Content-Security-Policy fehlt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Priorisierte Korrekturanleitungen
gemmunity.de: Betreiber-Fix-Guides
gemmunity.de: 10 priorisierte Betreiber-Guide(s) aus 26 Befund(en).
Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
10
Guides
JSON
CSV
Playbook MD
Tickets JSON
Tickets CSV
Delivery JSON
Delivery CSV
Befunde
Betreiber-Board
Datenschutz-Hub
Re-Scan
26Befunde
10Guide-Streams
13hoch
30Tickets
4Tracker-Tasks
30Abnahmen
12Quellen
Remediation Tickets
Aus Befunden werden umsetzbare Betreiberaufgaben
Cookie ohne Secure-Flag
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Cookies über HTTPS mit Secure-Flag setzen.
Dateneingabe ohne klaren Datenschutzkontext
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.
Datenschutz, Cookies & Consent
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 4 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 30.
HSTS fehlt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Impressum, Kontakt & Datenschutzerklärung
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.
Impressum: nein, Datenschutz: nein, Kontakt: nein.
Kein Impressum-Link erkannt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.
Keine klare Kontaktmöglichkeit erkannt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken.
Möglicherweise nicht notwendige Cookies vor Einwilligung
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Seitenabdeckung & Crawl
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
0 interne Linkziele erkannt, 0 priorisierte Unterseite(n) abgerufen.
Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren
hoch · SLA 7 Tage · Marketing/IT
Befund mit Betreiber-Guide beheben und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.
Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
Ticket Delivery
Aufgaben an Slack, Teams, Jira oder Webhooks übergeben
Das Delivery-Paket enthält Payload-Vorlagen, Idempotency-Keys, Body-SHA-256, HMAC-Signaturvertrag, Retry-Policy und Links zu Guide, Nachweis und Re-Scan. Es versendet nichts automatisch und enthält keine echten Secrets.
Strukturierte Events für interne PrivacyOps-Workflows, Queue-Worker oder Integrationsplattformen.
Kompakte Nachrichten mit Priorität, Owner, SLA und Nachweislink für operative Kanäle.
Ticket-Vorlagen mit Summary, Beschreibung, Labels, Priorität und deduplizierbarer External-ID.
Empfänger prüfen Signatur, Body-Hash, Event, Schema, Idempotency-Key und erlaubtes Zielsystem vor jeder Verarbeitung.
Der JSON-Export enthält ein öffentliches Test-Secret mit erwarteter Signatur für Receiver-Tests ohne produktive Secrets.
Guide-Streams
Welche Korrekturanleitungen zuerst umgesetzt werden sollten
Tracking und Consent reparieren
hoch · 0-7 Tage · Marketing/IT/Datenschutz · Aufwand mittel
Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.
3 Befund(e) · Re-Test: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.- Bereich
- Consent & Tracking
- Guide
- öffnen
Impressum und Kontakt sichtbar machen
hoch · 0-7 Tage · Legal/Content · Aufwand klein
Für deutschsprachige Nutzer sind klare Betreiberangaben ein zentrales Vertrauenssignal.
3 Befund(e) · Re-Test: Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.- Bereich
- Betreibertransparenz
- Guide
- öffnen
Formulare und Zahlungen absichern
hoch · 0-7 Tage · Webentwicklung/Datenschutz · Aufwand mittel
Formulare, Logins und Checkout-Bereiche brauchen HTTPS, klare Zwecke und sichtbare Datenschutzinformationen.
2 Befund(e) · Re-Test: Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.- Bereich
- Formulare
- Guide
- öffnen
Cookies sicher konfigurieren
hoch · 0-7 Tage · IT/Webbetrieb · Aufwand klein
Cookies sollten technisch sauber gesetzt sein und nicht mehr Daten preisgeben als nötig.
2 Befund(e) · Re-Test: Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.- Bereich
- Cookie Security
- Guide
- öffnen
Datenschutz-Webseiten-Prüfkatalog umsetzen
hoch · 0-7 Tage · Programm-Owner/Datenschutz · Aufwand hoch
Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.
4 Befund(e) · Re-Test: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.- Bereich
- Programmsteuerung
- Guide
- öffnen
Security-Header setzen
hoch · 0-7 Tage · IT/Security · Aufwand mittel
Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.
8 Befund(e) · Re-Test: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.- Bereich
- Web Security
- Guide
- öffnen
Drittanbieter im Datenschutz erklären
mittel · 7-30 Tage · Legal/Vendor Owner · Aufwand mittel
Externe Browserkontakte müssen für Nutzer nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.
1 Befund(e) · Re-Test: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.- Bereich
- Drittanbieter
- Guide
- öffnen
Session-Replay und Fingerprinting prüfen
niedrig · quartalsweise · Marketing/Datenschutz · Aufwand hoch
Fingerprinting, Session-Replay und Eingabeaufzeichnung sind besonders erklärungsbedürftig, weil Nutzer sie beim Seitenbesuch kaum erkennen können.
1 Befund(e) · Re-Test: Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.- Bereich
- Behavior Tracking
- Guide
- öffnen
Cookie-Laufzeiten und Zwecke prüfen
niedrig · quartalsweise · Marketing/IT/Datenschutz · Aufwand mittel
Cookie-Scanner und Audits achten nicht nur auf Namen und Anbieter, sondern auch darauf, ob Speicherdauer, Zweck und Consent-Zustand zusammenpassen.
1 Befund(e) · Re-Test: Cookie- und Storage-Zustände je Consent-Status exportieren.- Bereich
- Cookie Inventory
- Guide
- öffnen
Barrierefreiheit bei Bannern und Formularen prüfen
niedrig · quartalsweise · UX/Content/IT · Aufwand mittel
Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.
1 Befund(e) · Re-Test: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.- Bereich
- Usability & BITV
- Guide
- öffnen
Arbeitsphasen
Von Befund zu belegtem Re-Scan
Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.
Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.
Tracker- und Service-Mapping
Scanner-Funde in Dienste, Zwecke und Freigaben überführen
JSESSIONID
cookie_storage · necessary
Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
gemmunity.de
glide_node_id_for_js
cookie_storage · unknown
Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
gemmunity.de
glide_user_route
cookie_storage · unknown
Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
gemmunity.de
lb
cookie_storage · unknown
Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
gemmunity.deAbnahme und Quellen
Was nach Umsetzung nachweisbar sein muss
Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe TelemedienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale DiensteDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BSI IT-Grundschutz APP.3.1 Webanwendungen · BITV 2.0Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · BSI IT-Grundschutz APP.3.1 Webanwendungen · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe Telemedien · BfDI: Cookies und Tracking-TechnologienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BSI IT-Grundschutz APP.3.1 Webanwendungen · BSI IT-Grundschutz APP.3.2 Webserver · MDN: Content Security PolicyDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · Google Tag Platform: ConsentDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · EDPB Guidelines 05/2020 ConsentDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · DSK Orientierungshilfe Digitale Dienste · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BITV 2.0 · BFIT Bund · Google Search Central: Page Experience