Priorisierte Korrekturanleitungen

hdm-stuttgart.de: Betreiber-Fix-Guides

hdm-stuttgart.de: 13 priorisierte Betreiber-Guide(s) aus 29 Befund(en).

Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.

13 Guides

JSON CSV Playbook MD Tickets JSON Tickets CSV Delivery JSON Delivery CSV Befunde Betreiber-Board Datenschutz-Hub Re-Scan

29Befunde 13Guide-Streams 14hoch 31Tickets 2Tracker-Tasks 1Plattform-Playbooks 6Review-Grenzen 39Abnahmen 17Quellen

Remediation Tickets

Aus Befunden werden umsetzbare Betreiberaufgaben

Tickets exportieren

Anbieterakten, AVV/DPA und Transfers priorisiert schließen hoch · SLA 7 Tage · Legal/Vendor Owner

Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.

Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).

Bereich: Anbieter & Transfer
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Beacon-/Keepalive-Telemetrie erkannt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Dateneingabe ohne klaren Datenschutzkontext hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.

Bereich: data_entry
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Datenschutz, Cookies & Consent hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.

0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 40.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google Consent Mode Default nicht erkannt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google-Dienste hoch · SLA 7 Tage · Marketing Ops/Webentwicklung

Befund mit Betreiber-Guide beheben und danach erneut scannen.

Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.

Bereich: Google Consent Mode und Tags reparieren
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google-Dienste & Drittanbieter hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.

Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Impressum, Kontakt & Datenschutzerklärung hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.

Impressum: nein, Datenschutz: nein, Kontakt: nein.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Kein Impressum-Link erkannt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Keine klare Kontaktmöglichkeit erkannt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Seiten-URL wird in Drittanbieter-Requests übertragen hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Tracking-/Tag-Parameter für Anbieter wie analytics.hdm-stuttgart.de so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren hoch · SLA 7 Tage · Marketing/IT

Befund mit Betreiber-Guide beheben und danach erneut scannen.

Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.

Bereich: Consent & Tracking
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Fehlalarm- und Grenzen-Review

Automatische Befunde vor Umsetzung richtig einordnen

Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.

Playbook MD JSON Report-Quality

6Review-Fragen 6Abnahmen 6Grenzen 6Nachweise

Consent-Wall, Paywall oder Overlay einordnen bei Bedarf prüfen

Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?

Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen. Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert. Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz. Nachweis öffnen · Guide

Google Consent Mode nur bei Google-Evidenz fordern nicht erforderlich

Wurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen?

Betreiberaktion: Keinen Google-Consent-Mode-Fix verlangen, solange keine Google-Tag-/Domain-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen. Abnahme: Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence. Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan. Nachweis öffnen · Guide

Formular-Coverage gegen Startseiten-Sample abgleichen manuell ergänzen

Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?

Betreiberaktion: Nicht sichtbare, mehrstufige oder Login-Formulare manuell ergänzen, wenn der Kurzcheck keine Formular-Evidence fand. Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar. Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Nachweis öffnen · Guide

Cookies nach Zweck statt pauschal bewerten Baseline dokumentieren

Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?

Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen. Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung. Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext. Nachweis öffnen · Guide

Score und Warntexte als Priorisierung formulieren immer prüfen

Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?

Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden. Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims. Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit. Nachweis öffnen · Guide

Aussage-Ampel und Claim-Grenzen übernehmen immer prüfen

Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?

Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren. Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims. Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking. Nachweis öffnen · Guide

Ticket Delivery

Aufgaben an Slack, Teams, Jira oder Webhooks übergeben

Das Delivery-Paket enthält Payload-Vorlagen, Idempotency-Keys, Body-SHA-256, HMAC-Signaturvertrag, Retry-Policy und Links zu Guide, Nachweis und Re-Scan. Es versendet nichts automatisch und enthält keine echten Secrets.

Delivery JSON Delivery CSV

Webhook

Strukturierte Events für interne PrivacyOps-Workflows, Queue-Worker oder Integrationsplattformen.

Slack / Teams

Kompakte Nachrichten mit Priorität, Owner, SLA und Nachweislink für operative Kanäle.

Jira

Ticket-Vorlagen mit Summary, Beschreibung, Labels, Priorität und deduplizierbarer External-ID.

HMAC-Receiver

Empfänger prüfen Signatur, Body-Hash, Event, Schema, Idempotency-Key und erlaubtes Zielsystem vor jeder Verarbeitung.

Test-Fixture

Der JSON-Export enthält ein öffentliches Test-Secret mit erwarteter Signatur für Receiver-Tests ohne produktive Secrets.

CMS-/Shop-Fixes

Plattformspezifische Reparatur-Playbooks

SaferPage leitet aus sichtbaren CMS-, Shop-, Frontend- und Deployment-Signalen konkrete Betreiber-Schritte ab. Wenn keine Plattform sicher erkennbar ist, wird kein CMS behauptet, sondern ein allgemeines Deployment-Playbook gezeigt.

Playbook MD JSON

TYPO3 Webbetrieb/IT/Datenschutz

TYPO3-Core, Extensions, Sitepackage, Fluid-Templates, Consent-Extension und Caches zusammen prüfen.

TYPO3 Core und Extensions gemäß Wartungsstatus aktualisieren; Composer-/Extension-Lockfile sichern.

Sitepackage und Fluid-Templates nach externen Fonts, Maps, Videos, Analytics und Tag-Manager-Snippets durchsuchen.

Consent-Extension so konfigurieren, dass externe Skripte und Iframes erst nach passender Einwilligung laden.

Security-Header und TLS/HSTS auf Webserver-/Proxy-Ebene testen; TYPO3-Caches nach Änderung leeren.

Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Guide · Re-Scan

Guide-Streams

Welche Korrekturanleitungen zuerst umgesetzt werden sollten

Playbook exportieren

Impressum und Kontakt sichtbar machen hoch · 0-7 Tage · Legal/Content · Aufwand klein

Für deutschsprachige Nutzer sind klare Betreiberangaben ein zentrales Vertrauenssignal.

3 Befund(e) · Re-Test: Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.

Bereich: Betreibertransparenz
Guide: öffnen

Formulare und Zahlungen absichern hoch · 0-7 Tage · Webentwicklung/Datenschutz · Aufwand mittel

Formulare, Logins, Newsletter und Checkout-Bereiche brauchen HTTPS, klare Zwecke, Datensparsamkeit, sichtbare Datenschutzinformationen und einen Re-Scan nach jeder Änderung.

2 Befund(e) · Re-Test: Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.

Bereich: Formulare
Guide: öffnen

Google-Dienste datenschutzfreundlich einbinden hoch · 0-7 Tage · Marketing/IT · Aufwand mittel

Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.

3 Befund(e) · Re-Test: Google-Requests vor und nach Consent vergleichen.

Bereich: Google-Dienste
Guide: öffnen

Referrer- und URL-Leaks vermeiden hoch · 0-7 Tage · Webentwicklung/IT · Aufwand klein

Seitenpfade, Suchparameter und Tracking-Parameter können an Drittanbieter gelangen. Für Nutzer ist wichtig, dass Formular-, Such- oder Kontokontexte nicht unnötig in Tags, Referrern oder Logs auftauchen.

1 Befund(e) · Re-Test: Referrer-Header und Query-Parameter in Request-Samples kontrollieren.

Bereich: Referrer & URL Hygiene
Guide: öffnen

Tracking-Pixel und Beacons begrenzen hoch · 0-7 Tage · Marketing/IT · Aufwand mittel

Unsichtbare Pixel, Link-Pings, sendBeacon und Keepalive-Telemetrie können Seitenaufrufe, Klicks und Kampagnenkontakte übertragen, ohne dass Nutzer sie sehen.

1 Befund(e) · Re-Test: Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.

Bereich: Pixel & Beacons
Guide: öffnen

Datenschutz-Webseiten-Prüfkatalog umsetzen hoch · 0-7 Tage · Programm-Owner/Datenschutz · Aufwand hoch

Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.

3 Befund(e) · Re-Test: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.

Bereich: Programmsteuerung
Guide: öffnen

Security-Header setzen hoch · 0-7 Tage · IT/Security · Aufwand mittel

Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.

8 Befund(e) · Re-Test: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.

Bereich: Web Security
Guide: öffnen

Drittanbieter im Datenschutz erklären hoch · 0-7 Tage · Legal/Vendor Owner · Aufwand mittel

Externe Browserkontakte müssen für Nutzer nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.

1 Befund(e) · Re-Test: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.

Bereich: Drittanbieter
Guide: öffnen

Tracking und Consent reparieren hoch · 0-7 Tage · Marketing/IT/Datenschutz · Aufwand mittel

Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.

2 Befund(e) · Re-Test: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.

Bereich: Consent & Tracking
Guide: öffnen

Session-Replay und Fingerprinting prüfen niedrig · quartalsweise · Marketing/Datenschutz · Aufwand hoch

Fingerprinting, Session-Replay und Eingabeaufzeichnung sind besonders erklärungsbedürftig, weil Nutzer sie beim Seitenbesuch kaum erkennen können.

1 Befund(e) · Re-Test: Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.

Bereich: Behavior Tracking
Guide: öffnen

Barrierefreiheit bei Bannern und Formularen prüfen niedrig · quartalsweise · UX/Content/IT · Aufwand mittel

Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.

2 Befund(e) · Re-Test: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.

Bereich: Usability & BITV
Guide: öffnen

Performance und mobile Nutzbarkeit verbessern niedrig · quartalsweise · Webentwicklung/UX · Aufwand mittel

Langsame oder mobil schlecht nutzbare Seiten wirken für Nutzer weniger vertrauenswürdig.

1 Befund(e) · Re-Test: Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.

Bereich: Performance & Mobile
Guide: öffnen

HTTP- und Serverfehler beheben niedrig · quartalsweise · IT/Webbetrieb · Aufwand mittel

4xx- und 5xx-Statuscodes können Nutzer blockieren und Vertrauen schwächen.

1 Befund(e) · Re-Test: Statuscode, Redirects und Endzielseite erneut prüfen.

Bereich: Serverbetrieb
Guide: öffnen

Arbeitsphasen

Von Befund zu belegtem Re-Scan

Triage 0-48 Stunden

Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.

Fix umsetzen 0-14 Tage

Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.

Nutzertexte synchronisieren parallel

Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.

Re-Scan und Freigabe nach Deployment

Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.

Tracker- und Service-Mapping

Scanner-Funde in Dienste, Zwecke und Freigaben überführen

analytics.hdm-stuttgart.de vendor · prüfen

Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.

Sonstige

Ziel: öffnen
Guide: öffnen

analytics.hdm-stuttgart.de browser_request · prüfen

Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.

other

Ziel: öffnen
Guide: öffnen

Abnahme und Quellen