Priorisierte Korrekturanleitungen
kita-navigator.berlin.de: 15 priorisierte Betreiber-Guide(s) aus 38 Befund(en).
Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Evidence-first-Grenze
Fix-Guides trennen Scan-Evidence, Betreiberkontext und Nicht-behaupten-Grenzen, bevor Betreiber Tickets umsetzen oder externe Aussagen ableiten.
Claim-Grenze: Diese Betreiberseite ist ein Umsetzungs- und Review-Playbook. Konkrete Findings bleiben an Scan-Evidence gebunden; allgemeine Betreiberaufgaben sind Kontext und müssen fachlich freigegeben werden.
Gespeicherter Kurzreport: Scan-ID, Zeitpunkt, Score, Befunde, Screenshot, HTTP/TLS/Header und direkte Test-URLs.
Formular-Coverage: Keine Formular-Evidence im gespeicherten passiven Kurzcheck.
Browserkontakte und Cookies: 13 Request(s), 1 Drittanbieter-Domain(s), 3 Cookie(s) vor Einwilligung.
Google-Consent-Anwendbarkeit: Keine GTM-/Analytics-/Ads-/ID-Evidence im gespeicherten Lauf; kein Google-Consent-Mode-Fix ohne neue Evidence.
Rechtsgrundlagen, Zwecke, Pflichtfelder, Löschfristen und Empfänger je Formular.
Interne Systeme, CRM-/Support-Flüsse, Login-, Checkout-, Paywall- und nachgelagerte Verarbeitung.
AVV/DPA, TOMs, Transfer Impact Assessments, Anbieterakten und interne Freigaben.
Spätere CMP-, Tag-Manager-, Release- oder Content-Änderungen nach dem gespeicherten Scan.
Keine DSGVO-Konformität, Rechtsfreigabe oder Zertifizierung behaupten.
Keinen Google-Consent-Mode-Fehler behaupten, wenn keine Google-Tag-Evidence vorliegt.
Keine fehlende Betreibertransparenz als Tatsache behaupten, wenn Consent-Wall, Paywall, Login oder Geoblocking den Scan begrenzen.
Keine Formularübermittlung, Zahlungsprüfung oder Backend-Validierung behaupten; SaferPage sendet keine Formulare ab.
Remediation Tickets
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 1 Anbieter(n), 1 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Inline-Skripte über Nonces oder Hashes freigeben und unsafe-inline aus script-src entfernen.
Cookies über HTTPS mit Secure-Flag setzen.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 3 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 8.Für Anbieter wie Google Maps Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen.
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Befund mit Betreiber-Guide beheben und danach erneut scannen.
Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 1 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.
Impressum: nein, Datenschutz: nein, Kontakt: nein.Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.
E-Mail, Telefonnummer, Kontaktseite oder Impressum sichtbar verlinken.
Fehlalarm- und Grenzen-Review
Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.
Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?
Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen. Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert. Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz. Nachweis öffnen · GuideWurden GTM, gtag, Analytics, Ads oder eine Google-Tracking-ID wirklich gesehen?
Betreiberaktion: Keinen Google-Consent-Mode-Fix verlangen, solange keine GTM-/Analytics-/Ads-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen. Abnahme: Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence. Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan. Nachweis öffnen · GuideGibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?
Betreiberaktion: Nicht sichtbare, mehrstufige oder Login-Formulare manuell ergänzen, wenn der Kurzcheck keine Formular-Evidence fand. Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar. Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Die Zählung basiert auf gespeicherter Crawl- und Formular-Evidence. Nachweis öffnen · GuideSind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?
Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen. Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung. Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext. Nachweis öffnen · GuideWird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?
Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden. Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims. Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit. Nachweis öffnen · GuideTrennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?
Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren. Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims. Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking. Nachweis öffnen · GuideTicket Delivery
Das Delivery-Paket enthält Payload-Vorlagen, Idempotency-Keys, Body-SHA-256, HMAC-Signaturvertrag, Retry-Policy und Links zu Guide, Nachweis und Re-Scan. Es versendet nichts automatisch und enthält keine echten Secrets.
Strukturierte Events für interne PrivacyOps-Workflows, Queue-Worker oder Integrationsplattformen.
Kompakte Nachrichten mit Priorität, Owner, SLA und Nachweislink für operative Kanäle.
Ticket-Vorlagen mit Summary, Beschreibung, Labels, Priorität und deduplizierbarer External-ID.
Empfänger prüfen Signatur, Body-Hash, Event, Schema, Idempotency-Key und erlaubtes Zielsystem vor jeder Verarbeitung.
Der JSON-Export enthält ein öffentliches Test-Secret mit erwarteter Signatur für Receiver-Tests ohne produktive Secrets.
CMS-/Shop-Fixes
SaferPage leitet aus sichtbaren CMS-, Shop-, Frontend- und Deployment-Signalen konkrete Betreiber-Schritte ab. Wenn keine Plattform sicher erkennbar ist, wird kein CMS behauptet, sondern ein allgemeines Deployment-Playbook gezeigt.
Wenn kein eindeutiges CMS sichtbar ist, Release, Consent, Drittanbieter, Security-Header und Nachweise wie bei einem CMS-Update behandeln.
Deployment-Quelle, Hosting/CDN, externe Skripte, Consent-Tool und wichtige Templates inventarisieren.
Alle nicht notwendigen Drittanbieter vor Einwilligung blockieren und Anbieterzwecke dokumentieren.
Security-Header, HTTPS/HSTS, Referrer-Policy, CSP und Cookie-Attribute prüfen.
Nach Änderungen Re-Scan, Screenshot, JSON/CSV und Fix-Guides ablegen.
Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Guide · Re-ScanGuide-Streams
Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.
6 Befund(e) · Re-Test: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.Seitenpfade, Suchparameter und Tracking-Parameter können an Drittanbieter gelangen. Für Ihre Besucher ist wichtig, dass Formular-, Such- oder Kontokontexte nicht unnötig in Tags, Referrern oder Logs auftauchen.
1 Befund(e) · Re-Test: Referrer-Header und Query-Parameter in Request-Samples kontrollieren.Für deutschsprachige Nutzer sind klare Betreiberangaben ein zentrales Vertrauenssignal.
3 Befund(e) · Re-Test: Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.
3 Befund(e) · Re-Test: Google-Requests vor und nach Consent vergleichen.Unsichtbare Pixel, Link-Pings, sendBeacon und Keepalive-Telemetrie können Seitenaufrufe, Klicks und Kampagnenkontakte übertragen, ohne dass Nutzer sie sehen.
1 Befund(e) · Re-Test: Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.Cookies sollten technisch sauber gesetzt sein und nicht mehr Daten preisgeben als nötig.
2 Befund(e) · Re-Test: Cookie-Attribute Secure, SameSite und HttpOnly erneut prüfen.Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.
8 Befund(e) · Re-Test: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.
4 Befund(e) · Re-Test: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.Externe Anbieter können IP-Adresse, Browserdaten, Cookies oder Formularumfeld erhalten. Für EU-/DE-Websites müssen Empfänger, Länder und Transfergrundlagen nachvollziehbar sein.
1 Befund(e) · Re-Test: US-/Drittlandhosts, Anbieterrolle und Transfergrundlage erneut prüfen.Externe Browserkontakte müssen für Ihre Besucher nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.
3 Befund(e) · Re-Test: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.Videos, Karten, Captchas und Social-Widgets können schon beim ersten Seitenaufruf IP-Adresse, Geräteinformationen und Seitenkontext an Drittanbieter senden.
1 Befund(e) · Re-Test: Iframes, Karten, Videos und Captchas vor Aktivierung erneut prüfen.Fingerprinting, Session-Replay und Eingabeaufzeichnung sind besonders erklärungsbedürftig, weil Nutzer sie beim Seitenbesuch kaum erkennen können.
1 Befund(e) · Re-Test: Replay-/Fingerprinting-Skripte nach Ablehnen und GPC erneut prüfen.Cookie-Scanner und Audits achten nicht nur auf Namen und Anbieter, sondern auch darauf, ob Speicherdauer, Zweck und Consent-Zustand zusammenpassen.
1 Befund(e) · Re-Test: Cookie- und Storage-Zustände je Consent-Status exportieren.Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Ihre Website zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.
2 Befund(e) · Re-Test: Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.
1 Befund(e) · Re-Test: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.Arbeitsphasen
Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.
Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.
Tracker- und Service-Mapping
Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
KarteZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
kita-navigator.berlin.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
kita-navigator.berlin.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
kita-navigator.berlin.deRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
map_embedAbnahme und Quellen
Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe TelemedienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale DiensteDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK/BfDI: Hinweise zu Google Analytics · Google Tag Platform: Consent · Google Consent Mode conceptsDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · BSI IT-Grundschutz APP.3.1 Webanwendungen · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BSI IT-Grundschutz APP.3.1 Webanwendungen · BSI IT-Grundschutz APP.3.2 Webserver · MDN: Content Security PolicyDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe Telemedien · BfDI: Cookies und Tracking-TechnologienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · EDPB Guidelines 05/2020 Consent · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · Google Tag Platform: ConsentDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · BfDI: Cookies und Tracking-Technologien · EDPB Guidelines 05/2020 ConsentDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · DSK Orientierungshilfe Digitale Dienste · EDPB Guidelines 2/2023 ePrivacy Art. 5(3)Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BSI IT-Grundschutz APP.3.1 Webanwendungen · BSI IT-Grundschutz APP.3.2 Webserver · MDN: Subresource IntegrityDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BITV 2.0 · BFIT Bund · Google Search Central: Page Experience