{ "schema": "https://saferpage.de/schemas/operator-fix-guide-package.v1", "generated_at": "2026-06-10T20:42:13+00:00", "domain": "haus-der-sprachmittlung.de", "available": true, "scan": { "id": "fa9587c3-ac0e-4272-ba89-e324fe711508", "checked_at": "2026-06-10 19:20:44.175231+02" }, "summary": "haus-der-sprachmittlung.de: 14 priorisierte Betreiber-Guide(s) aus 35 Befund(en).", "metrics": { "issue_count": 35, "guide_count": 14, "high_priority_count": 12, "medium_priority_count": 8, "tracker_task_count": 4, "remediation_ticket_count": 39, "high_ticket_count": 13, "acceptance_count": 42, "source_count": 14, "platform_playbook_count": 1, "platform_playbook_step_count": 4, "platform_playbook_acceptance_count": 3, "platform_playbook_boundary_count": 1, "platform_playbook_evidence_url_count": 1, "quality_review_row_count": 6, "quality_review_acceptance_count": 6, "quality_review_boundary_count": 6, "quality_review_evidence_url_count": 6, "quality_review_guide_url_count": 6 }, "guide_streams": [ { "guide_slug": "sichtbare-versionen-und-cves-beheben", "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "title": "Sichtbare Versionen und CVE-Hinweise beheben", "intro": "Sichtbare veraltete Versionen können ein Risiko sein und sollten gegen Herstellerhinweise geprüft werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Vulnerability Hygiene", "owner": "IT/Security", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "known_vulnerability_advisory", "area": "vulnerability", "title": "CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "sichtbare-versionen-und-cves-beheben", "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "source": "finding" } ], "guide_steps": [ "Aktualisieren Sie CMS, Plugins, Themes, Frameworks und JavaScript-Bibliotheken.", "Entfernen Sie unnötige Versionshinweise aus Headern und Generator-Meta-Tags.", "Prüfen Sie CVE-Hinweise gegen den tatsächlichen Paketstand, besonders bei Distributionen mit Backports." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Generator-, Header- und Bibliothekssignale erneut prüfen.", "evidence": "Patchstand, Herstellerhinweis, CVE-Bewertung, Backport-Nachweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Generator-, Header- und Bibliothekssignale erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" } ] }, { "guide_slug": "referrer-und-url-leaks-vermeiden", "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "title": "Referrer- und URL-Leaks vermeiden", "intro": "Seitenpfade, Suchparameter und Tracking-Parameter können an Drittanbieter gelangen. Für Nutzer ist wichtig, dass Formular-, Such- oder Kontokontexte nicht unnötig in Tags, Referrern oder Logs auftauchen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Referrer & URL Hygiene", "owner": "Webentwicklung/IT", "effort": "klein", "issue_count": 3, "issues": [ { "id": "third_party_sensitive_query_leak", "area": "privacy", "title": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "referrer-und-url-leaks-vermeiden", "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "source": "finding" }, { "id": "third_party_page_url_parameter", "area": "privacy", "title": "Seiten-URL wird in Drittanbieter-Requests übertragen", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Tracking-/Tag-Parameter für Anbieter wie consent.agenten.app so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "referrer-und-url-leaks-vermeiden", "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "source": "finding" }, { "id": "module_referrer_url_leaks", "area": "Audit-Modul", "title": "Referrer & URL-Leaks", "priority": "hoch", "impact_score": 52, "evidence": "1 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 6 sensible Query-Kontexte.", "operator_action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "referrer-und-url-leaks-vermeiden", "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "source": "audit_module" } ], "guide_steps": [ "Setzen Sie eine Referrer-Policy wie strict-origin-when-cross-origin, origin-when-cross-origin, origin oder no-referrer passend zur Seite.", "Entfernen Sie personenbezogene Werte, Token, Session-IDs und E-Mail-Adressen aus URLs; nutzen Sie POST, serverseitige Zustände oder kurzlebige interne IDs.", "Konfigurieren Sie Analytics-, Ads- und Tag-Manager so, dass keine vollständigen Seiten-URLs mit sensiblen Parametern an Drittanbieter gesendet werden.", "Blockieren Sie Tracking auf Such-, Login-, Kontakt-, Checkout- und Formularseiten bis zur Einwilligung oder verzichten Sie dort ganz darauf.", "Prüfen Sie nach Änderungen Browser-Requests, Referrer, Exportdaten und Serverlogs erneut." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Referrer-Header und Query-Parameter in Request-Samples kontrollieren.", "evidence": "Referrer-Policy, Tag-Konfiguration, URL-Parameter-Regel." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Referrer-Header und Query-Parameter in Request-Samples kontrollieren.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" } ] }, { "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "title": "Tracking und Consent reparieren", "intro": "Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Consent & Tracking", "owner": "Marketing/IT/Datenschutz", "effort": "mittel", "issue_count": 6, "issues": [ { "id": "consent_no_reject_option", "area": "privacy", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "module_privacy_consent", "area": "Audit-Modul", "title": "Datenschutz, Cookies & Consent", "priority": "mittel", "impact_score": 35, "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 74.", "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "audit_module" }, { "id": "consent_preconsent_gap", "area": "Consent & Tracking", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "mittel", "impact_score": 26, "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing/IT", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "consent_audit" }, { "id": "gpc_privacy_domains_present", "area": "privacy", "title": "Datenschutzrelevante Kontakte trotz GPC-Signal", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Bei aktivem Global Privacy Control sollten Anbieter wie Vimeo besonders begründet oder blockiert werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "consent_state_gpc_evidence_review", "area": "privacy", "title": "Consent-Zustand: GPC mit Tracking-Hinweisen", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" }, { "id": "cmp_api_not_detected", "area": "privacy", "title": "Keine gängige CMP-/TCF-API im Browser erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "finding" } ], "guide_steps": [ "Blockieren Sie Analytics-, Ads-, Pixel- und Remarketing-Skripte bis zur aktiven Zustimmung.", "Nutzen Sie CMP-Autoblocking oder neutrale Script-/Iframe-Attribute wie type=\"text/plain\" beziehungsweise data-cookieblock-src, damit Quellen nicht vor Consent laden.", "Bieten Sie Ablehnen und Akzeptieren gleich sichtbar an; vermeiden Sie reine Akzeptieren-Banner.", "Dokumentieren Sie Anbieter, Zwecke, Rechtsgrundlagen und Widerruf in der Datenschutzerklärung.", "Testen Sie die Startseite im Inkognito-Fenster ohne Zustimmung und prüfen Sie, ob Trackingkontakte ausbleiben." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "pii-und-url-datenlecks-vermeiden", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "title": "PII- und URL-Datenlecks vermeiden", "intro": "Personenbezogene Daten, Tokens und Formularwerte sollten nicht in URLs, Referrern, Logs oder Tracking-Tags landen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "PII Leakage", "owner": "Webentwicklung/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "pii_external_form_action", "area": "privacy", "title": "Formular mit personenbezogenen Feldern sendet an externe Domain", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Externe Formularziele auf Auftragsverarbeitung, Zweck, Region und Datenschutzerklärung prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "pii-und-url-datenlecks-vermeiden", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "source": "finding" }, { "id": "pii_tracking_on_data_entry_page", "area": "privacy", "title": "Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "pii-und-url-datenlecks-vermeiden", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "source": "finding" }, { "id": "module_pii_exposure", "area": "Audit-Modul", "title": "PII, URL-Parameter & Datenleck-Schutz", "priority": "mittel", "impact_score": 31, "evidence": "2 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.", "operator_action": "Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "pii-und-url-datenlecks-vermeiden", "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "source": "audit_module" } ], "guide_steps": [ "Senden Sie Formulare mit personenbezogenen Daten per POST und vermeiden Sie GET-Parameter wie email, phone, name, token oder customer_id.", "Entfernen Sie personenbezogene Werte aus internen Links, Weiterleitungen, Suchparametern und Bestätigungsseiten.", "Blockieren Sie Analytics-, Ads- und Session-Replay-Tags auf Formularseiten bis zur Einwilligung und übergeben Sie keine Formularwerte an Tags.", "Prüfen Sie externe Formularziele auf Zweck, Anbieter, Region, Auftragsverarbeitung und Datenschutzhinweise.", "Konfigurieren Sie Referrer-Policy, Logging und Monitoring so, dass sensible Query-Strings nicht unnötig gespeichert werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "URLs, Referrer, Logs und Drittanbieter-Requests auf personenbezogene Werte prüfen.", "evidence": "Parameter-Inventar, Referrer-Policy, Logging-Konfiguration, Re-Scan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "URLs, Referrer, Logs und Drittanbieter-Requests auf personenbezogene Werte prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" } ] }, { "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "title": "SEO-Spam und Cloaking bereinigen", "intro": "Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Trust & Content Integrity", "owner": "Webbetrieb/SEO/Security", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "external_canonical", "area": "seo", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" } ], "guide_steps": [ "Entfernen Sie versteckte Linklisten, Keyword-Stuffing und automatisch erzeugte Doorway-Seiten.", "Vergleichen Sie normalen Abruf und Googlebot-Abruf auf Weiterleitungen und sichtbare Inhalte.", "Prüfen Sie CMS, Themes und Plugins auf Schadcode, wenn solche Muster unerwartet auftauchen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webbetrieb/SEO/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webbetrieb/SEO/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "evidence": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "sources": [ { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "title": "Security-Header setzen", "intro": "Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Web Security", "owner": "IT/Security", "effort": "mittel", "issue_count": 9, "issues": [ { "id": "missing_csp", "area": "security_headers", "title": "Content-Security-Policy fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_x_content_type_options", "area": "security_headers", "title": "X-Content-Type-Options fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "module_security_tls", "area": "Audit-Modul", "title": "Sicherheit, TLS & Header", "priority": "mittel", "impact_score": 42, "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 2.", "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "audit_module" }, { "id": "security_header_gap", "area": "Security", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "impact_score": 42, "evidence": "2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "IT/Security", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "security_header" }, { "id": "missing_cross_origin_embedder_policy", "area": "security_headers", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_opener_policy", "area": "security_headers", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_resource_policy", "area": "security_headers", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_referrer_policy", "area": "security_headers", "title": "Referrer-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_permissions_policy", "area": "security_headers", "title": "Permissions-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" } ], "guide_steps": [ "Setzen Sie HSTS nach erfolgreichem HTTPS-Test.", "Nutzen Sie Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy.", "Starten Sie mit einer vorsichtigen CSP im Report-Only-Modus und verschärfen Sie sie schrittweise.", "Entfernen Sie unsafe-inline, unsafe-eval, Wildcards und reine http:-Quellen aus script-src, sobald Nonces, Hashes oder konkrete Hosts funktionieren.", "Setzen Sie base-uri und object-src restriktiv, typischerweise base-uri self und object-src none.", "Nutzen Sie frame-ancestors oder X-Frame-Options, damit fremde Seiten die Website nicht ungewollt einbetten." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "evidence": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" } ] }, { "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "title": "Drittanbieter im Datenschutz erklären", "intro": "Externe Browserkontakte müssen für Nutzer nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.", "priority": "hoch", "impact_score": 84, "phase": "0-7 Tage", "area": "Drittanbieter", "owner": "Legal/Vendor Owner", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "vendor_contract_transfer_fix", "area": "Anbieter & Transfer", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "impact_score": 84, "evidence": "Vendor-Due-Diligence mit 2 Anbieter(n), 0 hohem Risiko, 2 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).", "operator_action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "owner": "Legal/Vendor Owner", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "vendor_due_diligence" }, { "id": "module_browser_evidence", "area": "Audit-Modul", "title": "Browser-Nachweis", "priority": "hoch", "impact_score": 52, "evidence": "42 Request(s), 2 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 0.", "operator_action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "audit_module" }, { "id": "browser_privacy_relevant_third_parties", "area": "privacy", "title": "Datenschutzrelevante Drittanbieter im Browseraufruf", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Prüfen, ob Anbieter wie Vimeo in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "source": "finding" } ], "guide_steps": [ "Erstellen Sie eine Liste aller externen Domains, die beim ersten Seitenaufruf geladen werden.", "Ordnen Sie jeden Anbieter einem Zweck zu: Hosting/CDN, Fonts, Consent, Analytics, Werbung, Zahlung oder Support.", "Dokumentieren Sie pro Anbieter Empfängerrolle, Anbieterland, Transfergrundlage, AVV/Vertrag und Widerrufs- oder Opt-out-Möglichkeit.", "Reduzieren Sie unnötige Drittanbieter und erklären Sie die übrigen verständlich in Cookie-Auswahl und Datenschutzhinweisen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Vendor Owner", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Vendor Owner", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "evidence": "Anbieterregister, AVV/DPA-Status, Transferbewertung, Datenschutzhinweis." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "title": "Barrierefreiheit bei Bannern und Formularen prüfen", "intro": "Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.", "priority": "mittel", "impact_score": 55, "phase": "7-30 Tage", "area": "Usability & BITV", "owner": "UX/Content/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "module_accessibility_usability", "area": "Audit-Modul", "title": "Barrierefreiheit & Usability", "priority": "mittel", "impact_score": 25, "evidence": "11 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.", "operator_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "audit_module" }, { "id": "accessibility_gap", "area": "Barrierefreiheit", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "mittel", "impact_score": 25, "evidence": "14 Bild(er), 3 Formularfeld(er), 4 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "UX/IT", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "accessibility" }, { "id": "image_alt_missing", "area": "accessibility", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" } ], "guide_steps": [ "Stellen Sie sicher, dass Cookie-Banner per Tastatur, Screenreader und Mobilgerät bedienbar sind.", "Blockieren Sie Datenschutz, Impressum und Inhalt nicht dauerhaft durch ein Banner.", "Versehen Sie Formularfelder mit Labels, verständlichen Fehlermeldungen und passenden Autocomplete-Attributen.", "Prüfen Sie Kontrast, Fokuszustände, Tab-Reihenfolge und Feedbackmechanismus für Barrierefreiheitsmeldungen.", "Testen Sie kritische Formulare manuell und automatisiert, besonders Kontakt, Antrag, Login und Newsletter." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "UX/Content/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "UX/Content/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "evidence": "Testprotokoll, Screenshots, bekannte Einschränkungen." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "sources": [ { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" }, { "label": "BFIT Bund", "url": "https://www.bfit-bund.de/DE/Home/home_node.html" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "formulare-datenschutzkonform-absichern", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "title": "Formulare und Zahlungen absichern", "intro": "Formulare, Logins, Newsletter und Checkout-Bereiche brauchen HTTPS, klare Zwecke, Datensparsamkeit, sichtbare Datenschutzinformationen und einen Re-Scan nach jeder Änderung.", "priority": "mittel", "impact_score": 31, "phase": "7-30 Tage", "area": "Formulare", "owner": "Webentwicklung/Datenschutz", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "module_forms_payments", "area": "Audit-Modul", "title": "Formulare, Login & Zahlung", "priority": "mittel", "impact_score": 31, "evidence": "Die Seite kann E-Mail, Adresse, Name/personenbezogene Daten, Kontaktformular, Newsletter abfragen.", "operator_action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "formulare-datenschutzkonform-absichern", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "source": "audit_module" } ], "guide_steps": [ "Inventarisieren Sie jede Formularseite aus Startseite, Crawl-Coverage, Login, Kontakt, Newsletter, Suche, Checkout und eingebetteten Formularanbietern.", "Erklären Sie direkt am Formular Zweck, Pflichtfelder, freiwillige Angaben, Empfänger, Speicherdauer und Kontaktweg für Datenschutzfragen.", "Verlinken Sie Datenschutzhinweise in Formularnähe und stellen Sie sicher, dass Footer-, Datenschutz- und Impressumslinks auch bei Consent-Walls oder Overlays erreichbar bleiben.", "Minimieren Sie Pflichtfelder und trennen Sie Eingaben nach Zweck; sensible Felder brauchen besonders klare Hinweise und dürfen nicht unnötig an Tracking, Logs oder Drittanbieter fließen.", "Nutzen Sie HTTPS und POST für personenbezogene Eingaben; vermeiden Sie GET-Parameter wie email, phone, name, token oder customer_id in Formular- und Bestätigungs-URLs.", "Prüfen Sie Formularziel, externe Formularanbieter, Zahlungsdienste, Captchas und Newsletter-Tools auf AVV/DPA, Region, Transfergrundlage und Datenschutzhinweis.", "Blockieren Sie Analytics-, Ads-, Session-Replay- und Pixel-Tags auf Formularseiten bis zur Einwilligung und übergeben Sie keine Formularwerte an Tag Manager oder Drittanbieter.", "Setzen Sie passende Labels, Fehlermeldungen, Autocomplete-Attribute, Tastaturbedienung und mobile Darstellung um, damit Datenschutz- und Usability-Prüfung zusammenpassen.", "Dokumentieren Sie je Formularseite Screenshot, Zweck, Pflichtfelder, Ziel-URL, Consent-Zustand, Referrer-Policy und Re-Scan-Nachweis." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.", "evidence": "Formularzweck, Rechtsgrundlage, Datensparsamkeit, Log-/Tracking-Prüfung." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" } ] }, { "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "title": "Tracking-Pixel und Beacons begrenzen", "intro": "Unsichtbare Pixel, Link-Pings, sendBeacon und Keepalive-Telemetrie können Seitenaufrufe, Klicks und Kampagnenkontakte übertragen, ohne dass Nutzer sie sehen.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Pixel & Beacons", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "tracking_pixel_detected", "area": "privacy", "title": "Tracking-Pixel oder pixelnahe Requests erkannt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Pixel von consent.agenten.app erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "source": "finding" } ], "guide_steps": [ "Inventarisieren Sie alle Pixel- und Beacon-Ziele mit Anbieter, Zweck, Rechtsgrundlage, Consent-Kategorie und Auslösezeitpunkt.", "Laden Sie Werbe-, Analytics-, Conversion- und Retargeting-Pixel erst nach aktiver Einwilligung.", "Entfernen Sie ping-Attribute an Links oder ersetzen Sie sie durch datensparsame interne Messung ohne Drittanbieter.", "Prüfen Sie navigator.sendBeacon und fetch keepalive auf gesendete Parameter; personenbezogene Werte, volle URLs und Formularumfelder dürfen nicht unnötig übertragen werden.", "Dokumentieren Sie Pixel und Telemetrie in Datenschutzerklärung und Consent-Oberfläche mit konkretem Anbieter und Zweck.", "Testen Sie Erstaufruf, Ablehnen, Akzeptieren und GPC separat, weil Pixel oft durch Tag-Manager nachgeladen werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.", "evidence": "Tag-Manager-Regeln, Zweckliste, Consent-Test, Request-Samples." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "externe-inhalte-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/externe-inhalte-datenschutzfreundlich-einbinden", "title": "Externe Inhalte datenschutzfreundlich einbinden", "intro": "Videos, Karten, Captchas und Social-Widgets können schon beim ersten Seitenaufruf IP-Adresse, Geräteinformationen und Seitenkontext an Drittanbieter senden.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Externe Inhalte", "owner": "Content/Webentwicklung", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "embedded_video_preconsent", "area": "privacy", "title": "Video-Embed lädt Drittanbieter beim Seitenaufruf", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Videos von Vimeo mit Vorschaubild, Zwei-Klick-Lösung oder Consent-gesteuert laden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-inhalte-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/externe-inhalte-datenschutzfreundlich-einbinden", "source": "finding" } ], "guide_steps": [ "Ersetzen Sie Video- und Karten-iframes durch lokale Vorschaubilder mit klarer Zwei-Klick-Aktivierung.", "Laden Sie YouTube, Vimeo, Google Maps, OpenStreetMap-Kacheln und Social-Widgets erst nach Klick oder passender Einwilligung.", "Nutzen Sie für Karten wenn möglich statische Bilder, Adresslinks oder datensparsame lokale Alternativen.", "Laden Sie Captchas nur auf Formularseiten, auf denen sie wirklich benötigt werden, und prüfen Sie barrierearme Alternativen.", "Erklären Sie Anbieter, Zweck, Datenkategorien, Region, Rechtsgrundlage und Widerruf verständlich in Datenschutzerklärung und Consent-Oberfläche." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Content/Webentwicklung", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Content/Webentwicklung", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Iframes, Karten, Videos und Captchas vor Aktivierung erneut prüfen.", "evidence": "Zwei-Klick-Konzept, Screenshot, Datenschutzhinweis, Consent-Regel." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Iframes, Karten, Videos und Captchas vor Aktivierung erneut prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" } ] }, { "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "title": "Datenschutzerklärung verbessern", "intro": "Eine gute Datenschutzerklärung erklärt für Nutzer verständlich, welche Daten verarbeitet werden und warum.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Transparenz", "owner": "Datenschutz/Content", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "privacy_policy_update_date_missing", "area": "privacy", "title": "Stand der Datenschutzerklärung nicht klar erkennbar", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Ergänzen Sie ein gut sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach technischen Änderungen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutzerklaerung-verbessern", "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "source": "finding" } ], "guide_steps": [ "Verlinken Sie die Datenschutzerklärung gut sichtbar im Footer und in Formularnähe.", "Nennen Sie Zwecke, Rechtsgrundlagen, Empfänger/Drittanbieter, Speicherdauer und Betroffenenrechte.", "Erklären Sie Cookies, Tracking, Kontaktformulare, Newsletter und Zahlungsanbieter konkret statt nur allgemein.", "Pflegen Sie ein sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach neuen Tools, Cookies oder Formularen erneut.", "Nennen Sie einen Datenschutzkontakt oder den Datenschutzbeauftragten-Hinweis so, dass Nutzer Anfragen ohne Suchen stellen können.", "Strukturieren Sie lange Absätze mit klaren Zwischenüberschriften und kurzen Sätzen, damit auch nicht-juristische Nutzer die Hinweise verstehen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Datenschutz/Content", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Datenschutz/Content", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "evidence": "Versionierter Datenschutzhinweis, Änderungsdatum, Freigabeprotokoll." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "title": "Externe Skripte und SRI absichern", "intro": "Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Nutzer zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Browser Supply Chain", "owner": "IT/Webentwicklung", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "external_script_without_sri", "area": "security_headers", "title": "Externe Skripte ohne Subresource Integrity", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "finding" } ], "guide_steps": [ "Führen Sie ein Skriptinventar mit Host, Anbieter, Zweck, Kategorie, Rechtsgrundlage, Consent-Zustand und Verantwortlichem.", "Hosten Sie stabile Bibliotheken lokal, wenn kein zwingender CDN-Grund besteht.", "Setzen Sie für statische CDN-Skripte Subresource Integrity mit passendem crossorigin-Attribut und aktualisieren Sie Hashes bei Versionswechseln.", "Beschränken Sie erlaubte Skriptquellen über eine Content-Security-Policy und testen Sie Änderungen zuerst im Report-Only-Modus.", "Laden Sie Tracking-, Tag-Manager-, Ads-, Analytics- und Session-Replay-Skripte erst nach passender Einwilligung.", "Prüfen Sie nach jedem Plugin-, Theme-, Consent-Tool- oder Tag-Manager-Update erneut, ob neue externe Skriptquellen hinzugekommen sind." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webentwicklung", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webentwicklung", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "evidence": "Skriptinventar, SRI-Hashes, CSP-Report-Only-Test." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Subresource Integrity", "url": "https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "drittlandtransfer-und-anbieter-pruefen", "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen", "title": "Drittlandtransfer und Anbieter prüfen", "intro": "Externe Anbieter können IP-Adresse, Browserdaten, Cookies oder Formularumfeld erhalten. Für EU-/DE-Websites müssen Empfänger, Länder und Transfergrundlagen nachvollziehbar sein.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Vendor & Transfer", "owner": "Legal/Datenschutz", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "unknown_vendor_jurisdiction", "area": "privacy", "title": "Anbieter-Jurisdiktion nicht klar ableitbar", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Unklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "drittlandtransfer-und-anbieter-pruefen", "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen", "source": "finding" } ], "guide_steps": [ "Führen Sie ein Anbieterinventar mit Domain, Anbieter, Zweck, Kategorie, Region und Rechtsgrundlage.", "Prüfen Sie US- und Drittlandanbieter auf AVV/DPA, TOMs, EU-US Data Privacy Framework, Standardvertragsklauseln und Transfer Impact Assessment.", "Erklären Sie Empfänger, Drittlandtransfer, Zweck und Widerruf konkret in Datenschutzerklärung und Consent-Oberfläche.", "Reduzieren Sie nicht notwendige globale CDNs, Pixel und Tag-Manager oder laden Sie sie erst nach Einwilligung.", "Prüfen Sie unbekannte Hosts manuell: Betreiber, Hostingregion, Subprozessoren und ob ein EU-/lokaler Ersatz möglich ist." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "US-/Drittlandhosts, Anbieterrolle und Transfergrundlage erneut prüfen.", "evidence": "DPA/AVV, SCC/TIA, Subprozessorenliste, TOM-Anlage." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "US-/Drittlandhosts, Anbieterrolle und Transfergrundlage erneut prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] } ], "remediation_tickets": [ { "id": "remediation_vendor_contract_transfer_fix", "type": "befund_fix", "title": "Anbieterakten, AVV/DPA und Transfers priorisiert schließen", "priority": "hoch", "owner": "Legal/Vendor Owner", "area": "Anbieter & Transfer", "evidence": "Vendor-Due-Diligence mit 2 Anbieter(n), 0 hohem Risiko, 2 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).", "action": "Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "vendor_due_diligence", "sla": "7 Tage" }, { "id": "remediation_module_browser_evidence", "type": "befund_fix", "title": "Browser-Nachweis", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "42 Request(s), 2 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 0.", "action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_known_vulnerability_advisory", "type": "befund_fix", "title": "CVE-2026-24072: An escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier allows local .htaccess authors to read files with the privileges of the httpd user", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "vulnerability", "evidence": "", "action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/sichtbare-versionen-und-cves-beheben", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_external_canonical", "type": "befund_fix", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_csp", "type": "befund_fix", "title": "Content-Security-Policy fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_consent_no_reject_option", "type": "befund_fix", "title": "Cookie-Hinweis ohne klare Ablehnen-Option", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_pii_tracking_on_data_entry_page", "type": "befund_fix", "title": "Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_pii_external_form_action", "type": "befund_fix", "title": "Formular mit personenbezogenen Feldern sendet an externe Domain", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Externe Formularziele auf Auftragsverarbeitung, Zweck, Region und Datenschutzerklärung prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_module_referrer_url_leaks", "type": "befund_fix", "title": "Referrer & URL-Leaks", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "1 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 6 sensible Query-Kontexte.", "action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_third_party_page_url_parameter", "type": "befund_fix", "title": "Seiten-URL wird in Drittanbieter-Requests übertragen", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Tracking-/Tag-Parameter für Anbieter wie consent.agenten.app so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_third_party_sensitive_query_leak", "type": "befund_fix", "title": "Sensible URL-Schlüssel im Drittanbieter-Kontext", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/referrer-und-url-leaks-vermeiden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_x_content_type_options", "type": "befund_fix", "title": "X-Content-Type-Options fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "7 Tage" }, { "id": "mapping_request_player.vimeo.com", "type": "service_mapping", "title": "player.vimeo.com", "priority": "hoch", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "video_embed", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "evidence_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "tracker_mapping", "sla": "7 Tage" }, { "id": "remediation_module_accessibility_usability", "type": "befund_fix", "title": "Barrierefreiheit & Usability", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "11 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.", "action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_accessibility_gap", "type": "befund_fix", "title": "Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen", "priority": "mittel", "owner": "UX/IT", "area": "Barrierefreiheit", "evidence": "14 Bild(er), 3 Formularfeld(er), 4 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "accessibility", "sla": "30 Tage" }, { "id": "remediation_module_privacy_consent", "type": "befund_fix", "title": "Datenschutz, Cookies & Consent", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 74.", "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_module_forms_payments", "type": "befund_fix", "title": "Formulare, Login & Zahlung", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "Die Seite kann E-Mail, Adresse, Name/personenbezogene Daten, Kontaktformular, Newsletter abfragen.", "action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_module_pii_exposure", "type": "befund_fix", "title": "PII, URL-Parameter & Datenleck-Schutz", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.", "action": "Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_security_header_gap", "type": "befund_fix", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "mittel", "owner": "IT/Security", "area": "Security", "evidence": "2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "security_header", "sla": "30 Tage" }, { "id": "remediation_module_security_tls", "type": "befund_fix", "title": "Sicherheit, TLS & Header", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "2 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 2.", "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_consent_preconsent_gap", "type": "befund_fix", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "mittel", "owner": "Marketing/IT", "area": "Consent & Tracking", "evidence": "Consent ist teilweise erkennbar, aber einzelne Punkte sollten Betreiber nachpruefen.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "consent_audit", "sla": "30 Tage" }, { "id": "mapping_vendor_consent.agenten.app", "type": "service_mapping", "title": "consent.agenten.app", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "Sonstige", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "mapping_request_consent.agenten.app", "type": "service_mapping", "title": "consent.agenten.app", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "other", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "evidence_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "mapping_vendor_player.vimeo.com", "type": "service_mapping", "title": "player.vimeo.com", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "Video", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "remediation_unknown_vendor_jurisdiction", "type": "befund_fix", "title": "Anbieter-Jurisdiktion nicht klar ableitbar", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Unklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_image_alt_missing", "type": "befund_fix", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_consent_state_gpc_evidence_review", "type": "befund_fix", "title": "Consent-Zustand: GPC mit Tracking-Hinweisen", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_embedder_policy", "type": "befund_fix", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_opener_policy", "type": "befund_fix", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_resource_policy", "type": "befund_fix", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_browser_privacy_relevant_third_parties", "type": "befund_fix", "title": "Datenschutzrelevante Drittanbieter im Browseraufruf", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob Anbieter wie Vimeo in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_gpc_privacy_domains_present", "type": "befund_fix", "title": "Datenschutzrelevante Kontakte trotz GPC-Signal", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Bei aktivem Global Privacy Control sollten Anbieter wie Vimeo besonders begründet oder blockiert werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_external_script_without_sri", "type": "befund_fix", "title": "Externe Skripte ohne Subresource Integrity", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_cmp_api_not_detected", "type": "befund_fix", "title": "Keine gängige CMP-/TCF-API im Browser erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_permissions_policy", "type": "befund_fix", "title": "Permissions-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_referrer_policy", "type": "befund_fix", "title": "Referrer-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_privacy_policy_update_date_missing", "type": "befund_fix", "title": "Stand der Datenschutzerklärung nicht klar erkennbar", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Ergänzen Sie ein gut sichtbares Stand- oder Aktualisierungsdatum und prüfen Sie die Erklärung nach technischen Änderungen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutzerklaerung-verbessern", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_tracking_pixel_detected", "type": "befund_fix", "title": "Tracking-Pixel oder pixelnahe Requests erkannt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Pixel von consent.agenten.app erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_embedded_video_preconsent", "type": "befund_fix", "title": "Video-Embed lädt Drittanbieter beim Seitenaufruf", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Videos von Vimeo mit Vorschaubild, Zwei-Klick-Lösung oder Consent-gesteuert laden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-inhalte-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "rescan_url": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "source": "finding", "sla": "quartalsweise" } ], "tracker_mapping_tasks": [ { "id": "vendor_player.vimeo.com", "label": "player.vimeo.com", "type": "vendor", "status": "prüfen", "evidence": "Video", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "target_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de" }, { "id": "vendor_consent.agenten.app", "label": "consent.agenten.app", "type": "vendor", "status": "prüfen", "evidence": "Sonstige", "action": "Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.", "guide_slug": "drittanbieter-datenschutz-erklaeren", "guide_url": "https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren", "target_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de" }, { "id": "request_player.vimeo.com", "label": "player.vimeo.com", "type": "browser_request", "status": "datenschutzrelevant", "evidence": "video_embed", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "guide_slug": "servicekarte-und-anbieterinventar-aufbauen", "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "target_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de" }, { "id": "request_consent.agenten.app", "label": "consent.agenten.app", "type": "browser_request", "status": "prüfen", "evidence": "other", "action": "Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.", "guide_slug": "servicekarte-und-anbieterinventar-aufbauen", "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "target_url": "https://saferpage.de/anbieter/haus-der-sprachmittlung.de" } ], "platform_playbooks": [ { "id": "typo3", "platform": "TYPO3", "summary": "TYPO3-Core, Extensions, Sitepackage, Fluid-Templates, Consent-Extension und Caches zusammen prüfen.", "steps": [ "TYPO3 Core und Extensions gemäß Wartungsstatus aktualisieren; Composer-/Extension-Lockfile sichern.", "Sitepackage und Fluid-Templates nach externen Fonts, Maps, Videos, Analytics und Tag-Manager-Snippets durchsuchen.", "Consent-Extension so konfigurieren, dass externe Skripte und Iframes erst nach passender Einwilligung laden.", "Security-Header und TLS/HSTS auf Webserver-/Proxy-Ebene testen; TYPO3-Caches nach Änderung leeren." ], "acceptance": [ "Extension-Liste und Wartungsstatus dokumentiert.", "Pflichtseiten werden im Seiteninventar gefunden.", "Consent-Zustände sind im Re-Scan stabil." ], "owner": "Webbetrieb/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/cms-plugin-patchstand-nachweisen", "technology_evidence_url": "https://saferpage.de/technik/haus-der-sprachmittlung.de/export", "rescan_url": "https://saferpage.de/?url=haus-der-sprachmittlung.de", "boundary": "Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen." } ], "quality_review_playbook": { "summary": "Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.", "rows": [ { "id": "consent_wall_paywall_review", "label": "Consent-Wall, Paywall oder Overlay einordnen", "review_question": "Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?", "operator_action": "Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.", "acceptance": "Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.", "boundary": "Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.", "evidence_url": "https://saferpage.de/haus-der-sprachmittlung.de", "guide_url": "https://saferpage.de/methodik", "status": "bei Bedarf prüfen" }, { "id": "google_consent_applicability_review", "label": "Google Consent Mode nur bei Google-Evidenz fordern", "review_question": "Wurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen?", "operator_action": "Keinen Google-Consent-Mode-Fix verlangen, solange keine Google-Tag-/Domain-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen.", "acceptance": "Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence.", "boundary": "Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.", "evidence_url": "https://saferpage.de/haus-der-sprachmittlung.de/top-fixes-json", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "status": "nicht erforderlich" }, { "id": "form_coverage_review", "label": "Formular-Coverage gegen Startseiten-Sample abgleichen", "review_question": "Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?", "operator_action": "Alle 1 Formular(e) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen.", "acceptance": "Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.", "boundary": "SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung.", "evidence_url": "https://saferpage.de/abdeckung/haus-der-sprachmittlung.de/export", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "status": "Crawl-Evidence vorhanden" }, { "id": "cookie_context_review", "label": "Cookies nach Zweck statt pauschal bewerten", "review_question": "Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?", "operator_action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.", "acceptance": "Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.", "boundary": "Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.", "evidence_url": "https://saferpage.de/cookies/haus-der-sprachmittlung.de", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "status": "Baseline dokumentieren" }, { "id": "score_wording_review", "label": "Score und Warntexte als Priorisierung formulieren", "review_question": "Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?", "operator_action": "Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.", "acceptance": "Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.", "boundary": "Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.", "evidence_url": "https://saferpage.de/evidence/report-quality-smoke.json", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" }, { "id": "statement_boundary_review", "label": "Aussage-Ampel und Claim-Grenzen übernehmen", "review_question": "Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?", "operator_action": "Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.", "acceptance": "Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.", "boundary": "Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.", "evidence_url": "https://saferpage.de/haus-der-sprachmittlung.de", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" } ], "metrics": { "row_count": 6, "acceptance_count": 6, "boundary_count": 6, "evidence_url_count": 6, "guide_url_count": 6, "privacy_relevant_domain_count": 1, "pre_consent_cookie_count": 0, "form_count": 1, "google_evidence_count": 0 } }, "phases": [ { "id": "triage", "label": "Triage", "timebox": "0-48 Stunden", "action": "Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern." }, { "id": "fix", "label": "Fix umsetzen", "timebox": "0-14 Tage", "action": "Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren." }, { "id": "content", "label": "Nutzertexte synchronisieren", "timebox": "parallel", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen." }, { "id": "rescan", "label": "Re-Scan und Freigabe", "timebox": "nach Deployment", "action": "Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen." } ], "links": { "fix_guides": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de", "json": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/export", "csv": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/export-csv", "markdown": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/playbook-md", "tickets_json": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/tickets-json", "tickets_csv": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/tickets-csv", "tickets_markdown": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/tickets-md", "tickets_delivery_json": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/tickets-delivery-json", "tickets_delivery_csv": "https://saferpage.de/fix-guides/haus-der-sprachmittlung.de/tickets-delivery-csv", "findings": "https://saferpage.de/befunde/haus-der-sprachmittlung.de", "operator_board": "https://saferpage.de/betreiber/haus-der-sprachmittlung.de", "privacy_hub": "https://saferpage.de/datenschutz-hub/haus-der-sprachmittlung.de", "scan_operations": "https://saferpage.de/scanbetrieb/haus-der-sprachmittlung.de", "guides_index": "https://saferpage.de/guides", "report": "https://saferpage.de/haus-der-sprachmittlung.de" }, "competitor_references": [ { "title": "Cookiebot Scan Report", "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report", "note": "Scanreports verbinden Cookie-/Prior-Consent-Befunde mit Betreiberaktionen." }, { "title": "Usercentrics Handling Trackers", "url": "https://support.usercentrics.com/hc/en-us/articles/18579668393372-Handling-trackers", "note": "Tracker-Ergebnisse werden gemappt, blockiert oder bewusst manuell verwaltet." }, { "title": "Osano Compliance Check", "url": "https://www.osano.com/features/compliance-check", "note": "Compliance Checks priorisieren Lücken und geben Hinweise zur schnellen Behebung." } ], "disclaimer": "Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben." }