Nachweispositionen
Pruefbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 2 Anbieter(n), 2 hohem Risiko, 2 AVV-/DPA-Prüfung(en) und 2 Transfer-/Jurisdiktionsfrage(n).navigator.sendBeacon, keepalive-Fetch und vergleichbare Telemetrie auf Consent, Anbieter und Datenminimierung prüfen.
Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
41 Request(s), 2 Drittanbieter-Domain(s), davon 2 datenschutzrelevant, 3 Browser-Cookie(s), Transfer-Prüfbedarf: 2, Referrer-/URL-Leaks: 1, Fingerprinting-/Replay-Hinweise: 0.Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.
Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren.
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Cookie-Liste mit Zweck, Anbieter, First-/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen.
3 Cookie(s), 2 Tracking-/Werbe-Cookie(s), 3 Drittanbieter-Cookie(s), 2 langlebig, 0 sehr lang.Befund mit Hintergrundseite einordnen und danach erneut scannen.
3 Cookie(s) inventarisiert: 2 Tracking-/Werbe-Cookie(s), 3 Drittanbieter-Cookie(s), 2 langlebige Cookie(s), 0 sehr lange Laufzeit(en).Tracking, Werbung und Session-Replay auf Seiten mit Dateneingabe nur nach Einwilligung auslösen und keine Formularwerte an Tags übergeben.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 3 Cookie(s) vor Einwilligung, 2 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 12.Prüfen, ob Anbieter wie Google Tag Manager, Google Analytics in der Datenschutzerklärung und Cookie-Auswahl verständlich erklärt werden.
Für Anbieter wie Google Tag Manager, Google Analytics Transfergrundlage, AVV, DPF/SCC/TIA und Datenschutzhinweise prüfen.
Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.
Formulare mit personenbezogenen Daten per POST senden und sicherstellen, dass Werte nicht in URL, Referrer oder Analytics auftauchen.
Externe Formularziele auf Auftragsverarbeitung, Zweck, Region und Datenschutzerklärung prüfen.
Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Crawl fand 1 Formular(e) auf 1 geprüften Seite(n), u. a. /impressum. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Impressum von der Startseite oder dem Footer direkt sichtbar verlinken; der Scan fand es nur über typische Direktpfade.
Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
Cookies wie _ga, _ga_NJKK3YGS4D auf kurze Laufzeiten begrenzen, erst nach Einwilligung setzen und Speicherdauer konkret erklären.
Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären.
Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.
4 PII-/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.Befund mit Hintergrundseite einordnen und danach erneut scannen.
1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden.Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.
Tracking-/Tag-Parameter für Anbieter wie Google Analytics so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
2 interne Linkziele erkannt, 2 priorisierte Unterseite(n) abgerufen.Sensible Parameter wie E-Mail, Name, Token oder Session-IDs aus URLs entfernen und Drittanbieter-Tags auf solchen Seiten blockieren.
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 1.Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.Tracking-Cookies erst nach aktiver Einwilligung setzen.
Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
2 interne Linkziele erkannt (0 aus Sitemap), 2 priorisierte Unterseite(n) zusätzlich abgerufen.Header `x-frame-options` setzen und nach Deployment erneut prüfen.
Request einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
tag_managerRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
analyticsBefund mit Hintergrundseite einordnen und danach erneut scannen.
Consent-Banner-UX: 3 auffällige Prüfpunkt(e), davon 2 hoch. Muster: Ablehnen technisch nicht wirksam, Tracking vor Einwilligung.Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
8 Bild(er) ohne alt, 0 Formularfeld(er) ohne Beschriftung, 0 Button(s) ohne Namen.Befund mit Hintergrundseite einordnen und danach erneut scannen.
61 Bild(er), 5 Formularfeld(er), 8 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-/Tag-Skripte an Consent und CSP koppeln.
16 externe Skript(e) von 1 Host(s), 16 ohne SRI, 0 Tracking-/Tag-nahe Skript(e).Befund mit Hintergrundseite einordnen und danach erneut scannen.
Google-Consent-Mode-Signale wurden aus GTM/Analytics/Ads-Tags, passenden Browserkontakten und Tracking-IDs abgeleitet; reine Google-Service-Kontakte werden separat gezählt.Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 2 Google-nahe Domain(s), Consent-Default: nein, Analytics: ja, Werbung: nein, Fonts: nein.Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
1 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 1 sensible Query-Kontexte.Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.
0 Pixel-/Bildtracking-Hinweis(e), 3 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
supparts.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
supparts.deZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
Tag-ManagerZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
AnalyticsZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
supparts.deInhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.
GPC-Aufruf auf Datenschutz-Drittanbieter, Drittanbieter-Cookies und Storage-IDs prüfen.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Bei aktivem Global Privacy Control sollten Anbieter wie Google Tag Manager, Google Analytics besonders begründet oder blockiert werden.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
Bei Tracking prüfen, ob Consent technisch nachvollziehbar gesetzt, widerrufen und dokumentiert wird.
Sensible Parameter aus Links entfernen oder durch serverseitige, kurzlebige Zustände ersetzen.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Header `referrer-policy` setzen und nach Deployment erneut prüfen.
Registergericht und Registernummer im Impressum prüfen, sofern eine registerpflichtige Rechtsform vorliegt.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.
Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.