Nachweispositionen
Pruefbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 2 Anbieter(n), 0 hohem Risiko, 2 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Buttons mit sichtbarem Text oder aria-label beschriften.
nginx-Version gegen die offizielle Advisory pruefen und auf 1.21.0+, 1.20.1+ oder neuer aktualisieren.
Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.
Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.
Tracking-/Tag-Parameter für Anbieter wie etracker.de so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.
Pruefen, ob die sichtbare nginx-Version vom OS-Anbieter mit Security-Backports gepflegt wird. Ohne Backports auf eine aktuelle Stable/Mainline-Version aus dem nginx.org-Zweig aktualisieren.
Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
2 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 2 Button(s) ohne Namen.Befund mit Hintergrundseite einordnen und danach erneut scannen.
31 Bild(er), 8 Formularfeld(er), 15 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Crawl fand 16 Formular(e) auf 4 geprüften Seite(n), u. a. /datenschutz.html, /impressum.html, /service/kontakt.html, /service/ueber-uns.html. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.Befund mit Hintergrundseite einordnen und danach erneut scannen.
Google-Consent-Mode-Signale wurden aus GTM/Analytics/Ads-Tags, passenden Browserkontakten und Tracking-IDs abgeleitet; reine Google-Service-Kontakte werden separat gezählt.Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.
2 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherUnklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.
Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
base-uri 'self' oder 'none' setzen, damit Base-Tag-Manipulation begrenzt wird.
object-src 'none' setzen, wenn keine Plugins oder Objekte benötigt werden.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Prüfen Sie die Erklärung gegen aktuelle Cookies, Drittanbieter, Consent-Einstellungen und Formulare.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
Sensible Parameter aus Links entfernen oder durch serverseitige, kurzlebige Zustände ersetzen.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.