Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 5 Anbieter(n), 0 hohem Risiko, 5 AVV-/DPA-Prüfung(en) und 0 Transfer-/Jurisdiktionsfrage(n).Nachweispositionen
rupp-brv.de: Nachweispositionen
Prüfbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Verantwortlichkeit, Zielzeit, Nachweis und Re-Scan-Link
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren.
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Cookies über HTTPS mit Secure-Flag setzen.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
1 Tracking-Script(s), 1 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 34.Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
Serverantwort, Caching und Backend-Latenz prüfen.
PHP auf eine aktuell unterstuetzte Version migrieren. Upstream-Sicherheitsfixes gibt es laut php.net nur noch fuer PHP 8.2 bis 8.5; alte 7.x/8.0/8.1-Header sind kritisch, sofern kein Distribution-Backport nachweisbar ist.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.Tracking-/Tag-Parameter für Anbieter wie uct.eu.usercentrics.eu so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
2 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 2.Zertifikat rechtzeitig erneuern; bei weniger als 7 Tagen sofort prüfen.
Prüfen, ob vor Tracking eine wirksame Einwilligung eingeholt wird.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.LocalStorage und SessionStorage wie Cookies inventarisieren und nicht notwendige IDs an Consent koppeln.
Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
5 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
40 Request(s), 5 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 1 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 1.Befund mit Hintergrundseite einordnen und danach erneut scannen.
5 Bild(er), 0 Formularfeld(er), 0 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Servicekarte je Anbieter anlegen und Datenschutzhinweis, CMP und Anbieterregister synchronisieren.
5 Drittanbieter-Domain(s) im Browserlauf.Befund mit Hintergrundseite einordnen und danach erneut scannen.
Google-Consent-Mode-Signale wurden aus GTM/Analytics/Ads-Tags, passenden Browserkontakten und Tracking-IDs abgeleitet; reine Google-Service-Kontakte werden separat gezählt.Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
rupp-brv.deAntwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.
Performance-Score 76, Antwortzeit 2814 ms.Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
1 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 1 sensible Query-Kontexte.Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
12 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherInhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.
SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Betreiber sollten einen Datenschutzkontakt nennen oder nachvollziehbar erklären, wie Datenschutzanfragen gestellt werden können.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Betreiber sollten ein gut sichtbares Stand- oder Aktualisierungsdatum ergänzen und die Erklärung nach technischen Änderungen prüfen.
Tracking-, Tag-Manager- und Replay-Skripte erst nach Einwilligung laden und mit CSP, Anbieterinventar und Datenschutzerklärung abgleichen.
Bei Global Privacy Control sollten Tracking-IDs in LocalStorage und SessionStorage vermieden oder klar an Opt-out gekoppelt werden.
Pixel von uct.eu.usercentrics.eu erst nach Einwilligung laden, Zweck erklären und unnötige Bild-Tracker entfernen.
Tracking und Drittanbieter nicht nur auf der Startseite, sondern auch auf Pflicht- und Formularseiten prüfen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.
Für mobile Darstellung `meta name=viewport` setzen.