Priorisierte Korrekturanleitungen

legal-ops.de: Betreiber-Fix-Guides

legal-ops.de: 15 priorisierte Betreiber-Guide(s) aus 45 Befund(en).

Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.

15 Guides

JSON CSV Playbook MD Tickets JSON Tickets CSV Delivery JSON Delivery CSV Befunde Betreiber-Board Datenschutz-Hub Re-Scan

45Befunde 15Guide-Streams 25hoch 53Tickets 8Tracker-Tasks 1Plattform-Playbooks 6Review-Grenzen 45Abnahmen 18Quellen

Remediation Tickets

Aus Befunden werden umsetzbare Betreiberaufgaben

Tickets exportieren

Anbieterakten, AVV/DPA und Transfers priorisiert schließen hoch · SLA 7 Tage · Legal/Vendor Owner

Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.

Vendor-Due-Diligence mit 3 Anbieter(n), 1 hohem Risiko, 3 AVV-/DPA-Prüfung(en) und 3 Transfer-/Jurisdiktionsfrage(n).

Bereich: Anbieter & Transfer
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Browser-Nachweis hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.

19 Request(s), 3 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 2 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 0, Fingerprinting-/Replay-Hinweise: 0.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Canonical zeigt auf fremde Domain hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.

Bereich: seo
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Content-Security-Policy fehlt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Header `content-security-policy` setzen und nach Deployment erneut prüfen.

Bereich: security_headers
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Datenschutz, Cookies & Consent hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.

1 Tracking-Script(s), 2 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 0.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Erkannte Anbieter fehlen in der Datenschutzerklärung hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google Consent Mode Default nicht erkannt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google-Dienste hoch · SLA 7 Tage · Marketing Ops/Webentwicklung

Befund mit Betreiber-Guide beheben und danach erneut scannen.

Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.

Bereich: Google Consent Mode und Tags reparieren
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google-Dienste & Drittanbieter hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.

Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Google-Tags ohne klaren Consent-Kontext hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Google Analytics, Ads, Tag Manager, Fonts, Maps oder YouTube in Consent-Banner und Datenschutzerklärung konkret erklären.

Bereich: privacy
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

HSTS fehlt hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Header `strict-transport-security` setzen und nach Deployment erneut prüfen.

Bereich: security_headers
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Impressum, Kontakt & Datenschutzerklärung hoch · SLA 7 Tage · Website-Betrieb/Datenschutz

Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.

Impressum: nein, Datenschutz: nein, Kontakt: nein.

Bereich: Audit-Modul
Guide: öffnen
Nachweis: öffnen
Re-Scan: öffnen

Fehlalarm- und Grenzen-Review

Automatische Befunde vor Umsetzung richtig einordnen

Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.

Playbook MD JSON Report-Quality

6Review-Fragen 6Abnahmen 6Grenzen 6Nachweise

Consent-Wall, Paywall oder Overlay einordnen bei Bedarf prüfen

Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?

Betreiberaktion: Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen. Abnahme: Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert. Grenze: Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz. Nachweis öffnen · Guide

Google Consent Mode nur bei Google-Evidenz fordern prüfen

Wurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen?

Betreiberaktion: Google-Tags, Zwecke, Consent Defaults und Tag-Gating anhand der konkreten Request-/Script-Evidence prüfen. Abnahme: Google-Dienst ist inventarisiert, Consent Default ist belegt und Re-Scan bestätigt das Gating. Grenze: Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan. Nachweis öffnen · Guide

Formular-Coverage gegen Startseiten-Sample abgleichen manuell ergänzen

Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?

Betreiberaktion: Nicht sichtbare, mehrstufige oder Login-Formulare manuell ergänzen, wenn der Kurzcheck keine Formular-Evidence fand. Abnahme: Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar. Grenze: SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung. Nachweis öffnen · Guide

Cookies nach Zweck statt pauschal bewerten klassifizieren

Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?

Betreiberaktion: Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen. Abnahme: Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung. Grenze: Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext. Nachweis öffnen · Guide

Score und Warntexte als Priorisierung formulieren immer prüfen

Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?

Betreiberaktion: Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden. Abnahme: Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims. Grenze: Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit. Nachweis öffnen · Guide

Aussage-Ampel und Claim-Grenzen übernehmen immer prüfen

Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?

Betreiberaktion: Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren. Abnahme: Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims. Grenze: Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking. Nachweis öffnen · Guide

Ticket Delivery

Aufgaben an Slack, Teams, Jira oder Webhooks übergeben

Das Delivery-Paket enthält Payload-Vorlagen, Idempotency-Keys, Body-SHA-256, HMAC-Signaturvertrag, Retry-Policy und Links zu Guide, Nachweis und Re-Scan. Es versendet nichts automatisch und enthält keine echten Secrets.

Delivery JSON Delivery CSV

Webhook

Strukturierte Events für interne PrivacyOps-Workflows, Queue-Worker oder Integrationsplattformen.

Slack / Teams

Kompakte Nachrichten mit Priorität, Owner, SLA und Nachweislink für operative Kanäle.

Jira

Ticket-Vorlagen mit Summary, Beschreibung, Labels, Priorität und deduplizierbarer External-ID.

HMAC-Receiver

Empfänger prüfen Signatur, Body-Hash, Event, Schema, Idempotency-Key und erlaubtes Zielsystem vor jeder Verarbeitung.

Test-Fixture

Der JSON-Export enthält ein öffentliches Test-Secret mit erwarteter Signatur für Receiver-Tests ohne produktive Secrets.

CMS-/Shop-Fixes

Plattformspezifische Reparatur-Playbooks

SaferPage leitet aus sichtbaren CMS-, Shop-, Frontend- und Deployment-Signalen konkrete Betreiber-Schritte ab. Wenn keine Plattform sicher erkennbar ist, wird kein CMS behauptet, sondern ein allgemeines Deployment-Playbook gezeigt.

Playbook MD JSON

WordPress Webbetrieb/IT/Datenschutz

Core, Theme, Plugins, Consent-Plugin, Tag Manager und Cache gemeinsam prüfen.

WordPress Core, aktive Themes und Plugins in Staging aktualisieren; ungenutzte Plugins entfernen.

Consent-/Cookie-Plugin mit Erstaufruf, Ablehnen, Akzeptieren und GPC gegen SaferPage testen.

Google Fonts, Maps, YouTube, reCAPTCHA, Analytics und Pixel in Theme, Page Builder und Tag Manager suchen und vor Consent blockieren.

Security-Header, HSTS, Referrer-Policy und CSP im Hosting, Webserver oder Security-Plugin setzen und Cache leeren.

Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen. Technik-Nachweis · Guide · Re-Scan

Guide-Streams

Welche Korrekturanleitungen zuerst umgesetzt werden sollten

Playbook exportieren

Tracking und Consent reparieren hoch · 0-7 Tage · Marketing/IT/Datenschutz · Aufwand mittel

Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.

8 Befund(e) · Re-Test: Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.

Bereich: Consent & Tracking
Guide: öffnen

Impressum und Kontakt sichtbar machen hoch · 0-7 Tage · Legal/Content · Aufwand klein

Für deutschsprachige Nutzer sind klare Betreiberangaben ein zentrales Vertrauenssignal.

3 Befund(e) · Re-Test: Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.

Bereich: Betreibertransparenz
Guide: öffnen

Google-Dienste datenschutzfreundlich einbinden hoch · 0-7 Tage · Marketing/IT · Aufwand mittel

Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.

4 Befund(e) · Re-Test: Google-Requests vor und nach Consent vergleichen.

Bereich: Google-Dienste
Guide: öffnen

SEO-Spam und Cloaking bereinigen hoch · 0-7 Tage · Webbetrieb/SEO/Security · Aufwand hoch

Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.

1 Befund(e) · Re-Test: Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.

Bereich: Trust & Content Integrity
Guide: öffnen

Drittanbieter im Datenschutz erklären hoch · 0-7 Tage · Legal/Vendor Owner · Aufwand mittel

Externe Browserkontakte müssen für Nutzer nachvollziehbar sein, besonders Werbung, Analytics, Tag-Manager, Fonts und Zahlungsanbieter.

4 Befund(e) · Re-Test: Drittanbieter-Liste gegen neue Requests und Cookies abgleichen.

Bereich: Drittanbieter
Guide: öffnen

Datenschutzerklärung verbessern hoch · 0-7 Tage · Datenschutz/Content · Aufwand mittel

Eine gute Datenschutzerklärung erklärt für Nutzer verständlich, welche Daten verarbeitet werden und warum.

1 Befund(e) · Re-Test: Datenschutzhinweis gegen Cookies, Anbieter, Formulare und Zwecke abgleichen.

Bereich: Transparenz
Guide: öffnen

Datenschutz-Webseiten-Prüfkatalog umsetzen hoch · 0-7 Tage · Programm-Owner/Datenschutz · Aufwand hoch

Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.

4 Befund(e) · Re-Test: Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.

Bereich: Programmsteuerung
Guide: öffnen

Security-Header setzen hoch · 0-7 Tage · IT/Security · Aufwand mittel

Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.

11 Befund(e) · Re-Test: Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.

Bereich: Web Security
Guide: öffnen

Servicekarte und Anbieterinventar aufbauen mittel · 7-30 Tage · Datenschutz/Marketing/IT · Aufwand mittel

CMPs und Cookie-Scanner arbeiten nicht nur mit Cookie-Namen, sondern mit Diensten. Eine Servicekarte macht sichtbar, welcher Anbieter warum lädt, welche Daten betroffen sind und welcher Consent- oder Vertragsnachweis fehlt.

1 Befund(e) · Re-Test: Anbieter-Radar, Cookie-Inventar und Browserkontakte gegen die Servicekarten abgleichen.

Bereich: Service Repository
Guide: öffnen

Tracking-Pixel und Beacons begrenzen niedrig · quartalsweise · Marketing/IT · Aufwand mittel

Unsichtbare Pixel, Link-Pings, sendBeacon und Keepalive-Telemetrie können Seitenaufrufe, Klicks und Kampagnenkontakte übertragen, ohne dass Nutzer sie sehen.

1 Befund(e) · Re-Test: Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.

Bereich: Pixel & Beacons
Guide: öffnen

Externe Inhalte datenschutzfreundlich einbinden niedrig · quartalsweise · Content/Webentwicklung · Aufwand mittel

Videos, Karten, Captchas und Social-Widgets können schon beim ersten Seitenaufruf IP-Adresse, Geräteinformationen und Seitenkontext an Drittanbieter senden.

1 Befund(e) · Re-Test: Iframes, Karten, Videos und Captchas vor Aktivierung erneut prüfen.

Bereich: Externe Inhalte
Guide: öffnen

Externe Skripte und SRI absichern niedrig · quartalsweise · IT/Webentwicklung · Aufwand mittel

Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Nutzer zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.

3 Befund(e) · Re-Test: Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.

Bereich: Browser Supply Chain
Guide: öffnen

Barrierefreiheit bei Bannern und Formularen prüfen niedrig · quartalsweise · UX/Content/IT · Aufwand mittel

Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.

1 Befund(e) · Re-Test: Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.

Bereich: Usability & BITV
Guide: öffnen

Performance und mobile Nutzbarkeit verbessern niedrig · quartalsweise · Webentwicklung/UX · Aufwand mittel

Langsame oder mobil schlecht nutzbare Seiten wirken für Nutzer weniger vertrauenswürdig.

1 Befund(e) · Re-Test: Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.

Bereich: Performance & Mobile
Guide: öffnen

Drittlandtransfer und Anbieter prüfen niedrig · quartalsweise · Legal/Datenschutz · Aufwand hoch

Externe Anbieter können IP-Adresse, Browserdaten, Cookies oder Formularumfeld erhalten. Für EU-/DE-Websites müssen Empfänger, Länder und Transfergrundlagen nachvollziehbar sein.

1 Befund(e) · Re-Test: US-/Drittlandhosts, Anbieterrolle und Transfergrundlage erneut prüfen.

Bereich: Vendor & Transfer
Guide: öffnen

Arbeitsphasen

Von Befund zu belegtem Re-Scan

Triage 0-48 Stunden

Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern.

Fix umsetzen 0-14 Tage

Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren.

Nutzertexte synchronisieren parallel

Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen.

Re-Scan und Freigabe nach Deployment

Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen.

Tracker- und Service-Mapping

Scanner-Funde in Dienste, Zwecke und Freigaben überführen

player.vimeo.com vendor · prüfen

Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.

Video

Ziel: öffnen
Guide: öffnen

f.vimeocdn.com vendor · prüfen

Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.

Sonstige

Ziel: öffnen
Guide: öffnen

i.vimeocdn.com vendor · prüfen

Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.

Sonstige

Ziel: öffnen
Guide: öffnen

__cf_bm cookie_storage · unknown

Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.

vimeo.com

Ziel: öffnen
Guide: öffnen

_cfuvid cookie_storage · unknown

Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.

vimeo.com

Ziel: öffnen
Guide: öffnen

player.vimeo.com browser_request · datenschutzrelevant

Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.

video_embed

Ziel: öffnen
Guide: öffnen

f.vimeocdn.com browser_request · prüfen

Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.

other

Ziel: öffnen
Guide: öffnen

i.vimeocdn.com browser_request · prüfen

Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.

other

Ziel: öffnen
Guide: öffnen

Abnahme und Quellen