Canonical zeigt auf fremde Domain
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Priorisierte Korrekturanleitungen
kooperationsstelle-osnabrueck.de: Betreiber-Fix-Guides
kooperationsstelle-osnabrueck.de: 7 priorisierte Betreiber-Guide(s) aus 25 Befund(en).
Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
7
Guides
JSON
CSV
Playbook MD
Tickets JSON
Tickets CSV
Delivery JSON
Delivery CSV
Befunde
Betreiber-Board
Datenschutz-Hub
Re-Scan
25Befunde
7Guide-Streams
10hoch
26Tickets
1Tracker-Tasks
1Plattform-Playbooks
6Review-Grenzen
21Abnahmen
17Quellen
Remediation Tickets
Aus Befunden werden umsetzbare Betreiberaufgaben
Content-Security-Policy fehlt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Cookie-Hinweis ohne klare Ablehnen-Option
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Datenschutzerklärung deckt zentrale Bausteine nicht vollständig ab
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Verantwortlicher, Zwecke, Rechtsgrundlagen, Rechte, Speicherfristen, Empfänger, Cookies/Tracking und Widerruf strukturiert ergänzen.
Google Consent Mode Default nicht erkannt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
HSTS fehlt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Security-Header, Referrer-Policy und Browser-Schutz setzen
hoch · SLA 7 Tage · IT/Security
Befund mit Betreiber-Guide beheben und danach erneut scannen.
1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.
Sicherheit, TLS & Header
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 0.
Versteckter Text erkannt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.
X-Frame-Options fehlt
hoch · SLA 7 Tage · Website-Betrieb/Datenschutz
Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Barrierefreiheit & Usability
mittel · SLA 30 Tage · Website-Betrieb/Datenschutz
Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
15 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.
Cookie-Banner, Formulare und mobile Nutzung barriereärmer machen
mittel · SLA 30 Tage · UX/IT
Befund mit Betreiber-Guide beheben und danach erneut scannen.
22 Bild(er), 0 Formularfeld(er), 0 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Fehlalarm- und Grenzen-Review
Automatische Befunde vor Umsetzung richtig einordnen
Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.
6Review-Fragen
6Abnahmen
6Grenzen
6Nachweise
Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?
Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen. Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert. Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz. Nachweis öffnen · GuideWurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen?
Betreiberaktion: Keinen Google-Consent-Mode-Fix verlangen, solange keine Google-Tag-/Domain-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen. Abnahme: Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence. Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan. Nachweis öffnen · GuideGibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?
Betreiberaktion: Alle 1 Formular(e) auf 1 geprüften Seite(n) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen. Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar. Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Nachweis öffnen · GuideSind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?
Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen. Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung. Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext. Nachweis öffnen · GuideWird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?
Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden. Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims. Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit. Nachweis öffnen · GuideTrennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?
Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren. Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims. Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking. Nachweis öffnen · GuideTicket Delivery
Aufgaben an Slack, Teams, Jira oder Webhooks übergeben
Das Delivery-Paket enthält Payload-Vorlagen, Idempotency-Keys, Body-SHA-256, HMAC-Signaturvertrag, Retry-Policy und Links zu Guide, Nachweis und Re-Scan. Es versendet nichts automatisch und enthält keine echten Secrets.
Strukturierte Events für interne PrivacyOps-Workflows, Queue-Worker oder Integrationsplattformen.
Kompakte Nachrichten mit Priorität, Owner, SLA und Nachweislink für operative Kanäle.
Ticket-Vorlagen mit Summary, Beschreibung, Labels, Priorität und deduplizierbarer External-ID.
Empfänger prüfen Signatur, Body-Hash, Event, Schema, Idempotency-Key und erlaubtes Zielsystem vor jeder Verarbeitung.
Der JSON-Export enthält ein öffentliches Test-Secret mit erwarteter Signatur für Receiver-Tests ohne produktive Secrets.
CMS-/Shop-Fixes
Plattformspezifische Reparatur-Playbooks
SaferPage leitet aus sichtbaren CMS-, Shop-, Frontend- und Deployment-Signalen konkrete Betreiber-Schritte ab. Wenn keine Plattform sicher erkennbar ist, wird kein CMS behauptet, sondern ein allgemeines Deployment-Playbook gezeigt.
TYPO3-Core, Extensions, Sitepackage, Fluid-Templates, Consent-Extension und Caches zusammen prüfen.
TYPO3 Core und Extensions gemäß Wartungsstatus aktualisieren; Composer-/Extension-Lockfile sichern.
Sitepackage und Fluid-Templates nach externen Fonts, Maps, Videos, Analytics und Tag-Manager-Snippets durchsuchen.
Consent-Extension so konfigurieren, dass externe Skripte und Iframes erst nach passender Einwilligung laden.
Security-Header und TLS/HSTS auf Webserver-/Proxy-Ebene testen; TYPO3-Caches nach Änderung leeren.
Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Guide · Re-ScanGuide-Streams
Welche Korrekturanleitungen zuerst umgesetzt werden sollten
SEO-Spam und Cloaking bereinigen
hoch · 0-7 Tage · Webbetrieb/SEO/Security · Aufwand hoch
Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.
3 Befund(e) · Re-Test: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.- Bereich
- Trust & Content Integrity
- Guide
- öffnen
Tracking und Consent reparieren
hoch · 0-7 Tage · Marketing/IT/Datenschutz · Aufwand mittel
Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.
3 Befund(e) · Re-Test: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.- Bereich
- Consent & Tracking
- Guide
- öffnen
Google-Dienste datenschutzfreundlich einbinden
hoch · 0-7 Tage · Marketing/IT · Aufwand mittel
Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.
3 Befund(e) · Re-Test: Google-Requests vor und nach Consent vergleichen.- Bereich
- Google-Dienste
- Guide
- öffnen
Datenschutzerklärung verbessern
hoch · 0-7 Tage · Datenschutz/Content · Aufwand mittel
Eine gute Datenschutzerklärung erklärt für Nutzer verständlich, welche Daten verarbeitet werden und warum.
2 Befund(e) · Re-Test: Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.- Bereich
- Transparenz
- Guide
- öffnen
Security-Header setzen
hoch · 0-7 Tage · IT/Security · Aufwand mittel
Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.
10 Befund(e) · Re-Test: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.- Bereich
- Web Security
- Guide
- öffnen
Barrierefreiheit bei Bannern und Formularen prüfen
mittel · 7-30 Tage · UX/Content/IT · Aufwand mittel
Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.
3 Befund(e) · Re-Test: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.- Bereich
- Usability & BITV
- Guide
- öffnen
Performance und mobile Nutzbarkeit verbessern
niedrig · quartalsweise · Webentwicklung/UX · Aufwand mittel
Langsame oder mobil schlecht nutzbare Seiten wirken für Nutzer weniger vertrauenswürdig.
1 Befund(e) · Re-Test: Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.- Bereich
- Performance & Mobile
- Guide
- öffnen
Arbeitsphasen
Von Befund zu belegtem Re-Scan
Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.
Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.
Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.
Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.
Tracker- und Service-Mapping
Scanner-Funde in Dienste, Zwecke und Freigaben überführen
Abnahme und Quellen
Was nach Umsetzung nachweisbar sein muss
Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
Google Search Central: Security Issues · Google Search Central: Page ExperienceDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BfDI: Cookies und Tracking-Technologien · DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe TelemedienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK/BfDI: Hinweise zu Google Analytics · Google Tag Platform: Consent · Google Consent Mode conceptsDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
DSK Orientierungshilfe Digitale Dienste · DSK Orientierungshilfe Telemedien · BfDI: Cookies und Tracking-TechnologienDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BSI IT-Grundschutz APP.3.1 Webanwendungen · BSI IT-Grundschutz APP.3.2 Webserver · MDN: Content Security PolicyDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
BITV 2.0 · BFIT Bund · Google Search Central: Page ExperienceDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.
Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.
Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.
Google Search Central: Page Experience · Google Search Central: Core Web Vitals