Nachweispositionen
Prüfbare Nachweispositionen aus SaferPage-Befunden, Fixpfad-Gruppen, Tracker-Mapping und Re-Scan-Anforderungen.
Automatisch aus SaferPage-Scan-Evidenz und Hintergrundseiten abgeleitet. Betreiber müssen Umsetzung, Rechtsgrundlagen, interne Systeme und Re-Scan-Nachweise fachlich freigeben.
Nachweisliste
Diese Seite ist ein Betreiber-Arbeitsindex. Die maschinenlesbaren JSON/CSV/Markdown-Exporte bleiben separate Exportlinks und werden nicht als Testresult-Inhalt eingebettet.
Ablehnen sollte in Größe, Sichtbarkeit und Erreichbarkeit nicht deutlich hinter Akzeptieren zurückfallen.
Top-Anbieter mit Zweck, Rolle, AVV/DPA, TOMs, Subprozessoren und Transfergrundlage dokumentieren.
Vendor-Due-Diligence mit 5 Anbieter(n), 0 hohem Risiko, 5 AVV-/DPA-Prüfung(en) und 4 Transfer-/Jurisdiktionsfrage(n).Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
141 Request(s), 5 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 4 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-/URL-Leaks: 2, Fingerprinting-/Replay-Hinweise: 1.Buttons mit sichtbarem Text oder aria-label beschriften.
Ablehnen, Einstellungen und Akzeptieren gleichwertig anbieten und Reject technisch wirksam machen.
Reject-Zustand gegen Cookies, Storage und Drittanbieter prüfen; nicht notwendige Signale nach Ablehnen blockieren.
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Cookie-, Tracking-, Web-Storage- und Drittanbieter-Hinweise mit der tatsächlichen Technik aus dem Scan abgleichen.
Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.
Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
0 Tracking-Script(s), 4 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 22.Verantwortlicher, Zwecke, Rechtsgrundlagen, Rechte, Speicherfristen, Empfänger, Cookies/Tracking und Widerruf strukturiert ergänzen.
Technisch erkannte Dienste in der Datenschutzerklärung konkret mit Anbieter, Zweck, Rechtsgrundlage, Empfänger und Transferhinweis benennen.
Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.
Formulartexte, Pflichtfelder, Datenschutzlink, Referrer-Policy und Tracking auf Formularseiten prüfen.
Crawl-Evidence: 4 Formular(e) auf 4 geprüften Seite(n).Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
Google-Consent-Mode-Signale wurden aus GTM/Analytics/Ads-Tags, passenden Browserkontakten und Tracking-IDs abgeleitet; reine Google-Service-Kontakte werden separat gezählt.Google-Dienste einzeln prüfen, Consent Mode sauber setzen und Fonts möglichst lokal ausliefern.
Google-Tags: ja, 0 Google-nahe Domain(s), Consent-Default: nein, Analytics: nein, Werbung: nein, Fonts: nein.Hreflang-Links auf gültige Sprach-/Regioncodes, passende Zielseiten und eigene Domain prüfen.
Für deutsche Seiten sollte ein gut sichtbares Impressum verlinkt sein.
Straße, Hausnummer, Postleitzahl und Ort im Impressum eindeutig aufführen.
Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen.
Nach Ablehnen keine neuen nicht notwendigen Cookies setzen; technisch notwendige Cookies sauber erklären.
Upgrade auf PHP 8.4 oder neuer planen; PHP 8.3 ist laut php.net seit 31.12.2025 aus aktivem Support und erhaelt nur noch Security-Fixes bis 31.12.2027.
Tracking-/Tag-Parameter für Anbieter wie etracker.de, edge.cookiefirst.com so konfigurieren, dass keine unnötigen Pfade, Suchparameter oder Formularumfelder gesendet werden.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.Tracking-IDs in LocalStorage oder SessionStorage nach Ablehnen entfernen oder gar nicht erst setzen.
Prüfen, ob Text absichtlich vor Nutzern verborgen, aber für Suchmaschinen platziert wird.
Befund mit Hintergrundseite einordnen und danach erneut scannen.
Consent-Banner-UX: 2 auffällige Prüfpunkt(e), davon 2 hoch. Muster: asymmetrische Button-Prominenz, Ablehnen technisch nicht wirksam.Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
0 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 2 Button(s) ohne Namen.Befund mit Hintergrundseite einordnen und danach erneut scannen.
1 Bild(er), 2 Formularfeld(er), 4 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.Servicekarte je Anbieter anlegen und Datenschutzhinweis, CMP und Anbieterregister synchronisieren.
5 Drittanbieter-Domain(s) im Browserlauf.Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Crawl fand 4 Formular(e) auf 4 geprüften Seite(n), u. a. /datenschutz, /impressum, /Kontaktformulare/Kontaktformular, /kontaktformular. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.Zweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
wineo.deBetreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.
Impressum: nein, Datenschutz: nein, Kontakt: ja.Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
2 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
2 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).Befund mit Hintergrundseite einordnen und danach erneut scannen.
4 von 9 wichtigen Security-Headern vorhanden, 4 korrekt bewertet. Keine Content-Security-Policy gefunden.Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.
30 interne Linkziele erkannt, 4 priorisierte Unterseite(n) abgerufen.HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
2 Infrastruktur-Hinweis(e), Security-Header: 4/9 vorhanden, 5 fehlen, externe Skript-Hosts: 2.Befund mit Hintergrundseite einordnen und danach erneut scannen.
30 interne Linkziele erkannt (0 aus Sitemap), 4 priorisierte Unterseite(n) zusätzlich abgerufen.Zweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Rolle, AVV/DPA, Region, Transfer und Consent-Kategorie bestätigen.
SonstigeRequest einem Dienst, Zweck und Consent-Zustand zuordnen oder blockieren.
otherZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
wineo.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
wineo.deZweck, Laufzeit, Anbieter und Consent-Erfordernis in Cookie-Erklärung und CMP pflegen.
wineo.deUnklare Drittanbieter in Anbieterinventar, AVV-Prozess und Datenschutzerklärung nachrecherchieren.
SameSite=Lax oder SameSite=Strict setzen, falls fachlich möglich.
Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
Betreiber sollten einen Datenschutzkontakt nennen oder nachvollziehbar erklären, wie Datenschutzanfragen gestellt werden können.
Für statische CDN-Skripte `integrity` und passend `crossorigin` setzen oder Skripte kontrolliert lokal ausliefern.
Eine klare H1 und sinnvolle Zwischenüberschriften erleichtern Orientierung und Screenreader-Nutzung.
Header `permissions-policy` setzen und nach Deployment erneut prüfen.
Registergericht und Registernummer im Impressum prüfen, sofern eine registerpflichtige Rechtsform vorliegt.
Betreiber sollten ein gut sichtbares Stand- oder Aktualisierungsdatum ergänzen und die Erklärung nach technischen Änderungen prüfen.
Bei juristischen Personen Geschäftsführung, Vorstand oder Vertretungsberechtigte im Impressum prüfen.
Prüfen, ob Eingaben für Analytics, Session-Replay oder Debugging erfasst werden; sensible Felder konsequent ausschließen.
Skripte/CSS bündeln, defer/async nutzen und kritisches CSS priorisieren.