, { "id": "remediation_consent_state_gpc_evidence_review", "type": "befund_fix", "title": "Consent-Zustand: GPC mit Tracking-Hinweisen", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "a124ae641269bac6d54700e1d1cdc6b327cfa0eda563a5d9dfc7ce4330f36071", "duplicate_group_count": 1 }, { "id": "remediation_missing_cross_origin_embedder_policy", "type": "befund_fix", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "c8d36072d81b63f9103982e29875cec130c514c20f982ffe6c35212cdfa0cee0", "duplicate_group_count": 1 }, { "id": "remediation_missing_cross_origin_opener_policy", "type": "befund_fix", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "65a210c101429beda44d9f7dd2dea20bd40109b87783a2562d331f8251ffa332", "duplicate_group_count": 1 }, { "id": "remediation_missing_cross_origin_resource_policy", "type": "befund_fix", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "d51f4623a35c3ae334a5dd59a43e462672f815eac1b654d30d0f2e2a74564176", "duplicate_group_count": 1 }, { "id": "remediation_browser_privacy_relevant_third_parties", "type": "befund_fix", "title": "Datenschutzrelevante Drittanbieter im Browseraufruf", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob Anbieter wie Matomo in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "de210f2cfc0d3e54343a7971e4eee1183968665a0db623330829595b030124b7", "duplicate_group_count": 1 }, { "id": "remediation_gpc_privacy_domains_present", "type": "befund_fix", "title": "Datenschutzrelevante Kontakte trotz GPC-Signal", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Bei aktivem Global Privacy Control sollten Anbieter wie Matomo besonders begründet oder blockiert werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "12502ab9c7c99dfbfdbb64c95e93cb143f77b92f2d5b3b3e613e8c9a586cdbff", "duplicate_group_count": 1 }, { "id": "remediation_external_script_without_sri", "type": "befund_fix", "title": "Externe Skripte ohne Subresource Integrity", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "b40e6f9dbccba57943bce8ddf706c29c57a40efed4d1cd5995fa3c447e795153", "duplicate_group_count": 1 }, { "id": "remediation_cmp_api_not_detected", "type": "befund_fix", "title": "Keine gängige CMP-/TCF-API im Browser erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "f23384b23bcfd118f35057a5a7764c226cdcdba0e663951cad76e5a1c6779b3c", "duplicate_group_count": 1 }, { "id": "remediation_browser_keystroke_listener_signals", "type": "befund_fix", "title": "Viele Tastatur-/Eingabe-Listener im Browser erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/session-replay-und-fingerprinting-pruefen", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "699c62fca2f30036dc4e3d50445a202304be3eb29fcfa464113eb2e5a0d23006", "duplicate_group_count": 1 }, { "id": "remediation_too_many_render_blocking_assets", "type": "befund_fix", "title": "Viele potenziell blockierende Assets", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "performance", "evidence": "", "action": "Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/performance-und-mobile-usability-verbessern", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "1cc7bab9b170c330bee3aa0d9ad58aae9824ca337681a8bded8d75c252100d67", "duplicate_group_count": 1 }, { "id": "remediation_crawl_coverage_limited", "type": "befund_fix", "title": "Wenig interne Seiten auf der Startseite gefunden", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "crawl", "evidence": "", "action": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "rescan_url": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "source": "finding", "sla": "quartalsweise", "fingerprint": "a549b06ad5645a90ced290163644845ccfaf8a88ea012b918e4c9ef285545291", "duplicate_group_count": 1 } ], "tracker_mapping_tasks": [ { "id": "vendor_matomo01.itzbund.de", "label": "matomo01.itzbund.de", "type": "vendor", "status": "prüfen", "evidence": "Analytics", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "target_url": "https://saferpage.de/anbieter/foerderpreisoekologischerlandbau.de" }, { "id": "request_matomo01.itzbund.de", "label": "matomo01.itzbund.de", "type": "browser_request", "status": "datenschutzrelevant", "evidence": "analytics", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "guide_slug": "servicekarte-und-anbieterinventar-aufbauen", "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "target_url": "https://saferpage.de/anbieter/foerderpreisoekologischerlandbau.de" } ], "platform_playbooks": [ { "id": "typo3", "platform": "TYPO3", "summary": "TYPO3-Core, Extensions, Sitepackage, Fluid-Templates, Consent-Extension und Caches zusammen prüfen.", "steps": [ "TYPO3 Core und Extensions gemäß Wartungsstatus aktualisieren; Composer-/Extension-Lockfile sichern.", "Sitepackage und Fluid-Templates nach externen Fonts, Maps, Videos, Analytics und Tag-Manager-Snippets durchsuchen.", "Consent-Extension so konfigurieren, dass externe Skripte und Iframes erst nach passender Einwilligung laden.", "Security-Header und TLS/HSTS auf Webserver-/Proxy-Ebene testen; TYPO3-Caches nach Änderung leeren." ], "acceptance": [ "Extension-Liste und Wartungsstatus dokumentiert.", "Pflichtseiten werden im Seiteninventar gefunden.", "Consent-Zustände sind im Re-Scan stabil." ], "owner": "Webbetrieb/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/cms-plugin-patchstand-nachweisen", "technology_evidence_url": "https://saferpage.de/technik/foerderpreisoekologischerlandbau.de/export", "rescan_url": "https://saferpage.de/?url=foerderpreisoekologischerlandbau.de", "boundary": "Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen." } ], "quality_review_playbook": { "summary": "Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.", "rows": [ { "id": "consent_wall_paywall_review", "label": "Consent-Wall, Paywall oder Overlay einordnen", "review_question": "Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?", "operator_action": "Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.", "acceptance": "Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.", "boundary": "Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.", "evidence_url": "https://saferpage.de/foerderpreisoekologischerlandbau.de", "guide_url": "https://saferpage.de/methodik", "status": "bei Bedarf prüfen" }, { "id": "google_consent_applicability_review", "label": "Google Consent Mode nur bei Google-Evidenz fordern", "review_question": "Wurden GTM, gtag, Analytics, Ads oder eine Google-Tracking-ID wirklich gesehen?", "operator_action": "Keinen Google-Consent-Mode-Fix verlangen, solange keine GTM-/Analytics-/Ads-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen.", "acceptance": "Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence.", "boundary": "Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.", "evidence_url": "https://saferpage.de/foerderpreisoekologischerlandbau.de/top-fixes-json", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "status": "nicht erforderlich" }, { "id": "form_coverage_review", "label": "Formular-Coverage gegen Startseiten-Sample abgleichen", "review_question": "Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?", "operator_action": "Alle 2 Formular(e) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen.", "acceptance": "Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.", "boundary": "SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Die Zählung basiert auf gespeicherter Crawl- und Formular-Evidence.", "evidence_url": "https://saferpage.de/abdeckung/foerderpreisoekologischerlandbau.de/export", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "status": "Crawl-Evidence vorhanden" }, { "id": "cookie_context_review", "label": "Cookies nach Zweck statt pauschal bewerten", "review_question": "Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?", "operator_action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.", "acceptance": "Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.", "boundary": "Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.", "evidence_url": "https://saferpage.de/cookies/foerderpreisoekologischerlandbau.de", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "status": "Baseline dokumentieren" }, { "id": "score_wording_review", "label": "Score und Warntexte als Priorisierung formulieren", "review_question": "Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?", "operator_action": "Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.", "acceptance": "Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.", "boundary": "Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.", "evidence_url": "https://saferpage.de/evidence/report-quality-smoke.json", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" }, { "id": "statement_boundary_review", "label": "Aussage-Ampel und Claim-Grenzen übernehmen", "review_question": "Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?", "operator_action": "Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.", "acceptance": "Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.", "boundary": "Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.", "evidence_url": "https://saferpage.de/foerderpreisoekologischerlandbau.de", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" } ], "metrics": { "row_count": 6, "acceptance_count": 6, "boundary_count": 6, "evidence_url_count": 6, "guide_url_count": 6, "privacy_relevant_domain_count": 1, "pre_consent_cookie_count": 0, "form_count": 2, "form_page_count": 0, "google_evidence_count": 0 } }, "evidence_first_boundary": { "available": true, "summary": "Fix-Guides trennen Scan-Evidence, Betreiberkontext und Nicht-behaupten-Grenzen, bevor Betreiber Tickets umsetzen oder externe Aussagen ableiten.", "measured_evidence": [ { "id": "report_scan_facts", "label": "Gespeicherter Kurzreport", "evidence": "Scan-ID, Zeitpunkt, Score, Befunde, Screenshot, HTTP/TLS/Header und direkte Test-URLs.", "url": "https://saferpage.de/foerderpreisoekologischerlandbau.de" }, { "id": "crawl_form_coverage", "label": "Formular-Coverage", "evidence": "Crawl-Evidence: 2 Formular(e).", "url": "https://saferpage.de/abdeckung/foerderpreisoekologischerlandbau.de/export" }, { "id": "browser_contacts", "label": "Browserkontakte und Cookies", "evidence": "62 Request(s), 1 Drittanbieter-Domain(s), 0 Cookie(s) vor Einwilligung.", "url": "https://saferpage.de/cookies/foerderpreisoekologischerlandbau.de" }, { "id": "google_applicability", "label": "Google-Consent-Anwendbarkeit", "evidence": "Keine GTM-/Analytics-/Ads-/ID-Evidence im gespeicherten Lauf; kein Google-Consent-Mode-Fix ohne neue Evidence.", "url": "https://saferpage.de/foerderpreisoekologischerlandbau.de/top-fixes-json" } ], "operator_context_not_scanned": [ "Rechtsgrundlagen, Zwecke, Pflichtfelder, Löschfristen und Empfänger je Formular.", "Interne Systeme, CRM-/Support-Flüsse, Login-, Checkout-, Paywall- und nachgelagerte Verarbeitung.", "AVV/DPA, TOMs, Transfer Impact Assessments, Anbieterakten und interne Freigaben.", "Spätere CMP-, Tag-Manager-, Release- oder Content-Änderungen nach dem gespeicherten Scan." ], "do_not_claim": [ "Keine DSGVO-Konformität, Rechtsfreigabe oder Zertifizierung behaupten.", "Keinen Google-Consent-Mode-Fehler behaupten, wenn keine Google-Tag-Evidence vorliegt.", "Keine fehlende Betreibertransparenz als Tatsache behaupten, wenn Consent-Wall, Paywall, Login oder Geoblocking den Scan begrenzen.", "Keine Formularübermittlung, Zahlungsprüfung oder Backend-Validierung behaupten; SaferPage sendet keine Formulare ab." ], "metrics": { "measured_evidence_count": 4, "operator_context_count": 4, "do_not_claim_count": 4, "form_count": 2, "form_page_count": 0, "google_consent_required": 0, "scan_limit_present": 0 }, "claim_boundary": "Diese Betreiberseite ist ein Umsetzungs- und Review-Playbook. Konkrete Findings bleiben an Scan-Evidence gebunden; allgemeine Betreiberaufgaben sind Kontext und müssen fachlich freigegeben werden.", "guide_url": "https://saferpage.de/guides/betreiber-datenschutz-checkliste", "report_quality_url": "https://saferpage.de/evidence/report-quality-smoke.json" }, "phases": [ { "id": "triage", "label": "Triage", "timebox": "0-48 Stunden", "action": "Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern." }, { "id": "fix", "label": "Fix umsetzen", "timebox": "0-14 Tage", "action": "Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren." }, { "id": "content", "label": "Nutzertexte synchronisieren", "timebox": "parallel", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen." }, { "id": "rescan", "label": "Re-Scan und Freigabe", "timebox": "nach Deployment", "action": "Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen." } ], "links": { "fix_guides": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de", "json": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/export", "csv": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/export-csv", "markdown": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/playbook-md", "tickets_html": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/tickets", "tickets_json": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/tickets-json", "tickets_csv": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/tickets-csv", "tickets_markdown": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/tickets-md", "tickets_delivery_json": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/tickets-delivery-json", "tickets_delivery_csv": "https://saferpage.de/fix-guides/foerderpreisoekologischerlandbau.de/tickets-delivery-csv", "findings": "https://saferpage.de/befunde/foerderpreisoekologischerlandbau.de", "operator_board": "https://saferpage.de/betreiber/foerderpreisoekologischerlandbau.de", "privacy_hub": "https://saferpage.de/datenschutz-hub/foerderpreisoekologischerlandbau.de", "scan_operations": "https://saferpage.de/scanbetrieb/foerderpreisoekologischerlandbau.de", "guides_index": "https://saferpage.de/guides", "report": "https://saferpage.de/foerderpreisoekologischerlandbau.de" }, "competitor_references": [ { "title": "Cookiebot Scan Report", "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report", "note": "Scanreports verbinden Cookie-/Prior-Consent-Befunde mit Betreiberaktionen." }, { "title": "Usercentrics Handling Trackers", "url": "https://support.usercentrics.com/hc/en-us/articles/18579668393372-Handling-trackers", "note": "Tracker-Ergebnisse werden gemappt, blockiert oder bewusst manuell verwaltet." }, { "title": "Osano Compliance Check", "url": "https://www.osano.com/features/compliance-check", "note": "Compliance Checks priorisieren Lücken und geben Hinweise zur schnellen Behebung." } ], "disclaimer": "Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben." }