Nachweispositionen
Pruefbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 1 Anbieter(n), 0 hohem Risiko, 1 AVV-/DPA-Prüfung(en) und 1 Transfer-/Jurisdiktionsfrage(n).navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Im Impressum Betreibername, Rechtsform oder verantwortliche Person klar nennen.
Buttons mit sichtbarem Text oder aria-label beschriften.
Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.
Ablehnen und Einstellungen im ersten Banner-Layer sichtbar und gleichwertig anbieten.
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Cookies über HTTPS mit Secure-Flag setzen.
Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 3 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 44.Datenschutzerklärung sollte Verarbeitung, Rechtsgrundlagen, Cookies/Drittanbieter und Betroffenenrechte nachvollziehbar erklären.
Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.
Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Impressum von der Startseite oder dem Footer direkt sichtbar verlinken; der Scan fand es nur über typische Direktpfade.
Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
Serverantwort, Caching und Backend-Latenz prüfen.
Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. CSP nur Report-Only mit 10 Direktive(n), 0 Warnung(en), 3 Hinweis(e).Tracking-/Tag-Parameter für Anbieter wie webstats.sbb.berlin so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
11 interne Linkziele erkannt, 5 priorisierte Unterseite(n) abgerufen.HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 0/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
11 interne Linkziele erkannt (0 aus Sitemap), 5 priorisierte Unterseite(n) zusätzlich abgerufen.Header `x-content-type-options` setzen und nach Deployment erneut prüfen.
Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent-Banner-UX: 2 auffällige Prüfpunkt(e), davon 1 hoch. Muster: Ablehnen nicht gleichwertig sichtbar.Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
1 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 3 Button(s) ohne Namen.Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
55 Request(s), 1 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 3 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 1.Befund mit Hintergrundseite einordnen und danach erneut scannen.
4 Bild(er), 3 Formularfeld(er), 8 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
stabikat.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
stabikat.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
stabikat.deZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherUnklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.
Prüfen, ob Firma/Name und ladungsfähige Anschrift im Impressum vollständig erkennbar sind.
Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
script-src auf konkrete HTTPS-Hosts, Nonces oder Hashes begrenzen.
Report-Only ist gut zum Testen; nach Korrektur der Verstöße sollte eine wirksame Content-Security-Policy gesetzt werden.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
frame-ancestors 'none' oder 'self' setzen, alternativ X-Frame-Options als Basisschutz nutzen.
Eine klare Auswahl- oder Einstellungsebene für Zwecke und Anbieter anbieten.
Eine kurze Beschreibung setzen, die den Zweck der Seite erklärt.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.