{ "schema": "https://saferpage.de/schemas/operator-fix-guide-package.v1", "generated_at": "2026-06-10T22:50:34+00:00", "domain": "lfk.de", "available": true, "scan": { "id": "50845240-c631-47b0-b900-44c32e74af73", "checked_at": "2026-06-10 22:02:30.188144+02" }, "summary": "lfk.de: 10 priorisierte Betreiber-Guide(s) aus 26 Befund(en).", "metrics": { "issue_count": 26, "guide_count": 10, "high_priority_count": 15, "medium_priority_count": 3, "tracker_task_count": 1, "remediation_ticket_count": 27, "high_ticket_count": 15, "acceptance_count": 30, "source_count": 17, "platform_playbook_count": 1, "platform_playbook_step_count": 4, "platform_playbook_acceptance_count": 3, "platform_playbook_boundary_count": 1, "platform_playbook_evidence_url_count": 1, "quality_review_row_count": 6, "quality_review_acceptance_count": 6, "quality_review_boundary_count": 6, "quality_review_evidence_url_count": 6, "quality_review_guide_url_count": 6 }, "guide_streams": [ { "guide_slug": "formulare-datenschutzkonform-absichern", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "title": "Formulare und Zahlungen absichern", "intro": "Formulare, Logins, Newsletter und Checkout-Bereiche brauchen HTTPS, klare Zwecke, Datensparsamkeit, sichtbare Datenschutzinformationen und einen Re-Scan nach jeder Änderung.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Formulare", "owner": "Webentwicklung/Datenschutz", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "data_entry_privacy_context_missing", "area": "data_entry", "title": "Dateneingabe ohne klaren Datenschutzkontext", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "formulare-datenschutzkonform-absichern", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "source": "finding" }, { "id": "sampled_form_privacy_context_missing", "area": "crawl", "title": "Formular-Unterseite ohne klaren Datenschutzkontext", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "formulare-datenschutzkonform-absichern", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "source": "finding" }, { "id": "module_forms_payments", "area": "Audit-Modul", "title": "Formulare, Login & Zahlung", "priority": "mittel", "impact_score": 35, "evidence": "Crawl fand 10 Formular(e) auf 4 geprüften Seite(n), u. a. /regulierung/impressumspflicht-im-internet, /service/kontakt, /shop/warenkorb, /service/newsletter. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.", "operator_action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "formulare-datenschutzkonform-absichern", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "source": "audit_module" } ], "guide_steps": [ "Inventarisieren Sie jede Formularseite aus Startseite, Crawl-Coverage, Login, Kontakt, Newsletter, Suche, Checkout und eingebetteten Formularanbietern.", "Erklären Sie direkt am Formular Zweck, Pflichtfelder, freiwillige Angaben, Empfänger, Speicherdauer und Kontaktweg für Datenschutzfragen.", "Verlinken Sie Datenschutzhinweise in Formularnähe und stellen Sie sicher, dass Footer-, Datenschutz- und Impressumslinks auch bei Consent-Walls oder Overlays erreichbar bleiben.", "Minimieren Sie Pflichtfelder und trennen Sie Eingaben nach Zweck; sensible Felder brauchen besonders klare Hinweise und dürfen nicht unnötig an Tracking, Logs oder Drittanbieter fließen.", "Nutzen Sie HTTPS und POST für personenbezogene Eingaben; vermeiden Sie GET-Parameter wie email, phone, name, token oder customer_id in Formular- und Bestätigungs-URLs.", "Prüfen Sie Formularziel, externe Formularanbieter, Zahlungsdienste, Captchas und Newsletter-Tools auf AVV/DPA, Region, Transfergrundlage und Datenschutzhinweis.", "Blockieren Sie Analytics-, Ads-, Session-Replay- und Pixel-Tags auf Formularseiten bis zur Einwilligung und übergeben Sie keine Formularwerte an Tag Manager oder Drittanbieter.", "Setzen Sie passende Labels, Fehlermeldungen, Autocomplete-Attribute, Tastaturbedienung und mobile Darstellung um, damit Datenschutz- und Usability-Prüfung zusammenpassen.", "Dokumentieren Sie je Formularseite Screenshot, Zweck, Pflichtfelder, Ziel-URL, Consent-Zustand, Referrer-Policy und Re-Scan-Nachweis." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webentwicklung/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webentwicklung/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.", "evidence": "Formularzweck, Rechtsgrundlage, Datensparsamkeit, Log-/Tracking-Prüfung." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" } ] }, { "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "title": "Google-Dienste datenschutzfreundlich einbinden", "intro": "Google Analytics, Tag Manager, Fonts, Maps, YouTube und reCAPTCHA brauchen im deutschsprachigen Raum eine besonders saubere Prüfung.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Google-Dienste", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 3, "issues": [ { "id": "google_consent_mode_missing", "area": "privacy", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "finding" }, { "id": "module_google_third_parties", "area": "Audit-Modul", "title": "Google-Dienste & Drittanbieter", "priority": "hoch", "impact_score": 60, "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "operator_action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "audit_module" }, { "id": "google_consent_gap", "area": "Google Consent Mode und Tags reparieren", "title": "Google-Dienste", "priority": "hoch", "impact_score": 60, "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing Ops/Webentwicklung", "guide_slug": "google-dienste-datenschutzfreundlich-einbinden", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "source": "google_consent" } ], "guide_steps": [ "Blockieren Sie Google Analytics, Google Tag Manager, Ads und vergleichbare Tags bis zur aktiven Einwilligung.", "Setzen Sie Consent Mode defaults vor dem ersten Google-Tag auf denied und feuern Sie config/event erst nach dem passenden Consent.", "Hosten Sie Google Fonts lokal oder entfernen Sie Remote-Font-Requests zu fonts.googleapis.com und fonts.gstatic.com.", "Laden Sie Maps, YouTube und reCAPTCHA erst nach Klick, Einwilligung oder auf klar begründeten Formularseiten.", "Nennen Sie Google-Dienste konkret in Datenschutzerklärung und Consent-Oberfläche, inklusive Zweck, Anbieter und Widerruf." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Google-Requests vor und nach Consent vergleichen.", "evidence": "Consent-Mode-Defaults, Tag-Manager-Regeln, Anbieterzwecke." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Google-Requests vor und nach Consent vergleichen.", "sources": [ { "label": "DSK/BfDI: Hinweise zu Google Analytics", "url": "https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/99DSK_Google-Analytics.pdf?__blob=publicationFile&v=3" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" }, { "label": "Google Consent Mode concepts", "url": "https://developers.google.com/tag-platform/security/concepts/consent-mode" }, { "label": "Google Fonts Privacy FAQ", "url": "https://developers.google.com/fonts/faq/privacy" } ] }, { "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "title": "SEO-Spam und Cloaking bereinigen", "intro": "Versteckte Texte, Doorway-Muster oder abweichende Googlebot-Inhalte wirken unseriös und können auf Kompromittierung hinweisen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Trust & Content Integrity", "owner": "Webbetrieb/SEO/Security", "effort": "hoch", "issue_count": 1, "issues": [ { "id": "external_canonical", "area": "seo", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "seo-spam-und-cloaking-bereinigen", "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "source": "finding" } ], "guide_steps": [ "Entfernen Sie versteckte Linklisten, Keyword-Stuffing und automatisch erzeugte Doorway-Seiten.", "Vergleichen Sie normalen Abruf und Googlebot-Abruf auf Weiterleitungen und sichtbare Inhalte.", "Prüfen Sie CMS, Themes und Plugins auf Schadcode, wenn solche Muster unerwartet auftauchen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Webbetrieb/SEO/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Webbetrieb/SEO/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "evidence": "Bereinigter Code, Malware-/Plugin-Prüfung, Search-Console-Status." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.", "sources": [ { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] }, { "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "title": "Tracking-Pixel und Beacons begrenzen", "intro": "Unsichtbare Pixel, Link-Pings, sendBeacon und Keepalive-Telemetrie können Seitenaufrufe, Klicks und Kampagnenkontakte übertragen, ohne dass Nutzer sie sehen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Pixel & Beacons", "owner": "Marketing/IT", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "beacon_api_usage", "area": "privacy", "title": "Beacon-/Keepalive-Telemetrie erkannt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-pixel-und-beacons-begrenzen", "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "source": "finding" } ], "guide_steps": [ "Inventarisieren Sie alle Pixel- und Beacon-Ziele mit Anbieter, Zweck, Rechtsgrundlage, Consent-Kategorie und Auslösezeitpunkt.", "Laden Sie Werbe-, Analytics-, Conversion- und Retargeting-Pixel erst nach aktiver Einwilligung.", "Entfernen Sie ping-Attribute an Links oder ersetzen Sie sie durch datensparsame interne Messung ohne Drittanbieter.", "Prüfen Sie navigator.sendBeacon und fetch keepalive auf gesendete Parameter; personenbezogene Werte, volle URLs und Formularumfelder dürfen nicht unnötig übertragen werden.", "Dokumentieren Sie Pixel und Telemetrie in Datenschutzerklärung und Consent-Oberfläche mit konkretem Anbieter und Zweck.", "Testen Sie Erstaufruf, Ablehnen, Akzeptieren und GPC separat, weil Pixel oft durch Tag-Manager nachgeladen werden." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.", "evidence": "Tag-Manager-Regeln, Zweckliste, Consent-Test, Request-Samples." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Pixel-, ping-, beacon- und keepalive-Ziele erneut exportieren.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" } ] }, { "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "title": "Datenschutz-Webseiten-Prüfkatalog umsetzen", "intro": "Aus dem Datenschutz-Webseiten-Report abgeleiteter Betreiberplan: erst inventarisieren, dann Consent, Drittanbieter, Sicherheit und Barrierefreiheit dauerhaft prüfen.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Programmsteuerung", "owner": "Programm-Owner/Datenschutz", "effort": "hoch", "issue_count": 3, "issues": [ { "id": "important_pages_not_discovered", "area": "crawl", "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "finding" }, { "id": "module_site_coverage", "area": "Audit-Modul", "title": "Seitenabdeckung & Crawl", "priority": "mittel", "impact_score": 26, "evidence": "30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.", "operator_action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "audit_module" }, { "id": "coverage_gap", "area": "Crawl-Abdeckung", "title": "Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken", "priority": "mittel", "impact_score": 26, "evidence": "30 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Webbetrieb/SEO", "guide_slug": "datenschutz-webseiten-pruefkatalog", "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "source": "coverage" } ], "guide_steps": [ "Inventarisieren Sie alle eingebundenen Komponenten: Hosting, CDN, Cookies, Local Storage, Analyse, Tag Manager, Karten, Videos, Fonts, Captchas, Formulare und Newsletter.", "Prüfen Sie Erstaufruf, Ablehnen und Zustimmung getrennt: Netzwerkrequests, Cookies, Storage, Screenshot und DOM-Zustand müssen je Consent-Zustand dokumentiert werden.", "Gleichen Sie Datenschutzerklärung und Consent-Banner gegen die tatsächlich geladenen Dienste und Domains ab.", "Trennen Sie Serverebene und Seitenebene: DNS/TLS/Header/Logs gehören zum Betrieb, Banner/Formulare/Drittinhalte zur Website-Implementierung.", "Halten Sie Sitemap und robots.txt aktuell, damit Datenschutz-, Impressums-, Kontakt-, Formular- und Cookie-Seiten maschinell gefunden und geprüft werden können.", "Ordnen Sie Befunde nach Regelwerksbereich: DSGVO-Transparenz, TDDDG/ePrivacy-Consent, BSI-Sicherheit, BITV/Usability und Google-/Drittanbieter-Spezialthemen.", "Planen Sie Regressionstests quartalsweise oder nach jedem Relaunch, Plugin-Update und Consent-Tool-Wechsel." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Programm-Owner/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Programm-Owner/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.", "evidence": "Prioritätenliste, Owner, Exportpaket, Re-Scan und Freigabe." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" } ] }, { "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "title": "Security-Header setzen", "intro": "Sicherheitsheader reduzieren typische Browserrisiken und verbessern den technischen Eindruck der Website.", "priority": "hoch", "impact_score": 86, "phase": "0-7 Tage", "area": "Web Security", "owner": "IT/Security", "effort": "mittel", "issue_count": 10, "issues": [ { "id": "missing_hsts", "area": "security_headers", "title": "HSTS fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_csp", "area": "security_headers", "title": "Content-Security-Policy fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_x_frame_options", "area": "security_headers", "title": "X-Frame-Options fehlt", "priority": "hoch", "impact_score": 86, "evidence": "", "operator_action": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "module_security_tls", "area": "Audit-Modul", "title": "Sicherheit, TLS & Header", "priority": "hoch", "impact_score": 54, "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 0.", "operator_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "audit_module" }, { "id": "security_header_gap", "area": "Security", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "hoch", "impact_score": 54, "evidence": "1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "IT/Security", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "security_header" }, { "id": "missing_cross_origin_embedder_policy", "area": "security_headers", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_opener_policy", "area": "security_headers", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_cross_origin_resource_policy", "area": "security_headers", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_referrer_policy", "area": "security_headers", "title": "Referrer-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" }, { "id": "missing_permissions_policy", "area": "security_headers", "title": "Permissions-Policy fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "security-header-setzen", "guide_url": "https://saferpage.de/guides/security-header-setzen", "source": "finding" } ], "guide_steps": [ "Setzen Sie HSTS nach erfolgreichem HTTPS-Test.", "Nutzen Sie Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Referrer-Policy.", "Starten Sie mit einer vorsichtigen CSP im Report-Only-Modus und verschärfen Sie sie schrittweise.", "Entfernen Sie unsafe-inline, unsafe-eval, Wildcards und reine http:-Quellen aus script-src, sobald Nonces, Hashes oder konkrete Hosts funktionieren.", "Setzen Sie base-uri und object-src restriktiv, typischerweise base-uri self und object-src none.", "Nutzen Sie frame-ancestors oder X-Frame-Options, damit fremde Seiten die Website nicht ungewollt einbetten." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Security", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Security", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "evidence": "Nginx/Apache/CDN-Konfiguration, Header-Export, Rollback-Plan." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" } ] }, { "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "title": "Tracking und Consent reparieren", "intro": "Tracking, Werbung und nicht notwendige Cookies sollten erst nach klarer Einwilligung geladen werden.", "priority": "hoch", "impact_score": 70, "phase": "0-7 Tage", "area": "Consent & Tracking", "owner": "Marketing/IT/Datenschutz", "effort": "mittel", "issue_count": 2, "issues": [ { "id": "module_privacy_consent", "area": "Audit-Modul", "title": "Datenschutz, Cookies & Consent", "priority": "hoch", "impact_score": 70, "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 30.", "operator_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "audit_module" }, { "id": "consent_preconsent_gap", "area": "Consent & Tracking", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "hoch", "impact_score": 70, "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "operator_action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "owner": "Marketing/IT", "guide_slug": "tracking-und-consent-reparieren", "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "source": "consent_audit" } ], "guide_steps": [ "Blockieren Sie Analytics-, Ads-, Pixel- und Remarketing-Skripte bis zur aktiven Zustimmung.", "Nutzen Sie CMP-Autoblocking oder neutrale Script-/Iframe-Attribute wie type=\"text/plain\" beziehungsweise data-cookieblock-src, damit Quellen nicht vor Consent laden.", "Bieten Sie Ablehnen und Akzeptieren gleich sichtbar an; vermeiden Sie reine Akzeptieren-Banner.", "Dokumentieren Sie Anbieter, Zwecke, Rechtsgrundlagen und Widerruf in der Datenschutzerklärung.", "Testen Sie die Startseite im Inkognito-Fenster ohne Zustimmung und prüfen Sie, ob Trackingkontakte ausbleiben." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Marketing/IT/Datenschutz", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Marketing/IT/Datenschutz", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.", "sources": [ { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" } ] }, { "guide_slug": "impressum-und-kontakt-sichtbar-machen", "guide_url": "https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen", "title": "Impressum und Kontakt sichtbar machen", "intro": "Für deutschsprachige Nutzer sind klare Betreiberangaben ein zentrales Vertrauenssignal.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Betreibertransparenz", "owner": "Legal/Content", "effort": "klein", "issue_count": 1, "issues": [ { "id": "operator_identity_unclear", "area": "privacy", "title": "Betreiberidentität wirkt unklar", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "impressum-und-kontakt-sichtbar-machen", "guide_url": "https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen", "source": "finding" } ], "guide_steps": [ "Verlinken Sie das Impressum gut sichtbar von jeder Seite, typischerweise im Footer.", "Nennen Sie Betreibername, ladungsfähige Anschrift und eine schnelle Kontaktmöglichkeit.", "Achten Sie darauf, dass Impressum, Domain, Marke und Zahlungsanbieter zusammenpassen." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "Legal/Content", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "Legal/Content", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.", "evidence": "Impressumsseite, Kontaktweg, Footer-Link, Änderungsdatum." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Footer, Kontakt, Impressum und Datenschutzlinks erneut crawlen.", "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" } ] }, { "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "title": "Externe Skripte und SRI absichern", "intro": "Externe JavaScript-Dateien sind eine Lieferkette im Browser. Für Nutzer zählen Datenschutz, Integrität und klare Kontrolle über Tracking- und Tag-Skripte.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Browser Supply Chain", "owner": "IT/Webentwicklung", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "missing_meta_description", "area": "content", "title": "Meta-Description fehlt", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "externe-skripte-und-sri-absichern", "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "source": "finding" } ], "guide_steps": [ "Führen Sie ein Skriptinventar mit Host, Anbieter, Zweck, Kategorie, Rechtsgrundlage, Consent-Zustand und Verantwortlichem.", "Hosten Sie stabile Bibliotheken lokal, wenn kein zwingender CDN-Grund besteht.", "Setzen Sie für statische CDN-Skripte Subresource Integrity mit passendem crossorigin-Attribut und aktualisieren Sie Hashes bei Versionswechseln.", "Beschränken Sie erlaubte Skriptquellen über eine Content-Security-Policy und testen Sie Änderungen zuerst im Report-Only-Modus.", "Laden Sie Tracking-, Tag-Manager-, Ads-, Analytics- und Session-Replay-Skripte erst nach passender Einwilligung.", "Prüfen Sie nach jedem Plugin-, Theme-, Consent-Tool- oder Tag-Manager-Update erneut, ob neue externe Skriptquellen hinzugekommen sind." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "IT/Webentwicklung", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "IT/Webentwicklung", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "evidence": "Skriptinventar, SRI-Hashes, CSP-Report-Only-Test." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Externe Skripte, SRI, CSP und Consent-Auslösung erneut prüfen.", "sources": [ { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "MDN: Subresource Integrity", "url": "https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity" }, { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" } ] }, { "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "title": "Barrierefreiheit bei Bannern und Formularen prüfen", "intro": "Der Datenschutz-Webseiten-Report betont, dass Cookie-Banner und Formulare typische Problemstellen für Behörden- und Nutzerfreundlichkeit sind.", "priority": "niedrig", "impact_score": 55, "phase": "quartalsweise", "area": "Usability & BITV", "owner": "UX/Content/IT", "effort": "mittel", "issue_count": 1, "issues": [ { "id": "image_alt_missing", "area": "accessibility", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "impact_score": 55, "evidence": "", "operator_action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "owner": "Website-Betrieb/Datenschutz", "guide_slug": "barrierefreiheit-cookie-banner-formulare", "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "source": "finding" } ], "guide_steps": [ "Stellen Sie sicher, dass Cookie-Banner per Tastatur, Screenreader und Mobilgerät bedienbar sind.", "Blockieren Sie Datenschutz, Impressum und Inhalt nicht dauerhaft durch ein Banner.", "Versehen Sie Formularfelder mit Labels, verständlichen Fehlermeldungen und passenden Autocomplete-Attributen.", "Prüfen Sie Kontrast, Fokuszustände, Tab-Reihenfolge und Feedbackmechanismus für Barrierefreiheitsmeldungen.", "Testen Sie kritische Formulare manuell und automatisiert, besonders Kontakt, Antrag, Login und Newsletter." ], "fix_steps": [ { "phase": "Befund reproduzieren", "owner": "UX/Content/IT", "action": "SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.", "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link." }, { "phase": "Ursache beheben", "owner": "UX/Content/IT", "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.", "evidence": "Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe." }, { "phase": "Nutzertext aktualisieren", "owner": "Datenschutz/Content", "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.", "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher." }, { "phase": "Re-Test und Abschluss", "owner": "Compliance/IT", "action": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "evidence": "Testprotokoll, Screenshots, bekannte Einschränkungen." } ], "acceptance": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "evidence_exports": [ "JSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen", "ZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen", "Trust Documentation Library für öffentliche, sanitisierte und interne Nachweise" ], "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.", "sources": [ { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" }, { "label": "BFIT Bund", "url": "https://www.bfit-bund.de/DE/Home/home_node.html" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" } ] } ], "remediation_tickets": [ { "id": "remediation_beacon_api_usage", "type": "befund_fix", "title": "Beacon-/Keepalive-Telemetrie erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_external_canonical", "type": "befund_fix", "title": "Canonical zeigt auf fremde Domain", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "seo", "evidence": "", "action": "Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_csp", "type": "befund_fix", "title": "Content-Security-Policy fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_data_entry_privacy_context_missing", "type": "befund_fix", "title": "Dateneingabe ohne klaren Datenschutzkontext", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "data_entry", "evidence": "", "action": "Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_module_privacy_consent", "type": "befund_fix", "title": "Datenschutz, Cookies & Consent", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 30.", "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_sampled_form_privacy_context_missing", "type": "befund_fix", "title": "Formular-Unterseite ohne klaren Datenschutzkontext", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "crawl", "evidence": "", "action": "Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_google_consent_mode_missing", "type": "befund_fix", "title": "Google Consent Mode Default nicht erkannt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_google_consent_gap", "type": "befund_fix", "title": "Google-Dienste", "priority": "hoch", "owner": "Marketing Ops/Webentwicklung", "area": "Google Consent Mode und Tags reparieren", "evidence": "Google-Tags und Consent-Mode-Signale wurden aus HTML, Browserkontakten und Tracking-IDs abgeleitet.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "google_consent", "sla": "7 Tage" }, { "id": "remediation_module_google_third_parties", "type": "befund_fix", "title": "Google-Dienste & Drittanbieter", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.", "action": "Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_missing_hsts", "type": "befund_fix", "title": "HSTS fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_security_header_gap", "type": "befund_fix", "title": "Security-Header, Referrer-Policy und Browser-Schutz setzen", "priority": "hoch", "owner": "IT/Security", "area": "Security", "evidence": "1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "security_header", "sla": "7 Tage" }, { "id": "remediation_module_security_tls", "type": "befund_fix", "title": "Sicherheit, TLS & Header", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 0.", "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "audit_module", "sla": "7 Tage" }, { "id": "remediation_consent_preconsent_gap", "type": "befund_fix", "title": "Tracking, Cookies oder Drittanbieter vor Einwilligung reparieren", "priority": "hoch", "owner": "Marketing/IT", "area": "Consent & Tracking", "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/tracking-und-consent-reparieren", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "consent_audit", "sla": "7 Tage" }, { "id": "remediation_important_pages_not_discovered", "type": "befund_fix", "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "crawl", "evidence": "", "action": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_missing_x_frame_options", "type": "befund_fix", "title": "X-Frame-Options fehlt", "priority": "hoch", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "7 Tage" }, { "id": "remediation_module_forms_payments", "type": "befund_fix", "title": "Formulare, Login & Zahlung", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "Crawl fand 10 Formular(e) auf 4 geprüften Seite(n), u. a. /regulierung/impressumspflicht-im-internet, /service/kontakt, /shop/warenkorb, /service/newsletter. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.", "action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "remediation_module_site_coverage", "type": "befund_fix", "title": "Seitenabdeckung & Crawl", "priority": "mittel", "owner": "Website-Betrieb/Datenschutz", "area": "Audit-Modul", "evidence": "30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.", "action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "audit_module", "sla": "30 Tage" }, { "id": "mapping_baseline_tracker_mapping", "type": "service_mapping", "title": "Service- und Tracker-Mapping", "priority": "mittel", "owner": "Marketing/IT/Datenschutz", "area": "Tracker- und Service-Mapping", "evidence": "Keine einzelnen Tracker-Zeilen im gespeicherten Check verfügbar.", "action": "Nach nächstem Scan Cookies, Requests und Anbieter in Servicekarten überführen.", "acceptance_criteria": [ "Dienst ist einer Servicekarte mit Anbieter, Zweck und Kategorie zugeordnet.", "Consent-Banner, Datenschutzhinweis und Anbieterregister verwenden dieselbe Bezeichnung.", "Re-Scan zeigt keine unbekannte oder ungeklärte Tracking-Auslösung." ], "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "evidence_url": "https://saferpage.de/anbieter/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "tracker_mapping", "sla": "30 Tage" }, { "id": "remediation_coverage_gap", "type": "befund_fix", "title": "Wichtige Unterseiten, Datenschutz und Formulare crawlbar verlinken", "priority": "mittel", "owner": "Webbetrieb/SEO", "area": "Crawl-Abdeckung", "evidence": "30 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen.", "action": "Befund mit Betreiber-Guide beheben und danach erneut scannen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "coverage", "sla": "30 Tage" }, { "id": "remediation_operator_identity_unclear", "type": "befund_fix", "title": "Betreiberidentität wirkt unklar", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "privacy", "evidence": "", "action": "Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/impressum-und-kontakt-sichtbar-machen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_image_alt_missing", "type": "befund_fix", "title": "Bilder ohne Alternativtext", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "accessibility", "evidence": "", "action": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_embedder_policy", "type": "befund_fix", "title": "Cross-Origin-Embedder-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_opener_policy", "type": "befund_fix", "title": "Cross-Origin-Opener-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_cross_origin_resource_policy", "type": "befund_fix", "title": "Cross-Origin-Resource-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_meta_description", "type": "befund_fix", "title": "Meta-Description fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "content", "evidence": "", "action": "Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/externe-skripte-und-sri-absichern", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_permissions_policy", "type": "befund_fix", "title": "Permissions-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" }, { "id": "remediation_missing_referrer_policy", "type": "befund_fix", "title": "Referrer-Policy fehlt", "priority": "niedrig", "owner": "Website-Betrieb/Datenschutz", "area": "security_headers", "evidence": "", "action": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.", "acceptance_criteria": [ "Der konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft.", "Datenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr.", "Exportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe." ], "guide_url": "https://saferpage.de/guides/security-header-setzen", "evidence_url": "https://saferpage.de/befunde/lfk.de", "rescan_url": "https://saferpage.de/scanbetrieb/lfk.de", "source": "finding", "sla": "quartalsweise" } ], "tracker_mapping_tasks": [ { "id": "baseline_tracker_mapping", "label": "Service- und Tracker-Mapping", "type": "process", "status": "vorbereiten", "evidence": "Keine einzelnen Tracker-Zeilen im gespeicherten Check verfügbar.", "action": "Nach nächstem Scan Cookies, Requests und Anbieter in Servicekarten überführen.", "guide_slug": "servicekarte-und-anbieterinventar-aufbauen", "guide_url": "https://saferpage.de/guides/servicekarte-und-anbieterinventar-aufbauen", "target_url": "https://saferpage.de/anbieter/lfk.de" } ], "platform_playbooks": [ { "id": "typo3", "platform": "TYPO3", "summary": "TYPO3-Core, Extensions, Sitepackage, Fluid-Templates, Consent-Extension und Caches zusammen prüfen.", "steps": [ "TYPO3 Core und Extensions gemäß Wartungsstatus aktualisieren; Composer-/Extension-Lockfile sichern.", "Sitepackage und Fluid-Templates nach externen Fonts, Maps, Videos, Analytics und Tag-Manager-Snippets durchsuchen.", "Consent-Extension so konfigurieren, dass externe Skripte und Iframes erst nach passender Einwilligung laden.", "Security-Header und TLS/HSTS auf Webserver-/Proxy-Ebene testen; TYPO3-Caches nach Änderung leeren." ], "acceptance": [ "Extension-Liste und Wartungsstatus dokumentiert.", "Pflichtseiten werden im Seiteninventar gefunden.", "Consent-Zustände sind im Re-Scan stabil." ], "owner": "Webbetrieb/IT/Datenschutz", "guide_url": "https://saferpage.de/guides/cms-plugin-patchstand-nachweisen", "technology_evidence_url": "https://saferpage.de/technik/lfk.de/export", "rescan_url": "https://saferpage.de/?url=lfk.de", "boundary": "Passiv abgeleitet: SaferPage behauptet nur sichtbare CMS-/Shop-/Deployment-Signale. Betreiber müssen Plattform, Versionen, Plugins, Apps und interne Deployments bestätigen." } ], "quality_review_playbook": { "summary": "Betreiber-Review-Playbook gegen typische Fehlalarme: Consent-/Paywall-Grenzen, Google-Consent-Anwendbarkeit, Formular-Coverage, Cookie-Kontext und Score-Wording.", "rows": [ { "id": "consent_wall_paywall_review", "label": "Consent-Wall, Paywall oder Overlay einordnen", "review_question": "Hat der automatische Lauf ein Overlay, eine PUR-/Abo-Wall, Geoblocking oder eine Login-Grenze gesehen?", "operator_action": "Wenn Overlay, Login, PUR-/Abo-Wall oder Geoblocking Inhalte verdeckt, Befunde zu Impressum, Formularen, Cookies und verstecktem Text manuell prüfen.", "acceptance": "Manuelle Prüfung ist mit Screenshot, Pfad, Entscheidung und Re-Scan-Vermerk dokumentiert.", "boundary": "Ein verdeckter Footer oder Paywall-Text ist kein automatischer Nachweis für fehlende Betreibertransparenz.", "evidence_url": "https://saferpage.de/lfk.de", "guide_url": "https://saferpage.de/methodik", "status": "bei Bedarf prüfen" }, { "id": "google_consent_applicability_review", "label": "Google Consent Mode nur bei Google-Evidenz fordern", "review_question": "Wurden Google-Tag, Google-Domain oder Google-Tracking-ID wirklich gesehen?", "operator_action": "Keinen Google-Consent-Mode-Fix verlangen, solange keine Google-Tag-/Domain-/ID-Evidence vorliegt; bei späterem Einbau erneut scannen.", "acceptance": "Top-Fixes enthalten keinen Google-Consent-Fehlalarm ohne Google-Evidence.", "boundary": "Diese Bewertung gilt nur für die gespeicherte Scan-Evidence; spätere Tag-Manager-Änderungen brauchen Re-Scan.", "evidence_url": "https://saferpage.de/lfk.de/top-fixes-json", "guide_url": "https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden", "status": "nicht erforderlich" }, { "id": "form_coverage_review", "label": "Formular-Coverage gegen Startseiten-Sample abgleichen", "review_question": "Gibt es Formulare auf Startseite oder direkt gecrawlten Unterseiten?", "operator_action": "Alle 10 Formular(e) auf 4 geprüften Seite(n) mit Zweck, Pflichtfeldern, Datenschutzlink, Tracking und Referrer-Kontext prüfen.", "acceptance": "Formularzweck, Pflichtfelder, Datenschutzhinweis und Consent-/Tracking-Kontext sind pro Formularseite nachvollziehbar.", "boundary": "SaferPage sendet keine Formulare ab und kennt keine internen Rechtsgrundlagen oder nachgelagerte Verarbeitung.", "evidence_url": "https://saferpage.de/abdeckung/lfk.de/export", "guide_url": "https://saferpage.de/guides/formulare-datenschutzkonform-absichern", "status": "Crawl-Evidence vorhanden" }, { "id": "cookie_context_review", "label": "Cookies nach Zweck statt pauschal bewerten", "review_question": "Sind Cookies vor Einwilligung technisch notwendig oder Tracking/Marketing?", "operator_action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Kategorie und Auslösezeitpunkt pflegen; Funktionscookies von Tracking-Cookies trennen.", "acceptance": "Cookie-Erklärung und CMP zeigen dieselben Kategorien; Re-Scan belegt keine ungeklärten Trackingkontakte vor Einwilligung.", "boundary": "Load-Balancing, Sicherheit und Consent-Speicherung können notwendig sein; die Einordnung braucht Betreiberkontext.", "evidence_url": "https://saferpage.de/cookies/lfk.de", "guide_url": "https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen", "status": "Baseline dokumentieren" }, { "id": "score_wording_review", "label": "Score und Warntexte als Priorisierung formulieren", "review_question": "Wird aus dem automatischen Score ein pauschales Seriositäts- oder Rechtsurteil?", "operator_action": "Report-Quality-Smoke, Kurzreport und Management-Text prüfen: harte Aussagen wie zertifiziert, rechtssicher oder grundsätzlich gefährlich vermeiden.", "acceptance": "Bericht trennt Beobachtung, Betreibermaßnahme, Grenze und Re-Scan; keine nicht belegten Zertifikats- oder Rechtsclaims.", "boundary": "Score ist eine technische Priorisierung und kein abschließendes Urteil über Rechtmäßigkeit, Seriosität oder Sicherheit.", "evidence_url": "https://saferpage.de/evidence/report-quality-smoke.json", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" }, { "id": "statement_boundary_review", "label": "Aussage-Ampel und Claim-Grenzen übernehmen", "review_question": "Trennt der Report klar zwischen automatisch belegter Evidence, manueller Betreiberprüfung und Aussagen, die nicht behauptet werden dürfen?", "operator_action": "Aussage-Ampel im Report prüfen und in internen Tickets übernehmen: automatisch belegt, manuell prüfen und nicht behaupten getrennt dokumentieren.", "acceptance": "Fix-Tickets, Betreiberfreigabe und Re-Scan-Notiz enthalten keine DSGVO-Freigabe, kein pauschales Seriositätsurteil und keine nicht belegten Sicherheitsclaims.", "boundary": "Die Aussage-Ampel ist eine Kommunikations- und Abnahmehilfe; sie ersetzt keine Rechtsberatung, keine Betreiberfreigabe und keine vollständige Prüfung hinter Login, Paywall oder Geoblocking.", "evidence_url": "https://saferpage.de/lfk.de", "guide_url": "https://saferpage.de/methodik", "status": "immer prüfen" } ], "metrics": { "row_count": 6, "acceptance_count": 6, "boundary_count": 6, "evidence_url_count": 6, "guide_url_count": 6, "privacy_relevant_domain_count": 0, "pre_consent_cookie_count": 0, "form_count": 10, "google_evidence_count": 0 } }, "phases": [ { "id": "triage", "label": "Triage", "timebox": "0-48 Stunden", "action": "Hoch priorisierte Befunde reproduzieren, Owner bestätigen, Exportpaket sichern." }, { "id": "fix", "label": "Fix umsetzen", "timebox": "0-14 Tage", "action": "Consent-, Anbieter-, Notice-, Cookie-, Formular- oder Header-Änderungen umsetzen und versionieren." }, { "id": "content", "label": "Nutzertexte synchronisieren", "timebox": "parallel", "action": "Datenschutzhinweis, Cookie-Erklärung, Anbieterregister und TrustHub an reale Technik anpassen." }, { "id": "rescan", "label": "Re-Scan und Freigabe", "timebox": "nach Deployment", "action": "Erstaufruf, Ablehnen, Akzeptieren, GPC, Mobilansicht und priorisierte Unterseiten erneut prüfen." } ], "links": { "fix_guides": "https://saferpage.de/fix-guides/lfk.de", "json": "https://saferpage.de/fix-guides/lfk.de/export", "csv": "https://saferpage.de/fix-guides/lfk.de/export-csv", "markdown": "https://saferpage.de/fix-guides/lfk.de/playbook-md", "tickets_json": "https://saferpage.de/fix-guides/lfk.de/tickets-json", "tickets_csv": "https://saferpage.de/fix-guides/lfk.de/tickets-csv", "tickets_markdown": "https://saferpage.de/fix-guides/lfk.de/tickets-md", "tickets_delivery_json": "https://saferpage.de/fix-guides/lfk.de/tickets-delivery-json", "tickets_delivery_csv": "https://saferpage.de/fix-guides/lfk.de/tickets-delivery-csv", "findings": "https://saferpage.de/befunde/lfk.de", "operator_board": "https://saferpage.de/betreiber/lfk.de", "privacy_hub": "https://saferpage.de/datenschutz-hub/lfk.de", "scan_operations": "https://saferpage.de/scanbetrieb/lfk.de", "guides_index": "https://saferpage.de/guides", "report": "https://saferpage.de/lfk.de" }, "competitor_references": [ { "title": "Cookiebot Scan Report", "url": "https://support.cookiebot.com/hc/en-us/articles/5007079527580-Understanding-the-scan-report", "note": "Scanreports verbinden Cookie-/Prior-Consent-Befunde mit Betreiberaktionen." }, { "title": "Usercentrics Handling Trackers", "url": "https://support.usercentrics.com/hc/en-us/articles/18579668393372-Handling-trackers", "note": "Tracker-Ergebnisse werden gemappt, blockiert oder bewusst manuell verwaltet." }, { "title": "Osano Compliance Check", "url": "https://www.osano.com/features/compliance-check", "note": "Compliance Checks priorisieren Lücken und geben Hinweise zur schnellen Behebung." } ], "disclaimer": "Automatisch aus SaferPage-Scan-Evidenz und Betreiber-Guides abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben." }