gmturnier-berlin.de Datenschutz-Check

{
    "host": "gmturnier-berlin.de",
    "input": "gmturnier-berlin.de",
    "score": 66,
    "verdict": {
        "color": "yellow",
        "label": "unklar",
        "score": 66
    },
    "evidence": {
        "dns": {
            "ok": true,
            "addresses": [
                "85.13.135.103"
            ],
            "duration_ms": 1
        },
        "tls": {
            "ok": true,
            "cipher": "TLS_AES_256_GCM_SHA384",
            "issuer": [
                [
                    [
                        "countryName",
                        "US"
                    ]
                ],
                [
                    [
                        "organizationName",
                        "Let's Encrypt"
                    ]
                ],
                [
                    [
                        "commonName",
                        "E7"
                    ]
                ]
            ],
            "subject": [
                [
                    [
                        "commonName",
                        "gmturnier-berlin.de"
                    ]
                ]
            ],
            "version": "TLSv1.3",
            "not_after": "Aug  8 02:01:45 2026 GMT",
            "hostname_matches": true,
            "days_until_expiry": 57,
            "subject_alt_names": [
                "*.gmturnier-berlin.de",
                "gmturnier-berlin.de"
            ],
            "issuer_common_name": "E7"
        },
        "http": {
            "ok": true,
            "status": 200,
            "headers": {
                "date": "Thu, 11 Jun 2026 09:06:31 GMT",
                "vary": "Accept-Encoding,User-Agent",
                "server": "Apache",
                "upgrade": "h2,h2c",
                "connection": "Upgrade, close",
                "x-pingback": "http:\/\/www.gmturnier-berlin.de\/xmlrpc.php",
                "content-type": "text\/html; charset=UTF-8",
                "transfer-encoding": "chunked"
            },
            "body_size": 16469,
            "final_url": "https:\/\/www.gmturnier-berlin.de\/",
            "duration_ms": 249
        },
        "scanner": {
            "bot_url": "https:\/\/saferpage.de\/bot",
            "context": "crawler",
            "user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)",
            "default_user_agent": "SaferPageBot\/0.2 (+https:\/\/saferpage.de\/bot; passive website safety check; no attack tests)"
        },
        "domain_records": {
            "mx": true,
            "caa": false,
            "spf": true,
            "dmarc": true,
            "dnssec": false
        },
        "googlebot_http": {
            "ok": true,
            "status": 200,
            "headers": {
                "date": "Thu, 11 Jun 2026 09:06:32 GMT",
                "vary": "Accept-Encoding,User-Agent",
                "server": "Apache",
                "upgrade": "h2,h2c",
                "connection": "Upgrade, close",
                "x-pingback": "http:\/\/www.gmturnier-berlin.de\/xmlrpc.php",
                "content-type": "text\/html; charset=UTF-8",
                "transfer-encoding": "chunked"
            },
            "body_size": 16469,
            "final_url": "https:\/\/www.gmturnier-berlin.de\/",
            "duration_ms": 264
        },
        "ai_search_policy_evidence": {
            "files": [
                {
                    "id": "robots_txt",
                    "url": "https:\/\/www.gmturnier-berlin.de\/robots.txt",
                    "label": "robots.txt",
                    "reason": "http_error",
                    "status": "missing",
                    "body_size": 0,
                    "truncated": false,
                    "body_sha256": "",
                    "duration_ms": 65,
                    "http_status": 404,
                    "relevant_lines": []
                },
                {
                    "id": "llms_txt",
                    "url": "https:\/\/www.gmturnier-berlin.de\/llms.txt",
                    "label": "llms.txt",
                    "reason": "http_error",
                    "status": "missing",
                    "body_size": 0,
                    "truncated": false,
                    "body_sha256": "",
                    "duration_ms": 68,
                    "http_status": 404,
                    "relevant_lines": []
                },
                {
                    "id": "ai_txt",
                    "url": "https:\/\/www.gmturnier-berlin.de\/.well-known\/ai.txt",
                    "label": "AI Policy",
                    "reason": "http_error",
                    "status": "missing",
                    "body_size": 0,
                    "truncated": false,
                    "body_sha256": "",
                    "duration_ms": 78,
                    "http_status": 404,
                    "relevant_lines": []
                },
                {
                    "id": "ai_policy_txt",
                    "url": "https:\/\/www.gmturnier-berlin.de\/.well-known\/ai-policy.txt",
                    "label": "AI Policy",
                    "reason": "http_error",
                    "status": "missing",
                    "body_size": 0,
                    "truncated": false,
                    "body_sha256": "",
                    "duration_ms": 66,
                    "http_status": 404,
                    "relevant_lines": []
                },
                {
                    "id": "ward_txt",
                    "url": "https:\/\/www.gmturnier-berlin.de\/.well-known\/ward.txt",
                    "label": "WARD Policy",
                    "reason": "http_error",
                    "status": "missing",
                    "body_size": 0,
                    "truncated": false,
                    "body_sha256": "",
                    "duration_ms": 113,
                    "http_status": 404,
                    "relevant_lines": []
                }
            ],
            "origin": "https:\/\/www.gmturnier-berlin.de",
            "schema": "https:\/\/saferpage.de\/schemas\/ai-search-policy-evidence.v1",
            "status": "checked",
            "metrics": {
                "file_count": 5,
                "found_file_count": 0,
                "policy_file_count": 0,
                "explicit_ai_bot_count": 0
            },
            "summary": "0 von 5 Policy-Datei(en) gefunden; 0 explizite KI-Bot-Regel(n) in robots.txt.",
            "available": true,
            "guardrails": [
                "Nur feste Same-Origin-Policy-Dateien",
                "Keine Off-Host-Redirects",
                "64-KB-Body-Limit",
                "Öffentlich nur Hash, Status und kurze relevante Zeilen"
            ],
            "known_ai_bots": [
                "GPTBot",
                "ChatGPT-User",
                "Google-Extended",
                "ClaudeBot",
                "PerplexityBot",
                "CCBot"
            ],
            "explicit_ai_bots": [],
            "policy_file_count": 0,
            "llms_ward_policy_status": "not_publicly_verified",
            "robots_ai_policy_status": "robots_missing"
        }
    },
    "findings": [
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-2762",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-2853",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-4899",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-2399",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-2400: Unspecified vulnerability in wp-includes\/js\/swfobject.js in WordPress before 3.3.2 has unknown impact and attack vectors.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-2400",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-6707: WordPress through 4.8.2 uses a weak MD5-based password hashing algorithm, which makes it easier for attackers to determine cleartext values by leveraging access to the hash values",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-6707",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-4338: wp-includes\/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by trigger",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-4338",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-4339: WordPress before 3.6.1 does not properly validate URLs before use in an HTTP redirect, which allows remote attackers to bypass intended redirection restrictions via a crafted strin",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-4339",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-2213: SQL injection vulnerability in the wp_untrash_post_comments function in wp-includes\/post.php in WordPress before 4.2.4 allows remote attackers to execute arbitrary SQL commands via",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-2213",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-2221: Open redirect vulnerability in the wp_validate_redirect function in wp-includes\/pluggable.php in WordPress before 4.4.2 allows remote attackers to redirect users to arbitrary web s",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-2221",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-4029: WordPress before 4.5 does not consider octal and hexadecimal IP address formats when determining an intranet address, which allows remote attackers to bypass an intended SSRF prote",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-4029",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5832: The customizer in WordPress before 4.5.3 allows remote attackers to bypass intended redirection restrictions via unspecified vectors.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5832",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5835: WordPress before 4.5.3 allows remote attackers to obtain sensitive revision-history information by leveraging the ability to read a post, related to wp-admin\/includes\/ajax-actions.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5835",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5836: The oEmbed protocol implementation in WordPress before 4.5.3 allows remote attackers to cause a denial of service via unspecified vectors.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5836",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5837: WordPress before 4.5.3 allows remote attackers to bypass intended access restrictions and remove a category attribute from a post via unspecified vectors.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5837",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5838: WordPress before 4.5.3 allows remote attackers to bypass intended password-change restrictions by leveraging knowledge of a cookie.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5838",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5839: WordPress before 4.5.3 allows remote attackers to bypass the sanitize_file_name protection mechanism via unspecified vectors.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5839",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-6635: Cross-site request forgery (CSRF) vulnerability in the wp_ajax_wp_compression_test function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.5 allows remote attackers to",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-6635",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14723: Before version 4.8.2, WordPress mishandled % characters and additional placeholder values in $wpdb->prepare, and thus did not properly address the possibility of plugins and themes",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14723",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-16510: WordPress before 4.8.3 is affected by an issue where $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi) in plugins and themes, as d",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-16510",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-17091: wp-admin\/user-new.php in WordPress before 4.9.1 sets the newbloguser key to a string that can be directly derived from the user ID, which allows remote attackers to bypass intended",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-17091",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5489: Cross-site request forgery (CSRF) vulnerability in WordPress before 4.7.1 allows remote attackers to hijack the authentication of unspecified victims via vectors involving a Flash ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5489",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5492: Cross-site request forgery (CSRF) vulnerability in the widget-editing accessibility-mode feature in WordPress before 4.7.1 allows remote attackers to hijack the authentication of u",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5492",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5493: wp-includes\/ms-functions.php in the Multisite WordPress API in WordPress before 4.7.1 does not properly choose random numbers for keys, which makes it easier for remote attackers t",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5493",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5611: SQL injection vulnerability in wp-includes\/class-wp-query.php in WP_Query in WordPress before 4.7.2 allows remote attackers to execute arbitrary SQL commands by leveraging the pres",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5611",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-9062: In WordPress before 4.7.5, there is improper handling of post meta data values in the XML-RPC API.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-9062",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-9064: In WordPress before 4.7.5, a Cross Site Request Forgery (CSRF) vulnerability exists in the filesystem credentials dialog because a nonce is not required for updating credentials.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-9064",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-9065: In WordPress before 4.7.5, there is a lack of capability checks for post meta data in the XML-RPC API.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-9065",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-9066: In WordPress before 4.7.5, there is insufficient redirect validation in the HTTP class, leading to SSRF.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "critical",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-9066",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-2335: WordPress and WordPress MU before 2.8.1 exhibit different behavior for a failed login attempt depending on whether the user account exists, which allows remote attackers to enumera",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-2335",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-2336: The forgotten mail interface in WordPress and WordPress MU before 2.8.1 exhibits different behavior for a password request depending on whether the user account exists, which allow",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-2336",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-2851: Cross-site scripting (XSS) vulnerability in the administrator interface in WordPress before 2.8.2 allows remote attackers to inject arbitrary web script or HTML via a comment autho",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-2851",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-2854: Wordpress before 2.8.3 does not check capabilities for certain actions, which allows remote attackers to make unauthorized edits or additions via a direct request to (1) edit-comme",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-2854",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-3622: Algorithmic complexity vulnerability in wp-trackback.php in WordPress before 2.8.5 allows remote attackers to cause a denial of service (CPU consumption and server hang) via a long",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-3622",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-3890: Unrestricted file upload vulnerability in the wp_check_filetype function in wp-includes\/functions.php in WordPress before 2.8.6, when a certain configuration of the mod_mime module",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-3890",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-4257: SQL injection vulnerability in the do_trackbacks function in wp-includes\/comment.php in WordPress before 3.0.2 allows remote authenticated users to execute arbitrary SQL commands v",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-4257",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-4536: Multiple cross-site scripting (XSS) vulnerabilities in KSES, as used in WordPress before 3.0.4, allow remote attackers to inject arbitrary web script or HTML via vectors related to",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-4536",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-5106: The XML-RPC remote publishing interface in xmlrpc.php in WordPress before 3.0.3 does not properly check capabilities, which allows remote authenticated users to bypass intended acc",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-5106",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-5293: wp-includes\/comment.php in WordPress before 3.0.2 does not properly whitelist trackbacks and pingbacks in the blogroll, which allows remote attackers to bypass intended spam restri",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-5293",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-5294: Multiple cross-site scripting (XSS) vulnerabilities in the request_filesystem_credentials function in wp-admin\/includes\/file.php in WordPress before 3.0.2 allow remote servers to i",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-5294",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-5295: Cross-site scripting (XSS) vulnerability in wp-admin\/plugins.php in WordPress before 3.0.2 might allow remote attackers to inject arbitrary web script or HTML via a plugin's author",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-5295",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-5296: wp-includes\/capabilities.php in WordPress before 3.0.2, when a Multisite configuration is used, does not require the Super Admin role for the delete_users capability, which allows ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-5296",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-0701: wp-admin\/async-upload.php in the media uploader in WordPress before 3.0.5 allows remote authenticated users to read (1) draft posts or (2) private posts via a modified attachment_i",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-0701",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-4898: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier generates different error messages for requests lacking a dbname parameter depending on wheth",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-4898",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-4956: Cross-site scripting (XSS) vulnerability in WordPress before 3.1.1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-4956",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-4957: The make_clickable function in wp-includes\/formatting.php in WordPress before 3.1.1 does not properly check URLs before passing them to the PCRE library, which allows remote attack",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-4957",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-5270: wp-admin\/press-this.php in WordPress before 3.0.6 does not enforce the publish_posts capability requirement, which allows remote authenticated users to perform publish actions by l",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-5270",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-0782: Multiple cross-site scripting (XSS) vulnerabilities in wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier allow remote attackers to inject arbit",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-0782",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-0937: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not limit the number of MySQL queries sent to external MySQL database servers, which all",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-0937",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-1936: The wp_create_nonce function in wp-includes\/pluggable.php in WordPress 3.3.1 and earlier associates a nonce with a user account instead of a user session, which might make it easie",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-1936",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-2401: Plupload before 1.5.4, as used in wp-includes\/js\/plupload\/ in WordPress before 3.3.2 and other products, enables scripting regardless of the domain from which the SWF content was l",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-2401",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-2402: wp-admin\/plugins.php in WordPress before 3.3.2 allows remote authenticated site administrators to bypass intended access restrictions and deactivate network-wide plugins via unspec",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-2402",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-2403: wp-includes\/formatting.php in WordPress before 3.3.2 attempts to enable clickable links inside attributes, which makes it easier for remote attackers to conduct cross-site scriptin",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-2403",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-2404: wp-comments-post.php in WordPress before 3.3.2 supports offsite redirects, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via unspecified ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-2404",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-3384: Cross-site request forgery (CSRF) vulnerability in the customizer in WordPress before 3.4.1 allows remote attackers to hijack the authentication of unspecified victims via unknown ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-3384",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-3385: WordPress before 3.4.1 does not properly restrict access to post contents such as private or draft posts, which allows remote authors or contributors to obtain sensitive informatio",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-3385",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-3414: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFUpload 2.2.0.1 and earlier, as used in WordPress before 3.3.2, TinyMCE Image Manager 1.1, and other products, allows",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-3414",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-4421: The create_post function in wp-includes\/class-wp-atom-server.php in WordPress before 3.4.2 does not perform a capability check, which allows remote authenticated users to bypass in",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-4421",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-6633: Cross-site scripting (XSS) vulnerability in wp-includes\/default-filters.php in WordPress before 3.3.3 allows remote attackers to inject arbitrary web script or HTML via an editable",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-6633",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-6634: wp-admin\/media-upload.php in WordPress before 3.3.3 allows remote attackers to obtain sensitive information or bypass intended media-attachment restrictions via a post_id value.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-6634",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-6635: wp-admin\/includes\/class-wp-posts-list-table.php in WordPress before 3.3.3 does not properly restrict excerpt-view access, which allows remote authenticated users to obtain sensitiv",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-6635",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-0235: The XMLRPC API in WordPress before 3.5.1 allows remote attackers to send HTTP requests to intranet servers, and conduct port-scanning attacks, by specifying a crafted source URL fo",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-0235",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-0236: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.1 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) gallery shortc",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-0236",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-0237: Cross-site scripting (XSS) vulnerability in Plupload.as in Moxiecode plupload before 1.5.5, as used in WordPress before 3.5.1 and other products, allows remote attackers to inject ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-0237",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2199: The HTTP API in WordPress before 3.5.2 allows remote attackers to send HTTP requests to intranet servers via unspecified vectors, related to a Server-Side Request Forgery (SSRF) is",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2199",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2200: WordPress before 3.5.2 does not properly check the capabilities of roles, which allows remote authenticated users to bypass intended restrictions on publishing and authorship reass",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2200",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2201: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) uploads of med",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2201",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2202: WordPress before 3.5.2 allows remote attackers to read arbitrary files via an oEmbed XML provider response containing an external entity declaration in conjunction with an entity r",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2202",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2203: WordPress before 3.5.2, when the uploads directory forbids write access, allows remote attackers to obtain sensitive information via an invalid upload request, which reveals the ab",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2203",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2204: moxieplayer.as in Moxiecode moxieplayer, as used in the TinyMCE Media plugin in WordPress before 3.5.2 and other products, does not consider the presence of a # (pound sign) charac",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2204",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-2205: The default configuration of SWFUpload in WordPress before 3.5.2 has an unrestrictive security.allowDomain setting, which allows remote attackers to bypass the Same Origin Policy a",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-2205",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-5738: The get_allowed_mime_types function in wp-includes\/functions.php in WordPress before 3.6.1 does not require the unfiltered_html capability for uploads of .htm and .html files, whic",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-5738",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-0165: WordPress before 3.7.2 and 3.8.x before 3.8.2 allows remote authenticated users to publish posts by leveraging the Contributor role, related to wp-admin\/includes\/post.php and wp-ad",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-0165",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-0166: The wp_validate_auth_cookie function in wp-includes\/pluggable.php in WordPress before 3.7.2 and 3.8.x before 3.8.2 does not properly determine the validity of authentication cookie",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-0166",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-5204: wp-includes\/pluggable.php in WordPress before 3.9.2 rejects invalid CSRF nonces with a different timing depending on which characters in the nonce are incorrect, which makes it eas",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-5204",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-5205: wp-includes\/pluggable.php in WordPress before 3.9.2 does not use delimiters during concatenation of action values and uid values in CSRF tokens, which makes it easier for remote at",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-5205",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-5265: The Incutio XML-RPC (IXR) Library, as used in WordPress before 3.9.2 and Drupal 6.x before 6.33 and 7.x before 7.31, permits entity declarations without considering recursion durin",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-5265",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-5266: The Incutio XML-RPC (IXR) Library, as used in WordPress before 3.9.2 and Drupal 6.x before 6.33 and 7.x before 7.31, does not limit the number of elements in an XML document, which",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-5266",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9031: Cross-site scripting (XSS) vulnerability in the wptexturize function in WordPress before 3.7.5, 3.8.x before 3.8.5, and 3.9.x before 3.9.3 allows remote attackers to inject arbitra",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9031",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9034: wp-includes\/class-phpass.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to cause a denial of service (CPU consu",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9034",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9035: Cross-site scripting (XSS) vulnerability in Press This in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to inject arb",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9035",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9036: Cross-site scripting (XSS) vulnerability in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to inject arbitrary web scr",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9036",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9037: WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 might allow remote attackers to obtain access to an account idle since 2008 by leveraging an im",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9037",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9038: wp-includes\/http.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to conduct server-side request forgery (SSRF) a",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9038",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-9039: wp-login.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 might allow remote attackers to reset passwords by leveraging access to an e-ma",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-9039",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-3438: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 4.1.2, when MySQL is used without strict mode, allow remote attackers to inject arbitrary web script or HTML",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-3438",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-3440: Cross-site scripting (XSS) vulnerability in wp-includes\/wp-db.php in WordPress before 4.2.1 allows remote attackers to inject arbitrary web script or HTML via a long comment that i",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-3440",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5623: WordPress before 4.2.3 does not properly verify the edit_posts capability, which allows remote authenticated users to bypass intended access restrictions and create drafts by lever",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5623",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5714: Cross-site scripting (XSS) vulnerability in WordPress before 4.3.1 allows remote attackers to inject arbitrary web script or HTML by leveraging the mishandling of unclosed HTML ele",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5714",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5715: The mw_editPost function in wp-includes\/class-wp-xmlrpc-server.php in the XMLRPC subsystem in WordPress before 4.3.1 allows remote authenticated users to bypass intended access res",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5715",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5730: The sanitize_widget_instance function in wp-includes\/class-wp-customize-widgets.php in WordPress before 4.2.4 does not use a constant-time comparison for widgets, which allows remo",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5730",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5731: Cross-site request forgery (CSRF) vulnerability in wp-admin\/post.php in WordPress before 4.2.4 allows remote attackers to hijack the authentication of administrators for requests t",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5731",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5732: Cross-site scripting (XSS) vulnerability in the form function in the WP_Nav_Menu_Widget class in wp-includes\/default-widgets.php in WordPress before 4.2.4 allows remote attackers t",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5732",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5733: Cross-site scripting (XSS) vulnerability in the refreshAdvancedAccessibilityOfItem function in wp-admin\/js\/nav-menu.js in WordPress before 4.2.4 allows remote attackers to inject a",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5733",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5734: Cross-site scripting (XSS) vulnerability in the legacy theme preview implementation in wp-includes\/theme.php in WordPress before 4.2.4 allows remote attackers to inject arbitrary w",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5734",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-7989: Cross-site scripting (XSS) vulnerability in the user list table in WordPress before 4.3.1 allows remote authenticated users to inject arbitrary web script or HTML via a crafted e-m",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-7989",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-8834: Cross-site scripting (XSS) vulnerability in wp-includes\/wp-db.php in WordPress before 4.2.2 allows remote attackers to inject arbitrary web script or HTML via a long comment that i",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-8834",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-10148: The wp_ajax_update_plugin function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.6 makes a get_plugin_data call before checking the update_plugins capability, which a",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-10148",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-1564: Multiple cross-site scripting (XSS) vulnerabilities in wp-includes\/class-wp-theme.php in WordPress before 4.4.1 allow remote attackers to inject arbitrary web script or HTML via a ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-1564",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-4566: Cross-site scripting (XSS) vulnerability in plupload.flash.swf in Plupload before 2.1.9, as used in WordPress before 4.5.2, allows remote attackers to inject arbitrary web script o",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-4566",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-4567: Cross-site scripting (XSS) vulnerability in flash\/FlashMediaElement.as in MediaElement.js before 2.21.0, as used in WordPress before 4.5.2, allows remote attackers to inject arbitr",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-4567",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5833: Cross-site scripting (XSS) vulnerability in the column_title function in wp-admin\/includes\/class-wp-media-list-table.php in WordPress before 4.5.3 allows remote attackers to inject",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5833",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-5834: Cross-site scripting (XSS) vulnerability in the wp_get_attachment_link function in wp-includes\/post-template.php in WordPress before 4.5.3 allows remote attackers to inject arbitra",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-5834",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-6634: Cross-site scripting (XSS) vulnerability in the network settings page in WordPress before 4.5 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-6634",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-6897: Cross-site request forgery (CSRF) vulnerability in the wp_ajax_update_plugin function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.6 allows remote attackers to hijac",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-6897",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-7168: Cross-site scripting (XSS) vulnerability in the media_handle_upload function in wp-admin\/includes\/media.php in WordPress before 4.6.1 might allow remote attackers to inject arbitra",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-7168",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-7169: Directory traversal vulnerability in the File_Upload_Upgrader class in wp-admin\/includes\/class-file-upload-upgrader.php in the upgrade package uploader in WordPress before 4.6.1 al",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-7169",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2016-9263: WordPress through 4.8.2, when domain-based flashmediaelement.swf sandboxing is not used, allows remote attackers to conduct cross-domain Flash injection (XSF) attacks by leveraging",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2016-9263",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14718: Before version 4.8.2, WordPress was susceptible to a Cross-Site Scripting attack in the link modal via a javascript: or data: URL.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14718",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14720: Before version 4.8.2, WordPress allowed a Cross-Site scripting attack in the template list view via a crafted template name.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14720",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14721: Before version 4.8.2, WordPress allowed Cross-Site scripting in the plugin editor via a crafted plugin name.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14721",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14724: Before version 4.8.2, WordPress was vulnerable to cross-site scripting in oEmbed discovery.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14724",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14725: Before version 4.8.2, WordPress was susceptible to an open redirect attack in wp-admin\/edit-tag-form.php and wp-admin\/user-edit.php.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14725",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-14726: Before version 4.8.2, WordPress was vulnerable to a cross-site scripting attack via shortcodes in the TinyMCE visual editor.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-14726",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-17092: wp-includes\/functions.php in WordPress before 4.9.1 does not require the unfiltered_html capability for upload of .js files, which might allow remote attackers to conduct XSS attac",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-17092",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-17093: wp-includes\/general-template.php in WordPress before 4.9.1 does not properly restrict the lang attribute of an HTML element, which might allow attackers to conduct XSS attacks via ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-17093",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-17094: wp-includes\/feed.php in WordPress before 4.9.1 does not properly restrict enclosures in RSS and Atom fields, which might allow attackers to conduct XSS attacks via a crafted URL.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-17094",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5487: wp-includes\/rest-api\/endpoints\/class-wp-rest-users-controller.php in the REST API implementation in WordPress 4.7 before 4.7.1 does not properly restrict listings of post authors, ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5487",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5488: Multiple cross-site scripting (XSS) vulnerabilities in wp-admin\/update-core.php in WordPress before 4.7.1 allow remote attackers to inject arbitrary web script or HTML via the (1) ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5488",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5490: Cross-site scripting (XSS) vulnerability in the theme-name fallback functionality in wp-includes\/class-wp-theme.php in WordPress before 4.7.1 allows remote attackers to inject arbi",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5490",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5491: wp-mail.php in WordPress before 4.7.1 might allow remote attackers to bypass intended posting restrictions via a spoofed mail server with the mail.example.com name.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5491",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5610: wp-admin\/includes\/class-wp-press-this.php in Press This in WordPress before 4.7.2 does not properly restrict visibility of a taxonomy-assignment user interface, which allows remote",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5610",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-5612: Cross-site scripting (XSS) vulnerability in wp-admin\/includes\/class-wp-posts-list-table.php in the posts list table in WordPress before 4.7.2 allows remote attackers to inject arbi",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-5612",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-6814: In WordPress before 4.7.3, there is authenticated Cross-Site Scripting (XSS) via Media File Metadata",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-6814",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-6815: In WordPress before 4.7.3 (wp-includes\/pluggable.php), control characters can trick redirect URL validation.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-6815",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-6816: In WordPress before 4.7.3 (wp-admin\/plugins.php), unintended files can be deleted by administrators using the plugin deletion functionality.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-6816",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-6817: In WordPress before 4.7.3 (wp-includes\/embed.php), there is authenticated Cross-Site Scripting (XSS) in YouTube URL Embeds.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-6817",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-6818: In WordPress before 4.7.3 (wp-admin\/js\/tags-box.js), there is cross-site scripting (XSS) via taxonomy term names.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-6818",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-6819: In WordPress before 4.7.3, there is cross-site request forgery (CSRF) in Press This (wp-admin\/includes\/class-wp-press-this.php), leading to excessive use of server resources",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-6819",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-8295: WordPress through 4.7.4 relies on the Host HTTP header for a password-reset e-mail message, which makes it easier for remote attackers to reset arbitrary passwords by making a craf",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-8295",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-9061: In WordPress before 4.7.5, a cross-site scripting (XSS) vulnerability exists when attempting to upload very large files, because the error message does not properly restrict presen",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-9061",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2017-9063: In WordPress before 4.7.5, a cross-site scripting (XSS) vulnerability related to the Customizer exists, involving an invalid customization session.",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2017-9063",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2023-2745: WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "warning",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2023-2745",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2009-3891: Cross-site scripting (XSS) vulnerability in wp-admin\/press-this.php in WordPress before 2.8.6 allows remote authenticated users to inject arbitrary web script or HTML via the s par",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2009-3891",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2010-5297: WordPress before 3.0.1, when a Multisite installation is used, permanently retains the \"site administrators can add users\" option once changed, which might allow remote authenticat",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2010-5297",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2011-0700: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.0.5 allow remote authenticated users to inject arbitrary web script or HTML via vectors related to (1) the",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2011-0700",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2012-4422: wp-admin\/plugins.php in WordPress before 3.4.2, when the multisite feature is enabled, does not check for network-administrator privileges before performing a network-wide activati",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2012-4422",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-4340: wp-admin\/includes\/post.php in WordPress before 3.6.1 allows remote authenticated users to spoof the authorship of a post by leveraging the Author role and providing a modified user",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-4340",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2013-5739: The default configuration of WordPress before 3.6.1 does not prevent uploads of .swf and .exe files, which might make it easier for remote authenticated users to conduct cross-site",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2013-5739",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2014-5240: Cross-site scripting (XSS) vulnerability in wp-includes\/pluggable.php in WordPress before 3.9.2, when Multisite is enabled, allows remote authenticated administrators to inject arb",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2014-5240",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "known_vulnerability_advisory",
            "title": "CVE-2015-5622: Cross-site scripting (XSS) vulnerability in WordPress before 4.2.3 allows remote authenticated users to inject arbitrary web script or HTML by leveraging the Author or Contributor ",
            "public": true,
            "version": "2.8",
            "audience": "nutzer",
            "category": "vulnerability",
            "severity": "info",
            "confirmed": true,
            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
            "guide_slug": "sichtbare-versionen-und-cves-beheben",
            "technology": "WordPress",
            "advisory_id": "CVE-2015-5622",
            "guide_label": "Fehler beheben",
            "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
            "user_importance": 135,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "data_entry_privacy_context_missing",
            "title": "Dateneingabe ohne klaren Datenschutzkontext",
            "public": true,
            "audience": "nutzer",
            "category": "data_entry",
            "severity": "warning",
            "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
            "guide_slug": "formulare-datenschutzkonform-absichern",
            "guide_label": "Fehler beheben",
            "recommendation": "Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.",
            "user_importance": 122,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "external_link_spam",
            "title": "Sehr viele externe Links erkannt",
            "public": true,
            "audience": "nutzer",
            "category": "seo",
            "severity": "warning",
            "guide_url": "\/guides\/seo-spam-und-cloaking-bereinigen",
            "guide_slug": "seo-spam-und-cloaking-bereinigen",
            "guide_label": "Fehler beheben",
            "recommendation": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.",
            "user_importance": 116,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "sampled_form_privacy_context_missing",
            "title": "Formular-Unterseite ohne klaren Datenschutzkontext",
            "public": true,
            "audience": "nutzer",
            "category": "crawl",
            "severity": "warning",
            "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
            "guide_slug": "formulare-datenschutzkonform-absichern",
            "guide_label": "Fehler beheben",
            "recommendation": "Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.",
            "user_importance": 96,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "form_label_missing",
            "count": 1,
            "title": "Formularfelder ohne klare Beschriftung",
            "public": true,
            "audience": "nutzer",
            "category": "accessibility",
            "severity": "warning",
            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
            "guide_slug": "barrierefreiheit-cookie-banner-formulare",
            "guide_label": "Fehler beheben",
            "recommendation": "Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.",
            "user_importance": 92,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "important_pages_not_discovered",
            "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden",
            "public": true,
            "audience": "nutzer",
            "category": "crawl",
            "severity": "warning",
            "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
            "guide_slug": "datenschutz-webseiten-pruefkatalog",
            "guide_label": "Fehler beheben",
            "recommendation": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.",
            "user_importance": 88,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "button_name_missing",
            "count": 1,
            "title": "Buttons ohne erkennbaren Namen",
            "public": true,
            "audience": "nutzer",
            "category": "accessibility",
            "severity": "warning",
            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
            "guide_slug": "barrierefreiheit-cookie-banner-formulare",
            "guide_label": "Fehler beheben",
            "recommendation": "Buttons mit sichtbarem Text oder aria-label beschriften.",
            "user_importance": 86,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "image_alt_missing",
            "count": 2,
            "title": "Bilder ohne Alternativtext",
            "public": true,
            "audience": "nutzer",
            "category": "accessibility",
            "severity": "info",
            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
            "guide_slug": "barrierefreiheit-cookie-banner-formulare",
            "guide_label": "Fehler beheben",
            "recommendation": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
            "user_importance": 82,
            "importance_label": "Wichtig für Nutzer"
        },
        {
            "id": "missing_hsts",
            "title": "HSTS fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "warning",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.",
            "user_importance": 78,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_csp",
            "title": "Content-Security-Policy fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "warning",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.",
            "user_importance": 72,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_x_frame_options",
            "title": "X-Frame-Options fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "warning",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.",
            "user_importance": 70,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_x_content_type_options",
            "title": "X-Content-Type-Options fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "warning",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.",
            "user_importance": 70,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "html_lang_missing",
            "title": "HTML-Sprache fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "accessibility",
            "severity": "info",
            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
            "guide_slug": "barrierefreiheit-cookie-banner-formulare",
            "guide_label": "Fehler beheben",
            "recommendation": "Das html-Element mit lang=\"de\" oder passender Sprache auszeichnen.",
            "user_importance": 70,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "viewport_missing",
            "title": "Viewport-Meta-Tag fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "performance",
            "severity": "info",
            "guide_url": "\/guides\/performance-und-mobile-usability-verbessern",
            "guide_slug": "performance-und-mobile-usability-verbessern",
            "guide_label": "Fehler beheben",
            "recommendation": "Für mobile Darstellung `meta name=viewport` setzen.",
            "user_importance": 70,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_cross_origin_embedder_policy",
            "title": "Cross-Origin-Embedder-Policy fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "info",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
            "user_importance": 68,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_cross_origin_opener_policy",
            "title": "Cross-Origin-Opener-Policy fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "info",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.",
            "user_importance": 66,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_cross_origin_resource_policy",
            "title": "Cross-Origin-Resource-Policy fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "info",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.",
            "user_importance": 64,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "crawl_coverage_limited",
            "title": "Wenig interne Seiten auf der Startseite gefunden",
            "public": true,
            "audience": "betreiber",
            "category": "crawl",
            "severity": "info",
            "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
            "guide_slug": "datenschutz-webseiten-pruefkatalog",
            "guide_label": "Fehler beheben",
            "recommendation": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.",
            "user_importance": 62,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_referrer_policy",
            "title": "Referrer-Policy fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "info",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `referrer-policy` setzen und nach Deployment erneut prüfen.",
            "user_importance": 40,
            "importance_label": "Technischer Hinweis"
        },
        {
            "id": "missing_permissions_policy",
            "title": "Permissions-Policy fehlt",
            "public": true,
            "audience": "betreiber",
            "category": "security_headers",
            "severity": "info",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_slug": "security-header-setzen",
            "guide_label": "Fehler beheben",
            "recommendation": "Header `permissions-policy` setzen und nach Deployment erneut prüfen.",
            "user_importance": 40,
            "importance_label": "Technischer Hinweis"
        }
    ],
    "domain_id": "2351cc10-f31a-46e7-baee-146c15a54e98",
    "seo_analysis": {
        "signals": {
            "top_word": "runde",
            "city_terms": [
                "berlin"
            ],
            "canonical_url": "",
            "top_word_count": 20,
            "top_word_ratio": 0.031,
            "city_term_count": 1,
            "hidden_link_hits": 0,
            "hidden_text_hits": 0,
            "suspicious_terms": [],
            "meta_refresh_hits": 0,
            "external_link_count": 56,
            "structured_data_types": []
        },
        "findings": [
            {
                "id": "external_link_spam",
                "title": "Sehr viele externe Links erkannt",
                "public": true,
                "category": "seo",
                "severity": "warning",
                "recommendation": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient."
            }
        ],
        "risk_level": "high"
    },
    "user_summary": {
        "color": "yellow",
        "label": "unklar",
        "score": 66,
        "checks": [
            {
                "id": "privacy",
                "color": "green",
                "score": 100,
                "title": "Datenschutz & Tracking",
                "status": "unauffällig",
                "summary": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 datenschutzrelevante Drittanbieter."
            },
            {
                "id": "transparency",
                "color": "green",
                "score": 100,
                "title": "Betreibertransparenz",
                "status": "unauffällig",
                "summary": "Impressum, Kontakt und Datenschutzerklärung wurden für deutschsprachige Nutzer eingeordnet."
            },
            {
                "id": "data_entry",
                "color": "yellow",
                "score": 75,
                "title": "Dateneingabe",
                "status": "prüfen",
                "summary": "Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. \/, \/. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen."
            },
            {
                "id": "browser",
                "color": "green",
                "score": 100,
                "title": "Browserkontakte",
                "status": "unauffällig",
                "summary": "Chromium sah 14 Request(s), 0 Drittanbieter-Domain(s), davon 0 datenschutzrelevant."
            },
            {
                "id": "domain",
                "color": "yellow",
                "score": 80,
                "title": "Domainhistorie",
                "status": "prüfen",
                "summary": "RDAP liefert kein klares Registrierungsdatum."
            },
            {
                "id": "technical",
                "color": "yellow",
                "score": 82,
                "title": "Technische Basis",
                "status": "prüfen",
                "summary": "HTTPS, DNS, Zertifikat, HTTP-Status und wichtige Sicherheitsheader wurden passiv geprüft."
            },
            {
                "id": "usability",
                "color": "yellow",
                "score": 79,
                "title": "Nutzbarkeit",
                "status": "prüfen",
                "summary": "Antwortzeit, mobile Viewport-Basis und auffällige Browser-Verhaltensmuster wurden eingeordnet."
            }
        ],
        "limits": [
            "SaferPage ist ein passiver Kurzcheck und ersetzt keine Rechtsberatung.",
            "Ein guter technischer Eindruck beweist nicht, dass ein Anbieter seriös ist.",
            "Ein schlechter Wert kann auch durch Fehlkonfigurationen entstehen und sollte sachlich geprüft werden."
        ],
        "audience": "Nutzer im deutschsprachigen Raum",
        "headline": "Einige Betreiberpunkte prüfen",
        "action_steps": [
            {
                "id": "check_data_purpose",
                "title": "Zweck der Dateneingabe prüfen",
                "detail": "Nur Daten eingeben, wenn klar ist, wofür sie benötigt werden und wer sie verarbeitet.",
                "priority": "mittel"
            },
            {
                "id": "avoid_accounts",
                "title": "Keine neuen Konten mit wichtigem Passwort anlegen",
                "detail": "Bei sichtbaren Versions-\/Sicherheitsrisiken keine wiederverwendeten Passwörter oder kritischen Accounts nutzen.",
                "priority": "mittel"
            }
        ],
        "plain_language": "Der Kurzcheck fand keine harten Tracking-, Browserkontakt- oder Betreibertransparenz-Warnungen. Offene Hinweise betreffen vor allem Betreiber-Dokumentation, Formulare oder Nutzbarkeit.",
        "primary_action": "Vor Dateneingaben Zweck, Pflichtfelder und Datenschutzhinweise prüfen; aus dieser Evidenz folgt keine pauschale Warnung vor der Nutzung.",
        "verdict_reasons": {
            "summary": "Die Einordnung ergibt sich aus den stärksten Warnsignalen und den erkannten Vertrauenssignalen.",
            "negative": [
                {
                    "type": "negative",
                    "label": "Kritisch",
                    "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
                },
                {
                    "type": "negative",
                    "label": "Kritisch",
                    "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
                },
                {
                    "type": "negative",
                    "label": "Kritisch",
                    "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
                },
                {
                    "type": "negative",
                    "label": "Kritisch",
                    "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                    "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
                }
            ],
            "positive": [
                {
                    "type": "positive",
                    "label": "Spricht dafür",
                    "title": "Wenig datenschutzrelevante Browserkontakte",
                    "detail": "Der Chromium-Aufruf sah keine oder nur wenige Drittanbieter mit Tracking-\/Werbezweck."
                },
                {
                    "type": "positive",
                    "label": "Spricht dafür",
                    "title": "Nutzbarkeit wirkt solide",
                    "detail": "Antwortzeit, mobile Basis und Ressourcenmenge wirken im passiven Kurzcheck unauffällig."
                },
                {
                    "type": "positive",
                    "label": "Spricht dafür",
                    "title": "Technisches Vertrauenssignal",
                    "detail": "Moderne TLS-Version aktiv: TLSv1.3."
                }
            ]
        }
    },
    "audit_modules": [
        {
            "id": "site_coverage",
            "color": "red",
            "score": 34,
            "title": "Seitenabdeckung & Crawl",
            "action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
            "source": "Startseiten-Links, Compliance-Links und begrenzter interner Zusatzabruf",
            "status": "kritisch",
            "evidence": "2 interne Linkziele erkannt, 2 priorisierte Unterseite(n) abgerufen.",
            "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "security_tls",
            "color": "red",
            "score": 34,
            "title": "Sicherheit, TLS & Header",
            "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
            "source": "DNS, TLS, HTTP-Status, Zertifikat und Security-Header",
            "status": "kritisch",
            "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 0\/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.",
            "guide_url": "\/guides\/security-header-setzen",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "privacy_consent",
            "color": "red",
            "score": 48,
            "title": "Datenschutz, Cookies & Consent",
            "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
            "source": "Browser, HTTP-Header, HTML und Consent-\/Cookie-Heuristik",
            "status": "kritisch",
            "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.",
            "guide_url": "\/guides\/tracking-und-consent-reparieren",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "accessibility_usability",
            "color": "orange",
            "score": 56,
            "title": "Barrierefreiheit & Usability",
            "action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
            "source": "Passives HTML-Sample: Bilder, Formulare, Buttons, Sprache, Headings und Viewport",
            "status": "auffällig",
            "evidence": "2 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.",
            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "forms_payments",
            "color": "yellow",
            "score": 75,
            "title": "Formulare, Login & Zahlung",
            "action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
            "source": "HTML-Formulare, Eingabefelder, Zahlungsanbieter und Kontextlinks",
            "status": "prüfen",
            "evidence": "Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. \/, \/. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.",
            "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "performance_mobile",
            "color": "yellow",
            "score": 79,
            "title": "Performance & mobile Nutzbarkeit",
            "action": "Antwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.",
            "source": "HTTP-Antwort, HTML-Größe, Komprimierung und mobile Basis",
            "status": "prüfen",
            "evidence": "Performance-Score 94, Antwortzeit 249 ms.",
            "guide_url": "\/guides\/performance-und-mobile-usability-verbessern",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "seo_integrity",
            "color": "yellow",
            "score": 82,
            "title": "SEO-Integrität & Cloaking",
            "action": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
            "source": "HTML-Inhalt, strukturierte Daten, Links und Googlebot-Vergleich",
            "status": "prüfen",
            "evidence": "1 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).",
            "guide_url": "\/guides\/seo-spam-und-cloaking-bereinigen",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "browser_evidence",
            "color": "green",
            "score": 100,
            "title": "Browser-Nachweis",
            "action": "Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.",
            "source": "Headless Chromium mit Screenshot- und Request-Telemetrie",
            "status": "unauffällig",
            "evidence": "14 Request(s), 0 Drittanbieter-Domain(s), davon 0 datenschutzrelevant, 0 Browser-Cookie(s), Transfer-Prüfbedarf: 0, Referrer-\/URL-Leaks: 0, Fingerprinting-\/Replay-Hinweise: 0.",
            "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "consent_journey",
            "color": "green",
            "score": 100,
            "title": "Consent-Journey-Matrix",
            "action": "Drittanbieter je Consent-Zustand prüfen; nach Ablehnen und bei GPC sollten keine neuen Trackingkontakte entstehen.",
            "source": "Chromium-Zustände: Erstaufruf, Reject, Accept und GPC",
            "status": "unauffällig",
            "evidence": "Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 0 im GPC-Aufruf.",
            "guide_url": "\/guides\/tracking-und-consent-reparieren",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "cookie_inventory",
            "color": "green",
            "score": 100,
            "title": "Cookie-Inventar",
            "action": "Cookie-Liste mit Zweck, Anbieter, First-\/Third-Party, Secure, SameSite und Speicherdauer gegen Consent-Banner und Datenschutzerklärung abgleichen.",
            "source": "HTTP-Set-Cookie und Chromium-Cookies beim ersten Seitenaufruf",
            "status": "unauffällig",
            "evidence": "0 Cookie(s), 0 Tracking-\/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebig, 0 sehr lang.",
            "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "embedded_content",
            "color": "green",
            "score": 100,
            "title": "Externe Inhalte & Widgets",
            "action": "Videos, Karten, Captchas und Social-Widgets möglichst erst nach Klick oder Einwilligung laden.",
            "source": "HTML-Embeds und Chromium-Drittanbieter-Requests",
            "status": "unauffällig",
            "evidence": "0 externe Embed-\/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen.",
            "guide_url": "\/guides\/externe-inhalte-datenschutzfreundlich-einbinden",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "script_supply_chain",
            "color": "green",
            "score": 100,
            "title": "Externe Skripte & SRI",
            "action": "Externe Skriptquellen reduzieren, statische CDN-Skripte mit SRI versehen und Tracking-\/Tag-Skripte an Consent und CSP koppeln.",
            "source": "HTML-Script-Tags, Anbieterklassifikation und SRI-Attribute",
            "status": "unauffällig",
            "evidence": "0 externe Skript(e) von 0 Host(s), 0 ohne SRI, 0 Tracking-\/Tag-nahe Skript(e).",
            "guide_url": "\/guides\/externe-skripte-und-sri-absichern",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "google_third_parties",
            "color": "green",
            "score": 100,
            "title": "Google-Dienste & Drittanbieter",
            "action": "Kein Google-Consent-Mode-Fix aus dieser Evidenz erforderlich; bei später eingebauten Google-Tags erneut prüfen.",
            "source": "Chromium-Requests, Anbieterklassifikation und Google Consent Mode Heuristik",
            "status": "unauffällig",
            "evidence": "Keine Google-Domain, keine Google-Tracking-ID und keine datenschutzrelevanten Drittanbieter im passiven Check erkannt.",
            "guide_url": "\/guides\/google-dienste-datenschutzfreundlich-einbinden",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "operator_transparency",
            "color": "green",
            "score": 100,
            "title": "Impressum, Kontakt & Datenschutzerklärung",
            "action": "Betreiberangaben, Kontaktweg und Datenschutzhinweise von jeder Seite aus auffindbar machen.",
            "source": "Deutschsprachige Betreiber- und Datenschutzhinweis-Erkennung",
            "status": "unauffällig",
            "evidence": "Impressum: ja, Datenschutz: nein, Kontakt: ja.",
            "guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "pii_exposure",
            "color": "green",
            "score": 100,
            "title": "PII, URL-Parameter & Datenleck-Schutz",
            "action": "Personenbezogene Werte nicht in URLs, GET-Formularen, Referrern, Logs oder Tracking-Tags transportieren.",
            "source": "URL-Parameter, interne Links, HTML-Formulare, Browser-Drittanbieter und Dateneingabe-Kontext",
            "status": "unauffällig",
            "evidence": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
            "guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "referrer_url_leaks",
            "color": "green",
            "score": 100,
            "title": "Referrer & URL-Leaks",
            "action": "Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.",
            "source": "Chromium-Request-Telemetrie ohne gespeicherte Parameterwerte",
            "status": "unauffällig",
            "evidence": "0 Drittanbieter-Domain(s) mit Referrer-\/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.",
            "guide_url": "\/guides\/referrer-und-url-leaks-vermeiden",
            "guide_label": "Betreiber-Guide öffnen"
        },
        {
            "id": "tracking_pixels_beacons",
            "color": "green",
            "score": 100,
            "title": "Tracking-Pixel & Beacons",
            "action": "Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.",
            "source": "HTML-Pixel, Link-Ping-Attribute, Chromium-Requests und Browser-API-Instrumentierung",
            "status": "unauffällig",
            "evidence": "0 Pixel-\/Bildtracking-Hinweis(e), 0 Beacon-\/Telemetry-Hinweis(e), 0 Link-Ping(s).",
            "guide_url": "\/guides\/tracking-pixel-und-beacons-begrenzen",
            "guide_label": "Betreiber-Guide öffnen"
        }
    ],
    "audit_receipt": {
        "url": "https:\/\/gmturnier-berlin.de\/",
        "host": "gmturnier-berlin.de",
        "status": "verfügbar",
        "bot_url": "https:\/\/saferpage.de\/bot",
        "summary": "Prüfbeleg für gmturnier-berlin.de: kontrollierter HTTP-\/Browser-Kurzcheck mit 14 Request(s), 4 Consent-Zustand\/Zuständen und 6 Artefakt(en).",
        "renderer": "playwright-chromium",
        "artifacts": [
            {
                "label": "Öffentlicher Kurzreport",
                "detail": "https:\/\/saferpage.de\/gmturnier-berlin.de",
                "status": "verfügbar"
            },
            {
                "label": "JSON-Export",
                "detail": "Maschinenlesbarer Report mit Modulen, Nachweisen und Tabellen.",
                "status": "verfügbar"
            },
            {
                "label": "CSV-Export",
                "detail": "Tabellarische Prüfzeilen für Betreiber, Datenschutz und Technik.",
                "status": "verfügbar"
            },
            {
                "label": "160x150 Seitenvorschau",
                "detail": "\/cache\/screenshots\/gmturnier-berlin.de-160x150-1a7d1b5dd335f54b3c.png",
                "status": "verfügbar"
            },
            {
                "label": "Empfänger-\/Anbieterinventar",
                "detail": "0 Anbieterzeile(n), 0 AVV-\/Rollenprüfung(en).",
                "status": "unauffällig"
            },
            {
                "label": "Barrierefreiheitserklärung-Entwurf",
                "detail": "5 bekannte Barrierefreiheits-Punkt(e).",
                "status": "Nicht vollständig konform im automatischen Basischeck"
            }
        ],
        "available": true,
        "final_url": "https:\/\/www.gmturnier-berlin.de\/",
        "checked_at": "2026-06-11T09:06:38+00:00",
        "share_text": "SaferPage Prüfbeleg gmturnier-berlin.de: 14 Browser-Request(s), 0 Drittanbieter, 0 Cookie-\/Storage-Einträge, geprüft am 2026-06-11T09:06:38.",
        "user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)",
        "limitations": [
            "Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.",
            "Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.",
            "Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern."
        ],
        "scan_context": "crawler",
        "coverage_items": [
            {
                "label": "HTTP\/DNS\/TLS",
                "value": "HTTP 200 · DNS ok · TLS ok"
            },
            {
                "label": "Browserlauf",
                "value": "14 Request(s), 0 Drittanbieter-Domain(s), 0 Browser-Cookie(s)."
            },
            {
                "label": "Consent-Zustände",
                "value": "4 Zustand\/Zustände: Default, Ablehnen, Akzeptieren und GPC soweit verfügbar."
            },
            {
                "label": "Seitenabdeckung",
                "value": "2 priorisierte Unterseite(n) im Nachweispack."
            },
            {
                "label": "Drittanbieter-Auszug",
                "value": "0 Anbieterzeile(n) im öffentlichen Nachweis."
            },
            {
                "label": "Cookie-Auszug",
                "value": "0 Cookie-Zeile(n) im öffentlichen Nachweis."
            }
        ],
        "confidence_score": 87,
        "browser_final_url": "https:\/\/www.gmturnier-berlin.de\/",
        "methodology_steps": [
            "URL normalisieren, DNS\/TLS\/HTTP abrufen und Weiterleitungsziel dokumentieren.",
            "Startseite mit SaferPage-User-Agent und Headless Chromium aufrufen.",
            "Netzwerk-Requests, Cookies, Web Storage, Screenshot und sichtbare Consent-Controls erfassen.",
            "Consent-Zustände Default, Ablehnen, Akzeptieren und GPC soweit möglich gegenüberstellen.",
            "Cookies, Anbieter, Rechtsgrundlagen, Banner-UX, Security-Header, Barrierefreiheit und Betreiberaufgaben ableiten."
        ]
    },
    "consent_audit": {
        "color": "red",
        "score": 48,
        "checks": [
            {
                "id": "banner_visible",
                "ok": false,
                "fix": "Cookie-Banner oder Datenschutzeinstellungen klar sichtbar anbieten.",
                "label": "Cookie-\/Consent-Hinweis sichtbar",
                "detail": "Ein Hinweis mit Cookie-\/Einwilligungsbezug wurde im sichtbaren Text erkannt."
            },
            {
                "id": "reject_visible",
                "ok": false,
                "fix": "Ablehnen auf der ersten Ebene genauso erreichbar machen wie Akzeptieren.",
                "label": "Ablehnen gleichwertig erreichbar",
                "detail": "Ablehnen oder nur notwendige Cookies wurde im Text oder Browser erkannt. Browser-Buttons: 0."
            },
            {
                "id": "settings_visible",
                "ok": false,
                "fix": "Granulare Zwecke und Anbieter in einer zweiten Ebene anzeigen.",
                "label": "Einstellungen oder Auswahl vorhanden",
                "detail": "Eine Einstellungs- oder Auswahlmoeglichkeit wurde im Text oder Browser erkannt. Browser-Buttons: 0."
            },
            {
                "id": "browser_reject_visible",
                "ok": true,
                "fix": "Ablehnen im ersten Banner-Layer sichtbar und genauso leicht erreichbar platzieren.",
                "label": "Ablehnen im sichtbaren Banner",
                "detail": "Sichtbare Banner-Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0."
            },
            {
                "id": "browser_settings_visible",
                "ok": true,
                "fix": "Eine gut sichtbare Schaltflaeche fuer Cookie-Auswahl oder Datenschutz-Einstellungen anbieten.",
                "label": "Einstellungen im sichtbaren Banner",
                "detail": "Sichtbare Banner-Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0."
            },
            {
                "id": "reject_equally_prominent",
                "ok": true,
                "fix": "Ablehnen in vergleichbarer Groesse und Sichtbarkeit wie Akzeptieren darstellen.",
                "label": "Ablehnen nicht deutlich schwaecher dargestellt",
                "detail": "Groessen-Verhältnis Ablehnen\/Akzeptieren: nicht messbar."
            },
            {
                "id": "reject_button_clickable",
                "ok": true,
                "fix": "Ablehnen-Button als echten Button\/Link umsetzen und ohne verdeckte Huerden ausloesen.",
                "label": "Ablehnen technisch klickbar",
                "detail": "Wenn ein Ablehnen-Button sichtbar ist, klickt SaferPage ihn im Chromium-Browser einmal an."
            },
            {
                "id": "no_new_cookies_after_reject",
                "ok": true,
                "fix": "Nach Ablehnen nur technisch notwendige Cookies setzen und nicht notwendige Eintraege blockieren.",
                "label": "Keine neuen Cookies nach Ablehnen",
                "detail": "0 neue Cookie(s) nach dem Ablehnen-Klick."
            },
            {
                "id": "no_tracking_storage_after_reject",
                "ok": true,
                "fix": "LocalStorage\/SessionStorage nach Ablehnen bereinigen und Tracking-IDs erst nach Zustimmung setzen.",
                "label": "Kein Tracking-Storage nach Ablehnen",
                "detail": "0 Tracking-Hinweis(e) im Web Storage nach Ablehnen."
            },
            {
                "id": "no_privacy_domains_after_reject",
                "ok": true,
                "fix": "Tag Manager, Analytics und Werbung nach Ablehnen deaktiviert lassen.",
                "label": "Keine neuen Tracking-Kontakte nach Ablehnen",
                "detail": "0 neue datenschutzrelevante Domain(s) nach Ablehnen."
            },
            {
                "id": "gpc_signal_respected",
                "ok": true,
                "fix": "Global Privacy Control als Opt-out-Signal technisch berücksichtigen und Tracking-\/Sharing-Dienste entsprechend begrenzen.",
                "label": "GPC-Signal ohne Tracking-Hinweise",
                "detail": "GPC-Aufruf: 0 datenschutzrelevante Domain(s), 0 Drittanbieter-Cookie(s), 0 Storage-Hinweis(e)."
            },
            {
                "id": "no_tracking_cookies_before_consent",
                "ok": true,
                "fix": "Analytics-\/Werbe-Cookies erst nach aktiver Zustimmung setzen.",
                "label": "Keine Tracking-Cookies vor Einwilligung",
                "detail": "0 Tracking-Cookie(s) im Erstaufruf."
            },
            {
                "id": "no_nonessential_cookies_before_consent",
                "ok": true,
                "fix": "Nicht notwendige Cookies blockieren oder als technisch notwendig begruenden.",
                "label": "Keine nicht notwendigen Cookies vor Einwilligung",
                "detail": "0 moeglicherweise nicht notwendige Cookie(s) im Erstaufruf."
            },
            {
                "id": "third_parties_explained",
                "ok": true,
                "fix": "Drittanbieter reduzieren, lokal hosten oder in Consent und Datenschutzerklaerung konkret benennen.",
                "label": "Drittanbieter begrenzt und erklaerbar",
                "detail": "0 datenschutzrelevante Drittanbieter-Domain(s), 0 Drittanbieter insgesamt."
            },
            {
                "id": "storage_without_tracking_hints",
                "ok": true,
                "fix": "LocalStorage und SessionStorage wie Cookies inventarisieren und an Consent koppeln.",
                "label": "Web Storage ohne Tracking-Hinweise",
                "detail": "0 Storage-Key(s), 0 Tracking-Hinweis(e)."
            },
            {
                "id": "cmp_api_detected_when_needed",
                "ok": true,
                "fix": "Consent technisch nachvollziehbar machen und Widerruf\/Status sauber dokumentieren.",
                "label": "CMP-\/TCF-Signal bei Tracking erkennbar",
                "detail": "Gängige CMP-\/TCF-Indikatoren: __tcfapi, __cmp, Cookiebot, OneTrust oder Usercentrics."
            },
            {
                "id": "accept_click_documented",
                "ok": true,
                "fix": "Akzeptieren muss technisch klickbar sein; danach geladene Dienste in Cookie-Auswahl und Datenschutzerklärung abbilden.",
                "label": "Akzeptieren-Klick nachvollziehbar",
                "detail": "Accept-Test: nicht ausgefuehrt, neue Requests 0, neue Cookies 0, neue Datenschutz-Domains 0."
            },
            {
                "id": "cmp_state_readable",
                "ok": true,
                "fix": "CMP-Status, TCF-String und Consent-APIs technisch nachvollziehbar bereitstellen.",
                "label": "CMP-\/TCF-Zustand auslesbar",
                "detail": "TCF TC-String: nein, Cookiebot: nein, OneTrust: nein, Usercentrics: nein."
            },
            {
                "id": "cmp_default_restrictive",
                "ok": true,
                "fix": "TCF-\/CMP-Defaults vor Nutzerentscheidung restriktiv setzen; Statistik, Marketing und Vendors erst nach Einwilligung erlauben.",
                "label": "CMP-Default wirkt restriktiv",
                "detail": "TCF Purposes erlaubt: 0, TCF Vendors erlaubt: 0, Cookiebot Statistik\/Marketing: nein."
            }
        ],
        "status": "kritisch",
        "summary": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
        "evidence": [
            "0 Cookie(s) beim ersten Aufruf aus HTTP-Headern und Chromium",
            "0 Tracking-Script(s) im HTML",
            "0 datenschutzrelevante Drittanbieter-Domain(s)",
            "0 Storage-Key(s), 0 Tracking-Hinweis(e)",
            "Consent-Banner-Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0",
            "Ablehnen\/Akzeptieren-Prominenz: nicht messbar",
            "Reject-Test: nicht ausgefuehrt, neue Cookies 0, Tracking-Storage 0, neue Datenschutz-Domains 0",
            "Accept-Test: nicht ausgefuehrt, neue Requests 0, neue Cookies 0, neue Datenschutz-Domains 0, Drittanbieter-Cookies 0",
            "CMP-State: TCF-String nein, TCF Purposes 0, TCF Vendors 0, Cookiebot nein, OneTrust-Gruppen 0, Usercentrics-Services 0",
            "GPC-Test: aktiv, Datenschutz-Domains 0, Drittanbieter-Cookies 0, Storage-Hinweise 0",
            "CMP-\/TCF-Signal: nein",
            "Google Consent Default: nein"
        ],
        "gpc_enabled": true,
        "cmp_detected": false,
        "blocking_plan": {
            "items": [],
            "summary": "Kein Google-Tag und keine Google-Domain erkannt; kein Google-spezifischer Pre-Consent-Blockierplan aus dieser Evidenz erforderlich.",
            "available": false,
            "high_count": 0,
            "total_count": 0,
            "type_counts": [],
            "medium_count": 0
        },
        "tcf_api_found": false,
        "priority_fixes": [
            "Cookie-Banner oder Datenschutzeinstellungen klar sichtbar anbieten.",
            "Ablehnen auf der ersten Ebene genauso erreichbar machen wie Akzeptieren.",
            "Granulare Zwecke und Anbieter in einer zweiten Ebene anzeigen."
        ],
        "cookiebot_found": false,
        "accept_test_enabled": false,
        "browser_cookie_count": 0,
        "accept_button_clicked": false,
        "browser_storage_count": 0,
        "reject_button_clicked": false,
        "reject_less_prominent": false,
        "tcf_tc_string_present": false,
        "tracking_script_count": 0,
        "accept_button_available": false,
        "reject_button_available": false,
        "reject_prominence_ratio": 0,
        "pre_consent_cookie_count": 0,
        "pre_consent_cookie_names": [],
        "tcf_vendor_consent_count": 0,
        "third_party_domain_count": 0,
        "tcf_purpose_consent_count": 0,
        "onetrust_active_group_count": 0,
        "usercentrics_services_count": 0,
        "browser_accept_control_count": 0,
        "browser_cookie_context_found": false,
        "browser_reject_control_count": 0,
        "gpc_third_party_cookie_count": 0,
        "post_accept_new_cookie_count": 0,
        "post_reject_new_cookie_count": 0,
        "post_accept_new_request_count": 0,
        "browser_settings_control_count": 0,
        "gpc_storage_tracking_hint_count": 0,
        "cookiebot_marketing_or_statistics": false,
        "gpc_privacy_relevant_domain_count": 0,
        "pre_consent_tracking_cookie_count": 0,
        "pre_consent_tracking_cookie_names": [],
        "privacy_relevant_third_party_count": 0,
        "browser_storage_tracking_hint_count": 0,
        "post_accept_third_party_cookie_count": 0,
        "pre_consent_nonessential_cookie_count": 0,
        "pre_consent_nonessential_cookie_names": [],
        "post_accept_storage_tracking_hint_count": 0,
        "post_reject_storage_tracking_hint_count": 0,
        "post_accept_privacy_relevant_domain_count": 0,
        "post_reject_privacy_relevant_domain_count": 0
    },
    "data_flow_map": {
        "edges": [
            {
                "type": "controller_activity",
                "label": "verantwortet",
                "source": "controller:gmturnier-berlin-de",
                "target": "activity:website-forms",
                "edge_id": "controller:gmturnier-berlin-de->activity:website-forms:verantwortet",
                "evidence": "2 Formular(e), Datenarten Name\/personenbezogene Daten, Kontaktformular.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "confidence": 80,
                "risk_level": "hoch",
                "source_label": "gmturnier-berlin.de",
                "target_label": "Website-Formulare und Eingaben",
                "operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen."
            },
            {
                "type": "activity_data",
                "label": "verarbeitet Datenart",
                "source": "activity:website-forms",
                "target": "data:name-personenbezogene-daten",
                "edge_id": "activity:website-forms->data:name-personenbezogene-daten:verarbeitet-datenart",
                "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "confidence": 76,
                "risk_level": "hoch",
                "source_label": "Website-Formulare und Eingaben",
                "target_label": "Name\/personenbezogene Daten",
                "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
            },
            {
                "type": "activity_data",
                "label": "verarbeitet Datenart",
                "source": "activity:website-forms",
                "target": "data:kontaktformular",
                "edge_id": "activity:website-forms->data:kontaktformular:verarbeitet-datenart",
                "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "confidence": 76,
                "risk_level": "hoch",
                "source_label": "Website-Formulare und Eingaben",
                "target_label": "Kontaktformular",
                "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
            },
            {
                "type": "controller_activity",
                "label": "verantwortet",
                "source": "controller:gmturnier-berlin-de",
                "target": "activity:privacy-rights-requests",
                "edge_id": "controller:gmturnier-berlin-de->activity:privacy-rights-requests:verantwortet",
                "evidence": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "confidence": 80,
                "risk_level": "mittel",
                "source_label": "gmturnier-berlin.de",
                "target_label": "Betroffenenrechte- und Datenschutzanfragen",
                "operator_action": "Owner, Zweck und Rechtsgrundlage für diese Aktivität bestätigen."
            },
            {
                "type": "activity_data",
                "label": "verarbeitet Datenart",
                "source": "activity:privacy-rights-requests",
                "target": "data:identit-tsbezug",
                "edge_id": "activity:privacy-rights-requests->data:identit-tsbezug:verarbeitet-datenart",
                "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "confidence": 76,
                "risk_level": "mittel",
                "source_label": "Betroffenenrechte- und Datenschutzanfragen",
                "target_label": "Identitätsbezug",
                "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
            },
            {
                "type": "activity_data",
                "label": "verarbeitet Datenart",
                "source": "activity:privacy-rights-requests",
                "target": "data:kontaktinformationen",
                "edge_id": "activity:privacy-rights-requests->data:kontaktinformationen:verarbeitet-datenart",
                "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "confidence": 76,
                "risk_level": "mittel",
                "source_label": "Betroffenenrechte- und Datenschutzanfragen",
                "target_label": "Kontaktinformationen",
                "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
            },
            {
                "type": "activity_data",
                "label": "verarbeitet Datenart",
                "source": "activity:privacy-rights-requests",
                "target": "data:anfragetyp",
                "edge_id": "activity:privacy-rights-requests->data:anfragetyp:verarbeitet-datenart",
                "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "confidence": 76,
                "risk_level": "mittel",
                "source_label": "Betroffenenrechte- und Datenschutzanfragen",
                "target_label": "Anfragetyp",
                "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
            },
            {
                "type": "activity_data",
                "label": "verarbeitet Datenart",
                "source": "activity:privacy-rights-requests",
                "target": "data:kommunikationsinhalte",
                "edge_id": "activity:privacy-rights-requests->data:kommunikationsinhalte:verarbeitet-datenart",
                "evidence": "Datenkategorie aus Verarbeitungstätigkeit abgeleitet.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "confidence": 76,
                "risk_level": "mittel",
                "source_label": "Betroffenenrechte- und Datenschutzanfragen",
                "target_label": "Kommunikationsinhalte",
                "operator_action": "Datenminimierung, Pflichtfelder und Löschfrist je Datenart prüfen."
            },
            {
                "type": "activity_recipient",
                "label": "übermittelt an Empfänger",
                "source": "activity:privacy-rights-requests",
                "target": "recipient:interne-datenschutz-legal-fachbereichsteams",
                "edge_id": "activity:privacy-rights-requests->recipient:interne-datenschutz-legal-fachbereichsteams:bermittelt-an-empf-nger",
                "evidence": "Kein Drittlandtransfer ohne eingesetztes Ticket-\/Mail-\/Portal-System; Betreiber prüfen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "confidence": 72,
                "risk_level": "mittel",
                "source_label": "Betroffenenrechte- und Datenschutzanfragen",
                "target_label": "interne Datenschutz-\/Legal-\/Fachbereichsteams",
                "operator_action": "Empfängerrolle, AVV\/DPA und Transfergrundlage dokumentieren."
            }
        ],
        "nodes": [
            {
                "type": "controller",
                "label": "gmturnier-berlin.de",
                "detail": "Verantwortlicher aus geprüfter Domain abgeleitet.",
                "node_id": "controller:gmturnier-berlin-de",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "prüfen"
            },
            {
                "type": "processing_activity",
                "label": "Website-Formulare und Eingaben",
                "detail": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-\/Service-Anfragen.",
                "node_id": "activity:website-forms",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "risk_level": "hoch"
            },
            {
                "type": "data_category",
                "label": "Name\/personenbezogene Daten",
                "detail": "Datenkategorie aus RoPA-Entwurf.",
                "node_id": "data:name-personenbezogene-daten",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "hoch"
            },
            {
                "type": "data_category",
                "label": "Kontaktformular",
                "detail": "Datenkategorie aus RoPA-Entwurf.",
                "node_id": "data:kontaktformular",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "hoch"
            },
            {
                "type": "processing_activity",
                "label": "Betroffenenrechte- und Datenschutzanfragen",
                "detail": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.",
                "node_id": "activity:privacy-rights-requests",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "risk_level": "mittel"
            },
            {
                "type": "data_category",
                "label": "Identitätsbezug",
                "detail": "Datenkategorie aus RoPA-Entwurf.",
                "node_id": "data:identit-tsbezug",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "prüfen"
            },
            {
                "type": "data_category",
                "label": "Kontaktinformationen",
                "detail": "Datenkategorie aus RoPA-Entwurf.",
                "node_id": "data:kontaktinformationen",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "prüfen"
            },
            {
                "type": "data_category",
                "label": "Anfragetyp",
                "detail": "Datenkategorie aus RoPA-Entwurf.",
                "node_id": "data:anfragetyp",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "prüfen"
            },
            {
                "type": "data_category",
                "label": "Kommunikationsinhalte",
                "detail": "Datenkategorie aus RoPA-Entwurf.",
                "node_id": "data:kommunikationsinhalte",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "prüfen"
            },
            {
                "type": "recipient",
                "label": "interne Datenschutz-\/Legal-\/Fachbereichsteams",
                "detail": "Empfänger aus RoPA-Entwurf.",
                "node_id": "recipient:interne-datenschutz-legal-fachbereichsteams",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "mittel"
            }
        ],
        "status": "kritische Flüsse prüfen",
        "summary": "Data Map mit 10 Knoten und 9 Datenfluss-Kanten; 3 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.",
        "available": true,
        "disclaimer": "Automatisch aus öffentlicher Website-Evidenz, RoPA-Entwurf und Vendor-Due-Diligence abgeleitete Data Map; interne Systeme und verbindliche Rechtsgrundlagen muss der Betreiber ergänzen.",
        "edge_count": 9,
        "node_count": 10,
        "open_questions": [
            {
                "id": "activity_system_mapping",
                "why": "Öffentliche Website-Signale zeigen externe Flüsse, aber nicht interne Datenbanken, CRM, Ticketsysteme oder Mailboxen.",
                "owner": "IT\/Fachbereich",
                "priority": "hoch",
                "question": "Welche internen Systeme oder Datenspeicher gehören zu jeder Website-Verarbeitung?",
                "expected_evidence": "Systemliste je Verarbeitung mit Owner, Datenkategorien, Löschfrist und Zugriffskonzept."
            },
            {
                "id": "vendor_flow_validation",
                "why": "Die Data Map leitet Beziehungen aus sichtbaren Requests und Registern ab; Verträge und reale Zweckbindung müssen bestätigt werden.",
                "owner": "Datenschutz\/Legal",
                "priority": "mittel",
                "question": "Welche Anbieter erhalten welche Datenarten und auf welcher Rechts-\/Transfergrundlage?",
                "expected_evidence": "Anbieterakte, AVV\/DPA, SCC\/TIA, Zweckbeschreibung, Consent-Regel und Datenschutzerklärungseintrag."
            },
            {
                "id": "retention_link",
                "why": "Löschfristen sind für RoPA, DSAR-Erfüllung und Privacy-by-Design zentral.",
                "owner": "Datenschutz\/IT",
                "priority": "mittel",
                "question": "Welche Löschfrist gilt je Datenfluss vom Formular\/Cookie\/Anbieter bis zum internen System?",
                "expected_evidence": "Retention-Matrix je Datenkategorie, System und Empfänger."
            }
        ],
        "priority_actions": [
            "Top-Datenflüsse mit hohem Risiko gegen reale Systeme, Anbieterakten und Consent-Regeln validieren.",
            "Interne Systeme, Speicherorte und Löschfristen ergänzen, weil sie aus öffentlicher Website-Evidenz nicht vollständig ableitbar sind.",
            "Data Map nach jedem Website-Release, Anbieterwechsel oder neuen Formular\/Cookie erneut prüfen."
        ],
        "missing_link_count": 0,
        "open_question_count": 3,
        "transfer_edge_count": 0,
        "high_risk_edge_count": 3
    },
    "page_analysis": {
        "h1": [
            "<a href=\"http:\/\/www.gmturnier-berlin.de\/\" title=\"Internationales Großmeisterturnier Berlin\">Internationales Großmeisterturnier Berlin<\/a>"
        ],
        "h2": [
            "4. – 12. Juli 2009 im Hotel Kronprinz",
            "<a href=\"http:\/\/www.gmturnier-berlin.de\/?p=585\" rel=\"bookmark\" title=\"Permanent Link zu Erdös vor Maksimenko und Pähtz\">Erdös vor Maksimenko und Pähtz<\/a>",
            "<a href=\"http:\/\/www.gmturnier-berlin.de\/?p=582\" rel=\"bookmark\" title=\"Permanent Link zu Viktor Erdös gewinnt das Großmeisterturnier\">Viktor Erdös gewinnt das Großmeisterturnier<\/a>",
            "<a href=\"http:\/\/www.gmturnier-berlin.de\/?p=579\" rel=\"bookmark\" title=\"Permanent Link zu Hat Jan Lundin eine IM-Norm geschafft?\">Hat Jan Lundin eine IM-Norm geschafft?<\/a>",
            "<a href=\"http:\/\/www.gmturnier-berlin.de\/?p=576\" rel=\"bookmark\" title=\"Permanent Link zu Mitteilung der Turnierleitung\">Mitteilung der Turnierleitung<\/a>",
            "<a href=\"http:\/\/www.gmturnier-berlin.de\/?p=573\" rel=\"bookmark\" title=\"Permanent Link zu Start-\/Zielsieg von Viktor Erdös?\">Start-\/Zielsieg von Viktor Erdös?<\/a>",
            "Partner",
            "Spieler",
            "Runden",
            "Aktuelle Nachrichten"
        ],
        "title": "Internationales Großmeisterturnier Berlin",
        "keywords": [
            [
                "runde",
                20
            ],
            [
                "erdös",
                12
            ],
            [
                "lundin",
                9
            ],
            [
                "juli",
                8
            ],
            [
                "viktor",
                8
            ],
            [
                "gegen",
                8
            ],
            [
                "großmeisterturnier",
                7
            ],
            [
                "pähtz",
                7
            ],
            [
                "berlin",
                6
            ],
            [
                "im-norm",
                6
            ]
        ],
        "language": "",
        "description": "4. – 12. Juli 2009 im Hotel Kronprinz",
        "favicon_url": "https:\/\/www.gmturnier-berlin.de\/favicon.ico",
        "link_counts": {
            "external": 3,
            "internal": 55
        },
        "preview_image": "\/cache\/screenshots\/gmturnier-berlin.de-160x150-1a7d1b5dd335f54b3c.png",
        "screenshot_url": "\/cache\/screenshots\/gmturnier-berlin.de-160x150-1a7d1b5dd335f54b3c.png",
        "external_scripts": [],
        "browser_final_url": "https:\/\/www.gmturnier-berlin.de\/",
        "meta_preview_image": "",
        "screenshot_renderer": "playwright-chromium",
        "external_link_targets": [
            {
                "host": "berlinerschachverband.de",
                "count": 1,
                "examples": [
                    {
                        "href": "http:\/\/www.berlinerschachverband.de\/",
                        "text": "Berliner Schachverband e.V."
                    }
                ],
                "nofollow": 0,
                "strength": "strong",
                "follow_count": 1
            },
            {
                "host": "investitionsbank.de",
                "count": 1,
                "examples": [
                    {
                        "href": "http:\/\/www.investitionsbank.de",
                        "text": ""
                    }
                ],
                "nofollow": 0,
                "strength": "weak",
                "follow_count": 1
            },
            {
                "host": "kronprinz-hotel.de",
                "count": 1,
                "examples": [
                    {
                        "href": "http:\/\/www.kronprinz-hotel.de\/",
                        "text": ""
                    }
                ],
                "nofollow": 0,
                "strength": "weak",
                "follow_count": 1
            }
        ]
    },
    "domain_history": {
        "status": [
            "active"
        ],
        "summary": "RDAP liefert kein klares Registrierungsdatum.",
        "age_days": null,
        "findings": [],
        "available": true,
        "registrar": "",
        "expires_at": "",
        "risk_level": "unknown",
        "registered_at": "",
        "expires_in_days": null,
        "last_changed_at": "2022-08-05T06:52:06+00:00"
    },
    "dpia_screening": {
        "status": "dpia_empfohlen",
        "summary": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
        "decision": "DPIA\/DSFA fachlich starten oder begründet dokumentieren, warum keine hohe Risikoschwelle erreicht ist.",
        "available": true,
        "disclaimer": "Automatisches Threshold Assessment aus öffentlichem Website-Scan. Die finale DPIA-\/DSFA-Entscheidung muss fachlich\/rechtlich dokumentiert werden.",
        "risk_score": 32,
        "risk_factors": [
            {
                "id": "personal_data_collection",
                "label": "Personenbezogene Dateneingabe",
                "action": "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.",
                "weight": 18,
                "evidence": "2 Formular(e), Datenarten: Name\/personenbezogene Daten, Kontaktformular",
                "severity": "hoch",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "triggered": true
            },
            {
                "id": "form_context_gaps",
                "label": "Formulare ohne ausreichenden Datenschutzkontext",
                "action": "Datenschutzhinweis direkt am Eingabepunkt ergänzen.",
                "weight": 14,
                "evidence": "2 gecrawlte Formularseite(n) mit Kontextlücke; Startseiten-Kontext fehlt.",
                "severity": "hoch",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "triggered": true
            },
            {
                "id": "tracking_or_profiling",
                "label": "Tracking, Profiling oder Consent-Zustandsrisiken",
                "action": "Tracking vor Einwilligung blockieren, Zwecke trennen und Consent-Zustände nachweisen.",
                "weight": 18,
                "evidence": "0 datenschutzrelevante Domain(s) im Default-Zustand; Fingerprinting-Signale 0.",
                "severity": "hoch",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "triggered": false
            },
            {
                "id": "third_party_processors",
                "label": "Viele Drittanbieter oder Processor",
                "action": "Rollen, AVV\/DPA, Zwecke und Empfänger je Anbieter dokumentieren.",
                "weight": 10,
                "evidence": "0 Anbieterregister-Eintrag\/Einträge, 0 Drittanbieter-Domain(s).",
                "severity": "mittel",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "triggered": false
            },
            {
                "id": "international_transfer",
                "label": "Drittland-\/Transferprüfung",
                "action": "Transfergrundlage, SCC\/TIA, Anbieterregion und Alternativen prüfen.",
                "weight": 12,
                "evidence": "Transfer hoch 0, unklar 0.",
                "severity": "mittel",
                "guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
                "triggered": false
            },
            {
                "id": "pii_leakage",
                "label": "PII-, Referrer- oder URL-Leakage",
                "action": "Formulardaten nicht in URLs\/Referrern offenlegen; Referrer-Policy und Tracking auf Formularseiten begrenzen.",
                "weight": 12,
                "evidence": "PII-Risiko unklar, Referrer-betroffene Domains 0.",
                "severity": "hoch",
                "guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
                "triggered": false
            },
            {
                "id": "public_authority_or_sensitive_context",
                "label": "Öffentliche Stelle oder sensibler Nutzungskontext",
                "action": "Bei Behörden, Gesundheit, Minderjährigen oder sensiblen Leistungen DPIA-Schwelle fachlich prüfen.",
                "weight": 8,
                "evidence": "Profil: Website-Typ Allgemeine Website, Betreiber Deutschland.",
                "severity": "mittel",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "triggered": false
            },
            {
                "id": "external_embeds",
                "label": "Externe Inhalte vor Einwilligung",
                "action": "Karten, Videos, Captchas und Social-Widgets per Zwei-Klick oder nach Consent laden.",
                "weight": 6,
                "evidence": "0 externe Embed-\/Widget-Element(e) vorab geladen.",
                "severity": "mittel",
                "guide_url": "\/guides\/externe-inhalte-datenschutzfreundlich-einbinden",
                "triggered": false
            },
            {
                "id": "gpc_or_optout_gap",
                "label": "GPC\/Opt-out-Lücke",
                "action": "GPC\/Opt-out-Signale respektieren und technisch nachweisen.",
                "weight": 6,
                "evidence": "GPC-Test mit 0 datenschutzrelevanten Domain(s).",
                "severity": "mittel",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "triggered": false
            }
        ],
        "high_risk_count": 2,
        "triggered_count": 2,
        "recommended_actions": [
            "Zweck, Rechtsgrundlage, Pflichtfelder, Speicherfrist und Empfänger je Formular klären.",
            "Datenschutzhinweis direkt am Eingabepunkt ergänzen.",
            "Offene Remediation-Tickets vor DPIA-Freigabe priorisieren."
        ],
        "assessment_questions": [
            {
                "id": "purpose",
                "why": "DPIA braucht einen klaren Scope.",
                "owner": "Website-Betrieb",
                "priority": "hoch",
                "question": "Welche konkrete Verarbeitung oder Website-Änderung soll bewertet werden?"
            },
            {
                "id": "data_categories",
                "why": "Datenart und Betroffenengruppe bestimmen das Risiko.",
                "owner": "Datenschutz",
                "priority": "hoch",
                "question": "Welche personenbezogenen Daten, besonderen Kategorien oder Nutzergruppen sind betroffen?"
            },
            {
                "id": "scale",
                "why": "Umfang und Regelmäßigkeit beeinflussen die DSFA-Schwelle.",
                "owner": "Fachbereich",
                "priority": "mittel",
                "question": "Wie viele Nutzer, Seiten, Formulare und Systeme sind betroffen?"
            },
            {
                "id": "vendors",
                "why": "Empfänger und Drittlandtransfer sind zentrale Risikotreiber.",
                "owner": "Legal\/Datenschutz",
                "priority": "hoch",
                "question": "Welche Anbieter\/Processor und Transfers sind notwendig?"
            },
            {
                "id": "controls",
                "why": "Rest-Risiko muss nach Maßnahmen bewertet werden.",
                "owner": "Developer\/Ops",
                "priority": "hoch",
                "question": "Welche technischen und organisatorischen Maßnahmen reduzieren das Risiko?"
            },
            {
                "id": "approval",
                "why": "Audit-Trail und Verantwortlichkeit müssen nachvollziehbar sein.",
                "owner": "Datenschutz",
                "priority": "mittel",
                "question": "Wer dokumentiert Entscheidung, Restrisiko und Freigabe?"
            }
        ],
        "recommended_safeguards": [
            "Privacy by Design: Datenminimierung und Zweckbindung je Formular\/Tag dokumentieren.",
            "Consent-Gating: nicht erforderliche Tags, Storage und Drittinhalte bis zur Einwilligung blockieren.",
            "Transferkontrolle: Drittlandtransfer, SCC\/TIA und Anbieterrollen prüfen.",
            "Security: TLS, Security-Header, Referrer-Policy und sichere Cookies härten.",
            "Governance: Remediation-Tickets mit Owner, SLA und Wiederholungsscan schließen."
        ],
        "linked_workflow_ticket_count": 6
    },
    "normalized_url": "https:\/\/gmturnier-berlin.de\/",
    "browser_analysis": {
        "cookies": {
            "items": [],
            "total": 0,
            "third_party": 0
        },
        "storage": {
            "total": 0,
            "local_storage_keys": [],
            "tracking_key_hints": [],
            "local_storage_total": 0,
            "session_storage_keys": [],
            "session_storage_total": 0
        },
        "findings": [],
        "renderer": "playwright-chromium",
        "final_url": "https:\/\/www.gmturnier-berlin.de\/",
        "consent_ui": {
            "accept_controls": [],
            "accept_max_area": 0,
            "reject_controls": [],
            "reject_max_area": 0,
            "settings_controls": [],
            "first_layer_summary": "Akzeptieren 0 \/ Ablehnen 0 \/ Einstellungen 0",
            "cookie_context_found": false,
            "reject_less_prominent": false,
            "visible_control_count": 38,
            "reject_prominence_ratio": 0
        },
        "gpc_signal": {
            "error": "",
            "enabled": true,
            "storage": {
                "total": 0,
                "tracking_key_hints": [],
                "local_storage_total": 0,
                "session_storage_total": 0
            },
            "cookie_count": 0,
            "request_count": 14,
            "sec_gpc_header": true,
            "navigator_value": true,
            "contacted_domains": [
                {
                    "host": "gmturnier-berlin.de",
                    "count": 14,
                    "category": "other",
                    "provider": "gmturnier-berlin.de",
                    "third_party": false,
                    "category_label": "Sonstige",
                    "resource_types": {
                        "image": 12,
                        "document": 1,
                        "stylesheet": 1
                    }
                }
            ],
            "contacted_domain_count": 1,
            "privacy_relevant_domains": [],
            "third_party_cookie_count": 0,
            "third_party_domain_count": 0,
            "privacy_relevant_domain_count": 0
        },
        "screenshot": {
            "fit": "contain",
            "width": 160,
            "height": 150,
            "source_width": 1024,
            "source_height": 960,
            "source_capture": "full_page",
            "capture_version": "contain-v3-fullpage-to-160x150"
        },
        "consent_apis": {
            "cmpapi": false,
            "tcfapi": false,
            "onetrust": false,
            "cookiebot": false,
            "data_layer": false,
            "cmp_detected": false,
            "usercentrics": false,
            "google_tag_data": false
        },
        "accept_signal": {
            "error": "",
            "enabled": false,
            "storage": {
                "total": 0,
                "tracking_key_hints": [],
                "local_storage_total": 0,
                "session_storage_total": 0
            },
            "clicked_text": "",
            "accept_clicked": false,
            "accept_available": false,
            "contacted_domains": [],
            "contacted_domain_count": 0,
            "new_domains_after_accept": [],
            "privacy_relevant_domains": [],
            "third_party_domain_count": 0,
            "cookie_count_after_accept": 0,
            "cookie_count_before_accept": 0,
            "request_count_after_accept": 0,
            "storage_count_after_accept": 0,
            "request_count_before_accept": 0,
            "new_cookie_count_after_accept": 0,
            "privacy_relevant_domain_count": 0,
            "new_request_count_after_accept": 0,
            "third_party_cookie_count_after_accept": 0,
            "storage_tracking_hint_count_after_accept": 0,
            "new_privacy_relevant_domains_after_accept": [],
            "new_privacy_relevant_domain_count_after_accept": 0
        },
        "request_count": 14,
        "top_providers": [],
        "request_samples": [],
        "cmp_consent_state": {
            "tcf": {
                "api_found": false,
                "vendor_li": [],
                "cmp_loaded": false,
                "cmp_status": "",
                "purpose_li": [],
                "event_status": "",
                "gdpr_applies": null,
                "ping_success": false,
                "policy_version": "",
                "vendor_consents": [],
                "vendor_li_count": 0,
                "purpose_consents": [],
                "purpose_li_count": 0,
                "tc_string_length": 0,
                "tc_string_present": false,
                "vendor_consent_count": 0,
                "purpose_consent_count": 0
            },
            "onetrust": {
                "found": false,
                "active_groups": [],
                "active_group_count": 0
            },
            "cookiebot": {
                "found": false,
                "declined": false,
                "consented": false,
                "has_response": false,
                "consent_marketing": null,
                "consent_statistics": null,
                "consent_preferences": null
            },
            "usercentrics": {
                "found": false,
                "has_response": false,
                "services_count": 0,
                "accepted_services_count": 0
            }
        },
        "contacted_domains": [
            {
                "host": "gmturnier-berlin.de",
                "count": 14,
                "category": "other",
                "provider": "gmturnier-berlin.de",
                "third_party": false,
                "category_label": "Sonstige",
                "resource_types": {
                    "image": 12,
                    "document": 1,
                    "stylesheet": 1
                }
            }
        ],
        "consent_interaction": {
            "clicked_text": "",
            "reject_clicked": false,
            "reject_available": false,
            "new_domains_after_reject": [],
            "cookie_count_after_reject": 0,
            "request_count_after_reject": 0,
            "storage_count_after_reject": 0,
            "new_cookie_count_after_reject": 0,
            "new_request_count_after_reject": 0,
            "privacy_relevant_domains_after_reject": [],
            "storage_tracking_hint_count_after_reject": 0,
            "privacy_relevant_domain_count_after_reject": 0
        },
        "privacy_api_metrics": {
            "api_calls": [],
            "beacon_count": 0,
            "webgl_read_count": 0,
            "canvas_read_count": 0,
            "audio_context_count": 0,
            "canvas_export_count": 0,
            "fetch_keepalive_count": 0,
            "webgl_parameter_count": 0,
            "mutation_observer_count": 0,
            "keyboard_input_listener_count": 0,
            "session_interaction_listener_count": 0
        },
        "tcf_consent_analysis": {
            "color": "green",
            "score": 100,
            "status": "unauffällig",
            "summary": "TCF-Decoder: 0 Zweck(e) mit Consent\/LI-Signal, 0 Vendor-Consent(s), 0 Vendor-LI-Signal(e).",
            "findings": [],
            "api_found": false,
            "available": false,
            "guide_url": "\/guides\/tracking-und-consent-reparieren",
            "cmp_loaded": false,
            "cmp_status": "",
            "event_status": "",
            "gdpr_applies": null,
            "ping_success": false,
            "purpose_rows": [
                {
                    "id": 1,
                    "label": "Informationen auf einem Gerät speichern und\/oder abrufen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 2,
                    "label": "Einfache Anzeigen auswählen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 3,
                    "label": "Personalisiertes Anzeigen-Profil erstellen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 4,
                    "label": "Personalisierte Anzeigen auswählen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 5,
                    "label": "Personalisiertes Inhalts-Profil erstellen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 6,
                    "label": "Personalisierte Inhalte auswählen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 7,
                    "label": "Anzeigen-Leistung messen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 8,
                    "label": "Inhalte-Leistung messen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 9,
                    "label": "Marktforschung zur Generierung von Erkenntnissen nutzen",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 10,
                    "label": "Produkte entwickeln und verbessern",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                },
                {
                    "id": 11,
                    "label": "Begrenzte Daten zur Anzeigen-Auswahl verwenden",
                    "action": "Kein vorab erlaubtes TCF-Signal für diesen Zweck erkannt.",
                    "status": "nicht_erlaubt",
                    "risk_level": "niedrig",
                    "consent_granted": false,
                    "legitimate_interest_granted": false
                }
            ],
            "vendor_li_ids": [],
            "policy_version": "",
            "priority_fixes": [],
            "vendor_li_count": 0,
            "purpose_li_count": 0,
            "tc_string_length": 0,
            "tc_string_present": false,
            "vendor_consent_ids": [],
            "granted_purpose_rows": [],
            "vendor_consent_count": 0,
            "purpose_consent_count": 0,
            "high_risk_purpose_count": 0,
            "medium_risk_purpose_count": 0
        },
        "consent_journey_matrix": {
            "color": "green",
            "items": [],
            "score": 100,
            "states": [
                {
                    "id": "default",
                    "label": "Erstaufruf",
                    "description": "Kontakte ohne Nutzeraktion",
                    "domain_count": 0,
                    "request_count": 0,
                    "privacy_relevant_domain_count": 0
                },
                {
                    "id": "reject_new",
                    "label": "Nach Ablehnen neu",
                    "description": "Neue Kontakte nach Ablehnen-Klick",
                    "domain_count": 0,
                    "request_count": 0,
                    "privacy_relevant_domain_count": 0
                },
                {
                    "id": "accept_new",
                    "label": "Nach Akzeptieren neu",
                    "description": "Neue Kontakte nach Akzeptieren-Klick",
                    "domain_count": 0,
                    "request_count": 0,
                    "privacy_relevant_domain_count": 0
                },
                {
                    "id": "gpc",
                    "label": "GPC-Aufruf",
                    "description": "Kontakte bei Global Privacy Control",
                    "domain_count": 0,
                    "request_count": 0,
                    "privacy_relevant_domain_count": 0
                }
            ],
            "status": "unauffällig",
            "summary": "Consent-Journey: 0 neue Datenschutz-Domain(s) nach Ablehnen, 0 nach Akzeptieren, 0 im GPC-Aufruf.",
            "gpc_privacy_relevant_domain_count": 0,
            "accept_privacy_relevant_domain_count": 0,
            "reject_privacy_relevant_domain_count": 0
        },
        "consent_state_evidence": {
            "rows": [
                {
                    "id": "default",
                    "label": "Erstaufruf",
                    "action": "Nicht notwendige Cookies, Tracking-Storage und Datenschutz-Drittanbieter vor Einwilligung blockieren oder begründen.",
                    "status": "ohne Nutzeraktion",
                    "evidence": "Baseline aus erstem Chromium-Aufruf ohne Banner-Interaktion.",
                    "guide_url": "\/guides\/tracking-und-consent-reparieren",
                    "risk_level": "niedrig",
                    "cookie_count": 0,
                    "domain_count": 1,
                    "request_count": 14,
                    "storage_total": 0,
                    "new_cookie_count": 0,
                    "third_party_cookie_count": 0,
                    "storage_tracking_hint_count": 0,
                    "privacy_relevant_domain_count": 0
                },
                {
                    "id": "reject",
                    "label": "Nach Ablehnen",
                    "action": "Nach Ablehnen keine neuen nicht notwendigen Cookies, Tracking-Storage-Keys oder Tracking-\/Werbekontakte auslösen.",
                    "status": "nicht verfügbar",
                    "evidence": "",
                    "guide_url": "\/guides\/tracking-und-consent-reparieren",
                    "risk_level": "niedrig",
                    "cookie_count": 0,
                    "domain_count": 0,
                    "request_count": 0,
                    "storage_total": 0,
                    "new_cookie_count": 0,
                    "third_party_cookie_count": 0,
                    "storage_tracking_hint_count": 0,
                    "privacy_relevant_domain_count": 0
                },
                {
                    "id": "accept",
                    "label": "Nach Akzeptieren",
                    "action": "Nach Akzeptieren geladene Cookies, Anbieter und Storage-Einträge in Consent-Auswahl und Datenschutzerklärung abbilden.",
                    "status": "nicht ausgeführt",
                    "evidence": "",
                    "guide_url": "\/guides\/tracking-und-consent-reparieren",
                    "risk_level": "niedrig",
                    "cookie_count": 0,
                    "domain_count": 0,
                    "request_count": 0,
                    "storage_total": 0,
                    "new_cookie_count": 0,
                    "third_party_cookie_count": 0,
                    "storage_tracking_hint_count": 0,
                    "privacy_relevant_domain_count": 0
                },
                {
                    "id": "gpc",
                    "label": "GPC-Aufruf",
                    "action": "Global Privacy Control als Opt-out-Signal berücksichtigen und Tracking-\/Sharing-Dienste besonders begrenzen.",
                    "status": "aktiv",
                    "evidence": "Navigator-GPC und Sec-GPC wurden im gesonderten Browserlauf gesetzt.",
                    "guide_url": "\/guides\/tracking-und-consent-reparieren",
                    "risk_level": "niedrig",
                    "cookie_count": 0,
                    "domain_count": 1,
                    "request_count": 14,
                    "storage_total": 0,
                    "new_cookie_count": 0,
                    "third_party_cookie_count": 0,
                    "storage_tracking_hint_count": 0,
                    "privacy_relevant_domain_count": 0
                }
            ],
            "color": "green",
            "score": 100,
            "status": "unauffällig",
            "summary": "Consent-State-Evidence: 4 Zustände verglichen, 0 hoch auffällig, 0 mittel auffällig.",
            "findings": [],
            "available": true,
            "high_count": 0,
            "medium_count": 0,
            "priority_fixes": []
        },
        "contacted_domain_count": 1,
        "fingerprinting_analysis": {
            "color": "green",
            "score": 100,
            "checks": [
                {
                    "id": "canvas",
                    "ok": true,
                    "count": 0,
                    "label": "Canvas-Auslese",
                    "detail": "0 Pixel-Lesezugriff(e), 0 Export(e)."
                },
                {
                    "id": "webgl",
                    "ok": true,
                    "count": 0,
                    "label": "WebGL-Merkmale",
                    "detail": "0 Parameterzugriff(e), 0 Pixel-Lesezugriff(e)."
                },
                {
                    "id": "audio",
                    "ok": true,
                    "count": 0,
                    "label": "AudioContext",
                    "detail": "0 AudioContext\/OfflineAudioContext-Aufruf(e)."
                },
                {
                    "id": "session_replay",
                    "ok": true,
                    "count": 0,
                    "label": "Session-Replay-Anbieter",
                    "detail": "Keine bekannten Anbieter erkannt."
                },
                {
                    "id": "input_listeners",
                    "ok": true,
                    "count": 0,
                    "label": "Tastatur-\/Eingabe-Listener",
                    "detail": "0 Tastatur-\/Input-Listener, 0 Interaktions-Listener, 0 MutationObserver."
                }
            ],
            "status": "unauffällig",
            "metrics": {
                "webgl_read_count": 0,
                "canvas_read_count": 0,
                "audio_context_count": 0,
                "canvas_export_count": 0,
                "webgl_parameter_count": 0,
                "mutation_observer_count": 0,
                "keyboard_input_listener_count": 0,
                "session_interaction_listener_count": 0
            },
            "summary": "0 Fingerprinting-\/Session-Replay-Hinweis(e) aus dem Browserlauf.",
            "findings": [],
            "finding_count": 0,
            "priority_fixes": [],
            "session_replay_domains": []
        },
        "privacy_relevant_domains": [],
        "provider_category_counts": [],
        "provider_category_labels": [],
        "third_party_domain_count": 0,
        "embedded_content_analysis": {
            "color": "green",
            "items": [],
            "score": 100,
            "status": "unauffällig",
            "summary": "0 externe Embed-\/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen.",
            "findings": [],
            "map_count": 0,
            "total_count": 0,
            "video_count": 0,
            "captcha_count": 0,
            "priority_fixes": [],
            "category_counts": [],
            "social_widget_count": 0,
            "loaded_pre_consent_count": 0,
            "request_count_by_provider": []
        },
        "referrer_leakage_analysis": {
            "color": "green",
            "items": [],
            "score": 100,
            "status": "unauffällig",
            "summary": "0 Drittanbieter-Domain(s) mit Referrer-\/URL-Leak-Prüfbedarf, 0 sensible Query-Kontexte.",
            "findings": [],
            "sample_count": 0,
            "priority_fixes": [],
            "full_referrer_count": 0,
            "page_url_param_count": 0,
            "affected_domain_count": 0,
            "sensitive_query_count": 0
        },
        "third_party_contact_matrix": {
            "color": "green",
            "items": [],
            "score": 100,
            "status": "unauffällig",
            "summary": "0 Drittanbieter-Domain(s) beim ersten Browseraufruf, davon 0 datenschutzrelevant.",
            "priority_fixes": [],
            "category_counts": [],
            "total_domain_count": 0,
            "total_request_count": 0,
            "privacy_relevant_count": 0,
            "transfer_risk_analysis": {
                "color": "green",
                "items": [],
                "score": 100,
                "status": "unauffällig",
                "summary": "0 Drittanbieter für Transfer-\/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 0 unklar.",
                "findings": [],
                "unknown_count": 0,
                "priority_fixes": [],
                "high_risk_count": 0,
                "total_vendor_count": 0,
                "third_country_count": 0
            }
        },
        "privacy_relevant_domain_count": 0,
        "tracking_pixel_beacon_analysis": {
            "color": "green",
            "items": [],
            "score": 100,
            "status": "unauffällig",
            "summary": "0 Pixel-\/Bildtracking-Hinweis(e), 0 Beacon-\/Telemetry-Hinweis(e), 0 Link-Ping(s).",
            "findings": [],
            "pixel_count": 0,
            "priority_fixes": [],
            "link_ping_count": 0,
            "telemetry_count": 0,
            "beacon_api_count": 0,
            "third_party_count": 0,
            "fetch_keepalive_count": 0,
            "privacy_relevant_count": 0,
            "beacon_code_reference_count": 0,
            "fetch_keepalive_reference_count": 0
        }
    },
    "cookie_inventory": {
        "color": "green",
        "items": [],
        "score": 100,
        "total": 0,
        "status": "unauffällig",
        "summary": "0 Cookie(s) inventarisiert: 0 Tracking-\/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en).",
        "findings": [],
        "categories": [],
        "priority_fixes": [],
        "tracking_count": 0,
        "category_labels": {
            "consent": "Consent",
            "payment": "Zahlung",
            "unknown": "Unklar",
            "security": "Sicherheit",
            "analytics": "Analytics",
            "necessary": "Notwendig",
            "functional": "Funktional",
            "advertising": "Werbung"
        },
        "long_lived_count": 0,
        "persistent_count": 0,
        "first_party_count": 0,
        "pre_consent_count": 0,
        "retention_classes": [],
        "third_party_count": 0,
        "missing_secure_count": 0,
        "retention_risk_count": 0,
        "retention_risk_items": [],
        "very_long_lived_count": 0,
        "missing_samesite_count": 0,
        "persistent_unknown_count": 0,
        "long_lived_tracking_count": 0
    },
    "privacy_analysis": {
        "cookies": {
            "items": [],
            "total": 0,
            "tracking": [],
            "pre_consent": [],
            "missing_secure": [],
            "missing_samesite": [],
            "pre_consent_tracking": [],
            "pre_consent_nonessential": []
        },
        "findings": [],
        "tracking_ids": [],
        "tracking_scripts": [],
        "consent_hint_found": false,
        "privacy_policy_hint_found": false
    },
    "behavior_analysis": {
        "signals": {
            "popstate_handlers": 0,
            "window_open_count": 0,
            "set_interval_count": 0,
            "beforeunload_handlers": 0,
            "clipboard_write_count": 0,
            "history_pushstate_count": 0,
            "history_replace_state_count": 0,
            "notification_permission_count": 0
        },
        "findings": [],
        "risk_level": "low"
    },
    "cloaking_analysis": {
        "signals": {
            "checked": true,
            "status_mismatch": false,
            "redirect_mismatch": false,
            "content_similarity": 1
        },
        "findings": [],
        "risk_level": "low"
    },
    "language_analysis": {
        "method": "text_heuristic",
        "html_lang": "",
        "is_german": true,
        "confidence": 0.148,
        "marker_hits": 95,
        "detected_language": "de"
    },
    "benchmark_analysis": {
        "host": "gmturnier-berlin.de",
        "rank": 60,
        "score": 0,
        "status": "im_mittelfeld",
        "summary": "gmturnier-berlin.de liegt mit 0 Punkten ungefähr im gespeicherten Vergleichsfeld. Weil viele gespeicherte Checks bei 0 Punkten liegen, zeigt die Detailansicht zusätzlich aktive Peers mit Durchschnitt 16.5.",
        "available": true,
        "peer_count": 1026,
        "percentile": 0,
        "query_mode": "psycopg_aggregate",
        "distribution": {
            "0_39": 1022,
            "40_59": 4,
            "60_79": 0,
            "80_100": 0
        },
        "median_score": 0,
        "average_score": 1,
        "comparison_basis": "Neuester gespeicherter SaferPage-Scan je Domain; überwiegend deutschsprachige gespeicherte Checks.",
        "same_score_count": 967,
        "better_than_count": 0,
        "qualified_peer_count": 59,
        "zero_score_count": 967,
        "top_quartile_score": 0,
        "top_decile_score": 0,
        "qualified_average_score": 16.5,
        "qualified_median_score": 16,
        "qualified_top_quartile_score": 24,
        "qualified_top_decile_score": 36,
        "thresholds": [
            {
                "id": "critical",
                "label": "Kritisch",
                "range": "0-39",
                "met": true,
                "meaning": "Besucher und Betreiber sollten vor Eingabe personenbezogener Daten besonders genau prüfen."
            },
            {
                "id": "basic",
                "label": "Basis stabilisieren",
                "range": "40-59",
                "met": false,
                "meaning": "Grundschutz und Transparenz sind teilweise vorhanden, aber wichtige Datenschutzlücken bleiben offen."
            },
            {
                "id": "managed",
                "label": "Gesteuert",
                "range": "60-79",
                "met": false,
                "meaning": "Viele Kontrollen sind sichtbar, Betreiber sollten Nachweise und laufende Prozesse schärfen."
            },
            {
                "id": "strong",
                "label": "Stark",
                "range": "80-100",
                "met": false,
                "meaning": "Öffentliche Evidenz wirkt robust; regelmäßige Regression und Nachweise bleiben nötig."
            }
        ],
        "risk_tier": "kritisch",
        "target_score": 40,
        "aspirational_target_score": 60,
        "gap_to_target": 40,
        "gap_to_top_quartile": 24,
        "gap_to_strong": 80,
        "next_milestone": "Erst auf 40 Punkte stabilisieren: HTTPS, Datenschutzhinweis, sichtbare Betreiberangaben und grobe Tracking-\/Consent-Fehler beheben.",
        "priority_actions": [
            {
                "label": "Basisvertrauen herstellen",
                "action": "Datenschutzerklärung, Impressum\/Kontakt, HTTPS und kritische Browserwarnungen zuerst korrigieren.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern"
            },
            {
                "label": "Consent vor Tracking erzwingen",
                "action": "Werbung, Analytics, Fonts, Maps und vergleichbare Drittanbieter vor Einwilligung blockieren oder entfernen.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "label": "Cookies und Anbieter erklären",
                "action": "Cookie-\/Storage-Liste, Anbieterzwecke, Empfänger, Drittlandtransfer und Widerruf verständlich veröffentlichen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren"
            },
            {
                "label": "PrivacyOps nachweisen",
                "action": "Betroffenenrechte, DPIA\/TIA, Vendor-Prüfung, Monitoring und Exportpakete als laufenden Betreiberprozess verankern.",
                "guide_url": "\/datenschutz-webseiten-report\/"
            },
            {
                "label": "Re-Scan gegen Zielschwelle",
                "action": "Nach jeder Korrektur erneut prüfen und Fortschritt gegen Median, Top-Quartil und Zielschwelle dokumentieren.",
                "guide_url": "\/monitoring"
            }
        ]
    },
    "compliance_profile": {
        "host": "gmturnier-berlin.de",
        "rows": [
            {
                "area": "DSGVO\/TDDDG",
                "action": "Consent, Datenschutztext, Cookie-Erklärung und Drittanbieterinventar zusammen prüfen.",
                "reason": "Betreiber- oder Zielgruppenbezug im deutschen\/EU-Raum; Cookies, Storage und Drittanbieter müssen zweck- und einwilligungsbezogen eingeordnet werden.",
                "source": "Profil: Betreiber-\/Zielregion",
                "applies": true,
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
            },
            {
                "area": "BFSG\/WCAG",
                "action": "Alt-Texte, Button-Namen, Formularlabels, Überschriften und Cookie-Banner-Bedienbarkeit prüfen.",
                "reason": "Je nach Angebot können Barrierefreiheitsanforderungen besonders sichtbar werden; SaferPage markiert Basis-WCAG-Signale.",
                "source": "Profil: Website-Typ und WCAG-Signale",
                "applies": true,
                "priority": "hoch",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
            },
            {
                "area": "DDG\/Anbieterkennzeichnung",
                "action": "Impressum, Kontaktweg, verantwortliche Stelle und Datenschutzlink von zentralen Seiten aus sichtbar verlinken.",
                "reason": "Öffentlich erreichbare Angebote brauchen leicht auffindbare Anbieter-, Kontakt- und Verantwortlichkeitsangaben.",
                "source": "Profil: öffentliches Webangebot",
                "applies": true,
                "priority": "hoch",
                "guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen"
            },
            {
                "area": "Sensible Daten",
                "action": "Formulare minimieren, Datenschutzkontext direkt am Formular zeigen und PII in URLs oder Drittanbieter-Requests vermeiden.",
                "reason": "Der gewählte Website-Typ oder die Zielgruppe kann besondere Risiken bei Formularen, Tracking und URL-Parametern auslösen.",
                "source": "Profil: Website-Typ\/Zielgruppe",
                "applies": false,
                "priority": "hoch",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern"
            },
            {
                "area": "Drittanbieter und internationale Transfers",
                "action": "Vendor-Register, AVV-\/Rollenstatus und Datenschutztext gegen beobachtete Drittanbieter abgleichen.",
                "reason": "Komplexere Angebote nutzen häufig mehr externe Dienste; Empfänger, Rollen und Transfergrundlagen sollten dokumentiert werden.",
                "source": "Profil: Angebotskomplexität",
                "applies": true,
                "priority": "prüfen",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren"
            }
        ],
        "status": "deutschland_eu",
        "summary": "Prüfprofil Deutschland -> DACH: Allgemeine Website, Zielgruppe Gemischte Zielgruppe. 4 Schwerpunkt(e) für Betreiber priorisiert.",
        "available": true,
        "site_type": "general",
        "disclaimer": "Das Profil priorisiert technische Prüfpunkte für Betreiber; es ersetzt keine rechtliche Einzelfallprüfung.",
        "audience_type": "mixed",
        "site_type_note": "Standardprofil für Unternehmens-, Vereins- oder Informationsseiten.",
        "audience_region": "dach",
        "operator_region": "de",
        "site_type_label": "Allgemeine Website",
        "is_german_language": true,
        "audience_type_label": "Gemischte Zielgruppe",
        "audience_region_label": "DACH",
        "operator_region_label": "Deutschland"
    },
    "legal_basis_matrix": {
        "rows": [
            {
                "area": "Consent",
                "item": "Consent-Nachweis",
                "kind": "consent",
                "action": "Banner, Defaultzustand, Ablehnen, Widerruf und Protokollierung technisch nachweisen.",
                "purpose": "Einwilligung einholen, speichern, ablehnen und widerrufen",
                "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
                "provider": "CMP\/Banner",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "risk_level": "hoch",
                "tdddg_hint": "TDDDG\/DSGVO: nicht notwendige Zugriffe erst nach wirksamer Einwilligung, Ablehnen ohne Nachteil ermöglichen.",
                "legal_basis_hint": "Einwilligung muss freiwillig, informiert, aktiv, widerrufbar und dokumentierbar sein.",
                "consent_requirement": "Nachweis und Widerruf prüfen"
            },
            {
                "area": "Formulare",
                "item": "Kontaktformular",
                "kind": "formular",
                "action": "Zweck, Pflichtfeldstatus, Speicherfrist, Empfänger und Betroffenenrechte direkt erklären.",
                "purpose": "Formular-\/Eingabeverarbeitung",
                "evidence": "1 Signal(e)",
                "provider": "Eigene Website",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "risk_level": "prüfen",
                "tdddg_hint": "TDDDG nur betroffen, wenn zusätzlich Cookies, SDKs, Pixel oder Web Storage eingesetzt werden.",
                "legal_basis_hint": "Je nach Zweck Vertragserfüllung, vorvertragliche Anfrage, Einwilligung oder berechtigtes Interesse prüfen.",
                "consent_requirement": "Information und Rechtsgrundlage erforderlich"
            },
            {
                "area": "Formulare",
                "item": "Name\/personenbezogene Daten",
                "kind": "formular",
                "action": "Zweck, Pflichtfeldstatus, Speicherfrist, Empfänger und Betroffenenrechte direkt erklären.",
                "purpose": "Formular-\/Eingabeverarbeitung",
                "evidence": "1 Signal(e)",
                "provider": "Eigene Website",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "risk_level": "prüfen",
                "tdddg_hint": "TDDDG nur betroffen, wenn zusätzlich Cookies, SDKs, Pixel oder Web Storage eingesetzt werden.",
                "legal_basis_hint": "Je nach Zweck Vertragserfüllung, vorvertragliche Anfrage, Einwilligung oder berechtigtes Interesse prüfen.",
                "consent_requirement": "Information und Rechtsgrundlage erforderlich"
            }
        ],
        "status": "prüfen",
        "summary": "Rechtsgrundlagen-Matrix: 3 Verarbeitungsvorgang\/-vorgänge, 3 mit Einwilligungsbezug, 0 vor Consent auffällig.",
        "available": true,
        "row_count": 3,
        "disclaimer": "Automatisch aus technischer Scan-Evidenz abgeleitet. Keine Rechtsberatung; Rechtsgrundlagen und TDDDG-Erforderlichkeit fachlich prüfen.",
        "risk_counts": {
            "hoch": 1,
            "prüfen": 2
        },
        "type_counts": {
            "consent": 1,
            "formular": 2
        },
        "storage_count": 0,
        "unclear_count": 3,
        "third_party_count": 0,
        "form_data_type_count": 2,
        "consent_required_count": 3,
        "pre_consent_consent_required_count": 0
    },
    "audit_evidence_pack": {
        "status": "verfügbar",
        "summary": "Nachweisprotokoll mit 14 Browser-Request(s), 0 Cookie-Nachweis(en), 0 Drittanbieter-Auszug\/auszügen und 4 Consent-Zustand\/Zuständen.",
        "protocol": {
            "host": "gmturnier-berlin.de",
            "dns_ok": true,
            "tls_ok": true,
            "bot_url": "https:\/\/saferpage.de\/bot",
            "renderer": "playwright-chromium",
            "final_url": "https:\/\/www.gmturnier-berlin.de\/",
            "input_url": "https:\/\/gmturnier-berlin.de\/",
            "checked_at": "2026-06-11T09:06:38+00:00",
            "user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)",
            "http_status": 200,
            "scan_context": "crawler",
            "screenshot_url": "\/cache\/screenshots\/gmturnier-berlin.de-160x150-1a7d1b5dd335f54b3c.png",
            "googlebot_status": 200,
            "browser_final_url": "https:\/\/www.gmturnier-berlin.de\/",
            "dns_address_count": 1
        },
        "checkpoints": [
            {
                "label": "DNS",
                "detail": "1 Adresse(n) aufgelöst.",
                "status": "ok"
            },
            {
                "label": "TLS\/HTTPS",
                "detail": "TLSv1.3",
                "status": "ok"
            },
            {
                "label": "HTTP-Abruf",
                "detail": "Status 200, Endziel https:\/\/www.gmturnier-berlin.de\/.",
                "status": "ok"
            },
            {
                "label": "Browserlauf",
                "detail": "14 Request(s), 0 Drittanbieter-Domain(s).",
                "status": "ok"
            },
            {
                "label": "Consent-Zustände",
                "detail": "Default, Ablehnen, Akzeptieren und GPC werden soweit möglich gegenübergestellt.",
                "status": "unauffällig"
            },
            {
                "label": "Exports",
                "detail": "PDF\/Druck, JSON und CSV enthalten die wesentlichen Prüfnachweise.",
                "status": "verfügbar"
            }
        ],
        "limitations": [
            "Öffentliche Nachweise enthalten keine Cookie-Werte und keine vollständigen Request-URLs.",
            "Der Scan ist ein passiver Browser- und HTTP-Kurzcheck; rechtliche Bewertung bleibt Betreiberaufgabe.",
            "Dynamische Inhalte können sich je nach Region, Zeit, Gerät und Consent-Auswahl ändern."
        ],
        "checked_pages": [
            {
                "path": "\/",
                "source": "compliance_fetch",
                "status": 0,
                "category": "unterseite"
            },
            {
                "path": "\/",
                "source": "homepage_link",
                "status": 0,
                "category": "unterseite"
            }
        ],
        "cookie_evidence": [],
        "browser_evidence": {
            "gpc_enabled": true,
            "request_count": 14,
            "storage_total": 0,
            "accept_clicked": false,
            "reject_clicked": false,
            "browser_cookie_count": 0,
            "contacted_domain_count": 1,
            "third_party_domain_count": 0,
            "storage_tracking_hint_count": 0,
            "privacy_relevant_domain_count": 0
        },
        "storage_evidence": {
            "tracking_key_hints": [],
            "local_storage_total": 0,
            "session_storage_total": 0
        },
        "third_party_evidence": [],
        "external_script_count": 0,
        "consent_state_evidence": [
            {
                "label": "Erstaufruf",
                "cookie_count": 0,
                "domain_count": 0,
                "request_count": 0,
                "storage_tracking_hint_count": 0,
                "privacy_relevant_domain_count": 0
            },
            {
                "label": "Nach Ablehnen neu",
                "cookie_count": 0,
                "domain_count": 0,
                "request_count": 0,
                "storage_tracking_hint_count": 0,
                "privacy_relevant_domain_count": 0
            },
            {
                "label": "Nach Akzeptieren neu",
                "cookie_count": 0,
                "domain_count": 0,
                "request_count": 0,
                "storage_tracking_hint_count": 0,
                "privacy_relevant_domain_count": 0
            },
            {
                "label": "GPC-Aufruf",
                "cookie_count": 0,
                "domain_count": 0,
                "request_count": 0,
                "storage_tracking_hint_count": 0,
                "privacy_relevant_domain_count": 0
            }
        ],
        "request_sample_evidence": []
    },
    "compliance_analysis": {
        "consent": {
            "accept_option_found": true,
            "reject_option_found": false,
            "cookie_context_found": false,
            "settings_option_found": false
        },
        "contact": {
            "email_found": true,
            "phone_found": true
        },
        "imprint": {
            "links": [
                "?page_id=218",
                "http:\/\/www.gmturnier-berlin.de\/?page_id=218",
                "?page_id=218"
            ],
            "link_found": true,
            "address_hint_found": true,
            "company_hint_found": true
        },
        "findings": [],
        "risk_level": "low",
        "checked_pages": [
            "https:\/\/www.gmturnier-berlin.de\/?page_id=218"
        ],
        "privacy_policy": {
            "links": [],
            "too_thin": false,
            "term_hits": [
                "kontakt"
            ],
            "link_found": false
        }
    },
    "data_entry_analysis": {
        "forms": [
            {
                "method": "GET",
                "purpose": "Name\/personenbezogene Daten",
                "data_types": [
                    {
                        "id": "personal",
                        "label": "Name\/personenbezogene Daten"
                    }
                ],
                "field_count": 1,
                "action_external": true
            },
            {
                "url": "https:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "method": "UNBEKANNT",
                "source": "crawl",
                "purpose": "Formular",
                "data_types": [],
                "field_count": 0,
                "action_external": false
            },
            {
                "purpose": "Formular",
                "field_count": 0,
                "source": "crawl",
                "path": "\/",
                "url": "https:\/\/www.gmturnier-berlin.de\/"
            },
            {
                "purpose": "Formular",
                "field_count": 0,
                "source": "crawl",
                "path": "\/",
                "url": "http:\/\/www.gmturnier-berlin.de\/"
            }
        ],
        "score": 75,
        "summary": "Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. \/, \/. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.",
        "findings": [
            {
                "id": "data_entry_privacy_context_missing",
                "title": "Dateneingabe ohne klaren Datenschutzkontext",
                "public": true,
                "category": "data_entry",
                "severity": "warning",
                "recommendation": "Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen."
            }
        ],
        "form_count": 2,
        "risk_level": "medium",
        "field_count": 1,
        "asks_for_data": true,
        "crawl_form_pages": [
            {
                "url": "https:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "category": "unterseite",
                "form_count": 1
            },
            {
                "url": "http:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "category": "unterseite",
                "form_count": 1
            }
        ],
        "payment_providers": [],
        "detected_data_types": [
            {
                "id": "personal",
                "count": 1,
                "label": "Name\/personenbezogene Daten"
            },
            {
                "id": "contact",
                "count": 1,
                "label": "Kontaktformular"
            }
        ],
        "crawl_form_page_count": 2,
        "privacy_context_found": false,
        "operator_context_found": true
    },
    "technology_analysis": {
        "signals": {
            "generator": "WordPress 2.8",
            "asset_hosts": [
                "www.gmturnier-berlin.de"
            ],
            "script_count": 0,
            "x_powered_by": "",
            "server_header": "Apache",
            "stylesheet_count": 6
        },
        "categories": {
            "cms": [
                {
                    "name": "WordPress",
                    "version": "2.8",
                    "category": "cms",
                    "evidence": [
                        "Meta generator: WordPress 2.8",
                        "Signal: wp-content\/"
                    ],
                    "confidence": "high"
                }
            ],
            "server": [
                {
                    "name": "Apache",
                    "version": "",
                    "category": "server",
                    "evidence": [
                        "Server-Header: Apache"
                    ],
                    "confidence": "medium"
                }
            ]
        },
        "technologies": [
            {
                "name": "WordPress",
                "version": "2.8",
                "category": "cms",
                "evidence": [
                    "Meta generator: WordPress 2.8",
                    "Signal: wp-content\/"
                ],
                "confidence": "high"
            },
            {
                "name": "Apache",
                "version": "",
                "category": "server",
                "evidence": [
                    "Server-Header: Apache"
                ],
                "confidence": "medium"
            }
        ]
    },
    "operator_action_plan": {
        "tasks": [
            {
                "why": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "area": "BSI\/Patchmanagement",
                "owner": "Technik",
                "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "action": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "effort": "mittel",
                "source": "betreiber_risiko",
                "status": "offen",
                "deadline": "innerhalb von 7 Tagen",
                "due_days": 7,
                "priority": "hoch",
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "source_id": "known_vulnerability_advisory",
                "team_route": "Developer\/Ops",
                "effort_score": 3,
                "impact_score": 90,
                "priority_score": 82,
                "implementation_phase": "2 Sprint-Fix"
            },
            {
                "why": "2 interne Linkziele erkannt, 2 priorisierte Unterseite(n) abgerufen.",
                "area": "Seitenabdeckung & Crawl",
                "owner": "Website-Betrieb",
                "title": "Seitenabdeckung & Crawl",
                "action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
                "effort": "mittel",
                "source": "pruefmodul",
                "status": "offen",
                "deadline": "innerhalb von 7 Tagen",
                "due_days": 7,
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_id": "module:site_coverage",
                "team_route": "Developer\/Ops",
                "effort_score": 3,
                "impact_score": 90,
                "priority_score": 82,
                "implementation_phase": "2 Sprint-Fix"
            },
            {
                "why": "1 Infrastruktur-Hinweis(e), Security-Header: 0\/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.",
                "area": "Sicherheit, TLS & Header",
                "owner": "Technik",
                "title": "Sicherheit, TLS & Header",
                "action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
                "effort": "mittel",
                "source": "pruefmodul",
                "status": "offen",
                "deadline": "innerhalb von 7 Tagen",
                "due_days": 7,
                "priority": "hoch",
                "guide_url": "\/guides\/security-header-setzen",
                "source_id": "module:security_tls",
                "team_route": "Developer\/Ops",
                "effort_score": 3,
                "impact_score": 90,
                "priority_score": 82,
                "implementation_phase": "2 Sprint-Fix"
            },
            {
                "why": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.",
                "area": "Datenschutz, Cookies & Consent",
                "owner": "Datenschutz\/Marketing",
                "title": "Datenschutz, Cookies & Consent",
                "action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                "effort": "mittel bis hoch",
                "source": "pruefmodul",
                "status": "offen",
                "deadline": "innerhalb von 7 Tagen",
                "due_days": 7,
                "priority": "hoch",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "source_id": "module:privacy_consent",
                "team_route": "GTM\/CMP",
                "effort_score": 4,
                "impact_score": 90,
                "priority_score": 78,
                "implementation_phase": "2 Sprint-Fix"
            },
            {
                "why": "2 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.",
                "area": "Barrierefreiheit & Usability",
                "owner": "UX\/Content",
                "title": "Barrierefreiheit & Usability",
                "action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
                "effort": "niedrig",
                "source": "pruefmodul",
                "status": "offen",
                "deadline": "innerhalb von 30 Tagen",
                "due_days": 30,
                "priority": "mittel",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "source_id": "module:accessibility_usability",
                "team_route": "Content\/UX",
                "effort_score": 1,
                "impact_score": 61,
                "priority_score": 61,
                "implementation_phase": "3 Monatsplan"
            },
            {
                "why": "Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. \/, \/. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.",
                "area": "Formulare, Login & Zahlung",
                "owner": "Website-Betrieb",
                "title": "Formulare, Login & Zahlung",
                "action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                "effort": "niedrig",
                "source": "pruefmodul",
                "status": "offen",
                "deadline": "Backlog",
                "due_days": 90,
                "priority": "niedrig",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "source_id": "module:forms_payments",
                "team_route": "Developer\/Ops",
                "effort_score": 1,
                "impact_score": 32,
                "priority_score": 32,
                "implementation_phase": "4 Backlog"
            }
        ],
        "source": "operator_risk_analysis und audit_modules",
        "status": "handlungsbedarf",
        "summary": "6 Betreiber-Aufgabe(n): 0 sofort, 4 bis 7 Tage, 1 bis 30 Tage. Team-Routing: Content\/UX 1, Developer\/Ops 4, GTM\/CMP 1",
        "due_counts": {
            "7_tage": 4,
            "sofort": 0,
            "30_tage": 1,
            "backlog": 1
        },
        "team_counts": {
            "GTM\/CMP": 1,
            "Content\/UX": 1,
            "Developer\/Ops": 4
        },
        "phase_counts": {
            "4 Backlog": 1,
            "2 Sprint-Fix": 4,
            "3 Monatsplan": 1
        }
    },
    "performance_analysis": {
        "score": 94,
        "signals": {
            "compressed": false,
            "duration_ms": 249,
            "image_count": 6,
            "script_count": 0,
            "cache_control": "",
            "content_length": 0,
            "viewport_found": false,
            "stylesheet_count": 1
        },
        "findings": [
            {
                "id": "viewport_missing",
                "title": "Viewport-Meta-Tag fehlt",
                "public": true,
                "category": "performance",
                "severity": "info",
                "recommendation": "Für mobile Darstellung `meta name=viewport` setzen."
            }
        ],
        "risk_level": "medium"
    },
    "privacy_notice_draft": {
        "storage": {
            "local_storage_keys": [],
            "tracking_key_hints": [],
            "local_storage_total": 0,
            "session_storage_keys": [],
            "session_storage_total": 0
        },
        "summary": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s).",
        "purposes": [
            "Formular-\/Eingabeverarbeitung"
        ],
        "available": true,
        "data_types": [
            {
                "id": "personal",
                "count": 1,
                "label": "Name\/personenbezogene Daten"
            },
            {
                "id": "contact",
                "count": 1,
                "label": "Kontaktformular"
            }
        ],
        "disclaimer": "Automatisch aus einem passiven technischen Scan abgeleitet. Keine Rechtsberatung; Inhalte vor Veröffentlichung fachlich und rechtlich prüfen.",
        "cookie_rows": [],
        "text_blocks": [
            {
                "text": "Beim passiven SaferPage-Erstaufruf von gmturnier-berlin.de wurden 0 Cookie(s) und 0 Web-Storage-Key(s) dokumentiert. Prüfen Sie, welche Einträge technisch erforderlich sind und welche erst nach Einwilligung gesetzt werden dürfen.",
                "title": "Cookies und ähnliche Technologien"
            },
            {
                "text": "Der Chromium-Aufruf kontaktierte 0 Drittanbieter-Domain(s). Nennen Sie Anbieter, Zwecke, Empfänger, Rechtsgrundlage, Drittlandtransfer und Widerrufsmöglichkeit in der Datenschutzerklärung.",
                "title": "Drittanbieter"
            },
            {
                "text": "Nicht notwendige Cookies, Tracking, Werbung, Tag Manager und vergleichbare Web-Storage-IDs sollten vor Zustimmung blockiert werden. SaferPage bewertet den Consent-Audit aktuell mit 48 Punkten.",
                "title": "Einwilligung und Widerruf"
            },
            {
                "text": "Auf der geprüften Seite wurden Hinweise auf folgende Datenarten erkannt: Name\/personenbezogene Daten, Kontaktformular. Erklären Sie Zweck, Pflichtfelder, Speicherfrist, Empfänger und Kontaktweg für Betroffenenrechte direkt in der Datenschutzerklärung.",
                "title": "Formulare und Eingaben"
            }
        ],
        "missing_items": [],
        "third_parties": [],
        "cookie_declaration_rows": [],
        "storage_declaration_rows": [],
        "cookie_declaration_summary": {
            "row_count": 0,
            "unknown_count": 0,
            "consent_required_count": 0,
            "pre_consent_consent_required_count": 0
        },
        "storage_declaration_summary": {
            "row_count": 0,
            "unknown_count": 0,
            "local_storage_count": 0,
            "tracking_hint_count": 0,
            "session_storage_count": 0
        },
        "third_party_declaration_rows": [],
        "third_party_declaration_summary": {
            "row_count": 0,
            "privacy_relevant_count": 0,
            "unknown_transfer_count": 0,
            "high_transfer_risk_count": 0
        }
    },
    "remediation_workflow": {
        "status": "kritisch",
        "summary": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
        "tickets": [
            {
                "sla": "7_tage",
                "area": "BSI\/Patchmanagement",
                "team": "Developer\/Ops",
                "owner": "Technik",
                "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "source": "operator_task",
                "status": "sofort_starten",
                "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "priority": "hoch",
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "next_step": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "source_id": "known_vulnerability_advisory",
                "ticket_id": "SP-001",
                "fix_action": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "priority_score": 82,
                "acceptance_criterion": "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet."
            },
            {
                "sla": "7_tage",
                "area": "Seitenabdeckung & Crawl",
                "team": "Developer\/Ops",
                "owner": "Website-Betrieb",
                "title": "Seitenabdeckung & Crawl",
                "source": "operator_task",
                "status": "sofort_starten",
                "evidence": "2 interne Linkziele erkannt, 2 priorisierte Unterseite(n) abgerufen.",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "next_step": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
                "source_id": "module:site_coverage",
                "ticket_id": "SP-002",
                "fix_action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
                "priority_score": 82,
                "acceptance_criterion": "Wiederholungsscan zeigt keine nicht erforderlichen Cookies\/Tags vor Einwilligung oder nach Ablehnung."
            },
            {
                "sla": "7_tage",
                "area": "Sicherheit, TLS & Header",
                "team": "Developer\/Ops",
                "owner": "Technik",
                "title": "Sicherheit, TLS & Header",
                "source": "operator_task",
                "status": "sofort_starten",
                "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 0\/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.",
                "priority": "hoch",
                "guide_url": "\/guides\/security-header-setzen",
                "next_step": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
                "source_id": "module:security_tls",
                "ticket_id": "SP-003",
                "fix_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.",
                "priority_score": 82,
                "acceptance_criterion": "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund."
            },
            {
                "sla": "7_tage",
                "area": "Datenschutz, Cookies & Consent",
                "team": "GTM\/CMP",
                "owner": "Datenschutz\/Marketing",
                "title": "Datenschutz, Cookies & Consent",
                "source": "operator_task",
                "status": "sofort_starten",
                "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.",
                "priority": "hoch",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "next_step": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                "source_id": "module:privacy_consent",
                "ticket_id": "SP-004",
                "fix_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                "priority_score": 78,
                "acceptance_criterion": "Wiederholungsscan zeigt keine nicht erforderlichen Cookies\/Tags vor Einwilligung oder nach Ablehnung."
            },
            {
                "sla": "30_tage",
                "area": "Barrierefreiheit & Usability",
                "team": "Content\/UX",
                "owner": "UX\/Content",
                "title": "Barrierefreiheit & Usability",
                "source": "operator_task",
                "status": "einplanen",
                "evidence": "2 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.",
                "priority": "mittel",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "next_step": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
                "source_id": "module:accessibility_usability",
                "ticket_id": "SP-005",
                "fix_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
                "priority_score": 61,
                "acceptance_criterion": "Betroffener UI-Bereich ist per Tastatur bedienbar und automatisierter Accessibility-Check verbessert."
            },
            {
                "sla": "Backlog",
                "area": "Formulare, Login & Zahlung",
                "team": "Developer\/Ops",
                "owner": "Website-Betrieb",
                "title": "Formulare, Login & Zahlung",
                "source": "operator_task",
                "status": "backlog",
                "evidence": "Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. \/, \/. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.",
                "priority": "niedrig",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "next_step": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                "source_id": "module:forms_payments",
                "ticket_id": "SP-006",
                "fix_action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                "priority_score": 32,
                "acceptance_criterion": "Drittanbieter ist dokumentiert, rechtlich bewertet und im Scan als erwarteter Dienst nachvollziehbar."
            }
        ],
        "available": true,
        "disclaimer": "Workflow-Tickets sind technische Betreiberhinweise und müssen fachlich\/rechtlich freigegeben werden.",
        "open_count": 5,
        "team_counts": {
            "GTM\/CMP": 1,
            "Content\/UX": 1,
            "Developer\/Ops": 4
        },
        "ticket_count": 6,
        "status_counts": {
            "backlog": 1,
            "einplanen": 1,
            "sofort_starten": 4
        },
        "recommended_cadence": "Nach jeder Umsetzung erneut scannen; bei hoher Priorität innerhalb von 7 Tagen."
    },
    "vendor_due_diligence": {
        "status": "keine Anbieter erkannt",
        "summary": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
        "vendors": [],
        "available": false,
        "disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleitete Vendor-Due-Diligence. Verträge, TOMs und interne Anbieterakten muss der Betreiber ergänzen.",
        "vendor_count": 0,
        "questionnaire": [
            {
                "id": "role_and_dpa",
                "why": "0 Anbieter benötigen eine Vertrags- oder Rollenprüfung.",
                "owner": "Legal\/Datenschutz",
                "priority": "mittel",
                "question": "Sind Rolle, Vertragstyp und AVV\/DPA für jeden sichtbaren Anbieter dokumentiert?",
                "expected_evidence": "Anbieterakte mit Rolle, Vertrag, AVV\/DPA, TOMs und Review-Datum."
            },
            {
                "id": "transfer_impact",
                "why": "0 Anbieter haben Transfer- oder Jurisdiktions-Klärungsbedarf.",
                "owner": "Datenschutz\/IT",
                "priority": "mittel",
                "question": "Sind Drittlandtransfer, SCCs und Transfer Impact Assessment je Anbieter geprüft?",
                "expected_evidence": "Region, Hostingland, Transfergrundlage, SCC\/TIA oder EU-Alternative."
            },
            {
                "id": "consent_and_blocking",
                "why": "Consent- und Transparenzpflichten hängen vom realen Ladeverhalten ab.",
                "owner": "Marketing\/IT",
                "priority": "mittel",
                "question": "Sind nicht notwendige Anbieter vor Einwilligung blockiert und in CMP\/Cookie-Erklärung beschrieben?",
                "expected_evidence": "CMP-Regel, Consent-State-Test, Cookie-\/Storage-Inventar und Datenschutzerklärungseintrag."
            },
            {
                "id": "retention_and_subprocessors",
                "why": "Diese Angaben fehlen in öffentlichen Website-Signalen fast immer und müssen vom Betreiber ergänzt werden.",
                "owner": "Vendor Owner",
                "priority": "mittel",
                "question": "Sind Speicherfristen, Löschung und Unterauftragsverarbeiter je Anbieter bekannt?",
                "expected_evidence": "Retention-Angaben, Löschprozess, Subprocessor-Liste und Änderungsbenachrichtigung."
            }
        ],
        "question_count": 4,
        "dpa_check_count": 0,
        "high_risk_count": 0,
        "priority_actions": [
            "Top-Anbieter nach Risiko priorisieren und Anbieterakte mit Rolle, AVV\/DPA, TOMs und Review-Datum anlegen.",
            "Drittlandtransfer und Unterauftragsverarbeiter je Anbieter dokumentieren oder datensparsame Alternativen prüfen.",
            "CMP-Regeln, Datenschutzerklärung und Cookie-\/Anbieterregister gegen das tatsächliche Ladeverhalten abgleichen."
        ],
        "transfer_check_count": 0
    },
    "pii_exposure_analysis": {
        "color": "green",
        "score": 100,
        "checks": [
            {
                "id": "current_url",
                "ok": true,
                "count": 0,
                "label": "Aktuelle URL",
                "detail": "Keine sensiblen Query-Parameter erkannt."
            },
            {
                "id": "link_queries",
                "ok": true,
                "count": 0,
                "label": "Link-Parameter",
                "detail": "Keine sensiblen Link-Querys erkannt."
            },
            {
                "id": "get_forms",
                "ok": true,
                "count": 0,
                "label": "GET-Formulare",
                "detail": "Keine personenbezogenen GET-Formulare erkannt."
            },
            {
                "id": "external_forms",
                "ok": true,
                "count": 0,
                "label": "Externe Formularziele",
                "detail": "Keine externen Formularziele mit personenbezogenen Feldern erkannt."
            },
            {
                "id": "tracking_context",
                "ok": true,
                "count": 0,
                "label": "Tracking neben Dateneingabe",
                "detail": "Keine Kombination aus Dateneingabe und datenschutzrelevanten Drittanbietern erkannt."
            }
        ],
        "status": "unauffällig",
        "summary": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
        "findings": [],
        "link_hits": [],
        "finding_count": 0,
        "priority_fixes": [],
        "current_url_hits": [],
        "tracking_context": false,
        "sensitive_get_forms": [],
        "external_form_actions": []
    },
    "privacy_risk_register": {
        "rows": [
            {
                "id": "known_vulnerability_advisory",
                "sla": "sofort",
                "area": "vulnerability",
                "owner": "Website-Betrieb\/Datenschutz",
                "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "impact": "Kann Datenschutz-, Sicherheits-, Transparenz- oder Vertrauensrisiken für Nutzer und Betreiber erhöhen.",
                "source": "findings",
                "due_days": 0,
                "evidence": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "likelihood": "hoch",
                "risk_level": "kritisch",
                "risk_score": 92,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#known_vulnerability_advisory",
                "recommended_action": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "consent_governance_risk",
                "sla": "7 Tage",
                "area": "Consent\/Cookies",
                "owner": "Marketing\/IT\/Datenschutz",
                "title": "Consent- und Tracking-Risiko",
                "impact": "Nicht notwendige Cookies, Tracker oder Vendoren können ohne belastbare Einwilligung aktiv sein.",
                "source": "consent_audit",
                "due_days": 7,
                "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "likelihood": "hoch",
                "risk_level": "kritisch",
                "risk_score": 87,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#consent_governance_risk",
                "recommended_action": "Consent-Blocking, Reject-Test, GPC und Cookie-Kategorien prüfen."
            },
            {
                "id": "SP-001",
                "sla": "7 Tage",
                "area": "BSI\/Patchmanagement",
                "owner": "Technik",
                "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.",
                "source": "remediation_workflow",
                "due_days": 7,
                "evidence": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "likelihood": "hoch",
                "risk_level": "hoch",
                "risk_score": 82,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#SP-001",
                "recommended_action": "Betroffene Software aktualisieren oder kompensierend absichern."
            },
            {
                "id": "SP-002",
                "sla": "7 Tage",
                "area": "Seitenabdeckung & Crawl",
                "owner": "Website-Betrieb",
                "title": "Seitenabdeckung & Crawl",
                "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.",
                "source": "remediation_workflow",
                "due_days": 7,
                "evidence": "2 interne Linkziele erkannt, 2 priorisierte Unterseite(n) abgerufen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "likelihood": "hoch",
                "risk_level": "hoch",
                "risk_score": 82,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#SP-002",
                "recommended_action": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen."
            },
            {
                "id": "SP-003",
                "sla": "7 Tage",
                "area": "Sicherheit, TLS & Header",
                "owner": "Technik",
                "title": "Sicherheit, TLS & Header",
                "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.",
                "source": "remediation_workflow",
                "due_days": 7,
                "evidence": "1 Infrastruktur-Hinweis(e), Security-Header: 0\/9 vorhanden, 9 fehlen, externe Skript-Hosts: 0.",
                "guide_url": "\/guides\/security-header-setzen",
                "likelihood": "hoch",
                "risk_level": "hoch",
                "risk_score": 82,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#SP-003",
                "recommended_action": "HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren."
            },
            {
                "id": "SP-004",
                "sla": "7 Tage",
                "area": "Datenschutz, Cookies & Consent",
                "owner": "Datenschutz\/Marketing",
                "title": "Datenschutz, Cookies & Consent",
                "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.",
                "source": "remediation_workflow",
                "due_days": 7,
                "evidence": "0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 48.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "likelihood": "hoch",
                "risk_level": "hoch",
                "risk_score": 78,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#SP-004",
                "recommended_action": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären."
            },
            {
                "id": "incident_readiness_risk",
                "sla": "7 Tage",
                "area": "Incident Response",
                "owner": "DSB\/Legal\/IT",
                "title": "Incident-\/Breach-Readiness unzureichend",
                "impact": "Bei Datenschutzvorfällen drohen Verzögerungen bei Beweissicherung, Risikoentscheidung und 72h-Prüfung.",
                "source": "incident_breach_readiness",
                "due_days": 7,
                "evidence": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "guide_url": "\/guides\/security-header-setzen",
                "likelihood": "mittel",
                "risk_level": "hoch",
                "risk_score": 78,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#incident_readiness_risk",
                "recommended_action": "Incident Owner, Playbook, Meldeentscheidung und Nachweisprotokoll vorbereiten."
            },
            {
                "id": "dpia_decision_risk",
                "sla": "30 Tage",
                "area": "Privacy by Design",
                "owner": "Datenschutz\/Product\/Legal",
                "title": "DPIA-\/DSFA-Entscheidung offen",
                "impact": "Hohe oder unklare Risiken brauchen eine dokumentierte DSFA-\/DPIA-Entscheidung.",
                "source": "dpia_screening",
                "due_days": 30,
                "evidence": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "likelihood": "mittel",
                "risk_level": "hoch",
                "risk_score": 74,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#dpia_decision_risk",
                "recommended_action": "DPIA-Screening fachlich entscheiden, Schutzmaßnahmen und Restrestrisiko dokumentieren."
            },
            {
                "id": "data_flow_risk",
                "sla": "30 Tage",
                "area": "Data Map",
                "owner": "Datenschutz\/IT",
                "title": "Hohe Risiken in Datenflüssen",
                "impact": "Kritische Datenflüsse können Empfänger-, Transfer-, Zweck- oder Löschrisiken enthalten.",
                "source": "data_flow_map",
                "due_days": 30,
                "evidence": "Data Map mit 10 Knoten und 9 Datenfluss-Kanten; 3 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "likelihood": "mittel",
                "risk_level": "hoch",
                "risk_score": 73,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#data_flow_risk",
                "recommended_action": "Datenfluss-Kanten mit Datenklasse, Empfänger, Rechtsgrundlage, Transfer und Retention klären."
            },
            {
                "id": "security_control_risk",
                "sla": "14 Tage",
                "area": "Security",
                "owner": "IT\/Security",
                "title": "Security-Header-\/Webschutz-Risiko",
                "impact": "Fehlende Webschutzmaßnahmen können Datenschutzvorfälle oder Tracking-Leaks begünstigen.",
                "source": "security_header_analysis",
                "due_days": 14,
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "guide_url": "\/guides\/security-header-setzen",
                "likelihood": "mittel",
                "risk_level": "mittel",
                "risk_score": 61,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#security_control_risk",
                "recommended_action": "Security-Header, Referrer-Policy, Cookie-Attribute und TLS-Konfiguration verbessern."
            },
            {
                "id": "SP-005",
                "sla": "30 Tage",
                "area": "Barrierefreiheit & Usability",
                "owner": "UX\/Content",
                "title": "Barrierefreiheit & Usability",
                "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.",
                "source": "remediation_workflow",
                "due_days": 30,
                "evidence": "2 Bild(er) ohne alt, 1 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "likelihood": "mittel",
                "risk_level": "mittel",
                "risk_score": 61,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#SP-005",
                "recommended_action": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen."
            },
            {
                "id": "SP-006",
                "sla": "30 Tage",
                "area": "Formulare, Login & Zahlung",
                "owner": "Website-Betrieb",
                "title": "Formulare, Login & Zahlung",
                "impact": "Offenes Betreiber-Ticket mit SLA- und Nachweispflicht.",
                "source": "remediation_workflow",
                "due_days": 30,
                "evidence": "Crawl fand 2 Formular(e) auf 2 geprüften Seite(n), u. a. \/, \/. Zweck, Pflichtfelder und Datenschutzkontext je Formular prüfen.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "likelihood": "mittel",
                "risk_level": "niedrig",
                "risk_score": 45,
                "operator_decision": "beheben",
                "public_report_path": "\/gmturnier-berlin.de#SP-006",
                "recommended_action": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen."
            }
        ],
        "status": "kritisch",
        "summary": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
        "available": true,
        "disclaimer": "Automatisch aus SaferPage-Befunden und Betreiber-Artefakten abgeleitetes Risikoregister. Risikoakzeptanz, Rechtsbewertung und finale Priorisierung müssen Betreiber und Datenschutzverantwortliche entscheiden.",
        "high_count": 9,
        "risk_count": 12,
        "risk_score": 82,
        "area_counts": [
            {
                "area": "BSI\/Patchmanagement",
                "count": 1
            },
            {
                "area": "Barrierefreiheit & Usability",
                "count": 1
            },
            {
                "area": "Consent\/Cookies",
                "count": 1
            },
            {
                "area": "Data Map",
                "count": 1
            },
            {
                "area": "Datenschutz, Cookies & Consent",
                "count": 1
            },
            {
                "area": "Formulare, Login & Zahlung",
                "count": 1
            },
            {
                "area": "Incident Response",
                "count": 1
            },
            {
                "area": "Privacy by Design",
                "count": 1
            },
            {
                "area": "Security",
                "count": 1
            },
            {
                "area": "Seitenabdeckung & Crawl",
                "count": 1
            },
            {
                "area": "Sicherheit, TLS & Header",
                "count": 1
            },
            {
                "area": "vulnerability",
                "count": 1
            }
        ],
        "due_7_count": 6,
        "due_30_count": 5,
        "owner_counts": [
            {
                "count": 2,
                "owner": "Technik"
            },
            {
                "count": 2,
                "owner": "Website-Betrieb"
            },
            {
                "count": 1,
                "owner": "DSB\/Legal\/IT"
            },
            {
                "count": 1,
                "owner": "Datenschutz\/IT"
            },
            {
                "count": 1,
                "owner": "Datenschutz\/Marketing"
            },
            {
                "count": 1,
                "owner": "Datenschutz\/Product\/Legal"
            },
            {
                "count": 1,
                "owner": "IT\/Security"
            },
            {
                "count": 1,
                "owner": "Marketing\/IT\/Datenschutz"
            },
            {
                "count": 1,
                "owner": "UX\/Content"
            },
            {
                "count": 1,
                "owner": "Website-Betrieb\/Datenschutz"
            }
        ],
        "due_now_count": 0,
        "critical_count": 2,
        "decision_queue": [
            {
                "id": "accept_or_fix",
                "owner": "Programm-Owner",
                "evidence": "Entscheidungsprotokoll mit Risiko, Owner, Datum und Restrestrisiko.",
                "question": "Welche Top-Risiken werden behoben, akzeptiert oder als Betreiber-Nachweis nachgereicht?"
            },
            {
                "id": "sla_owner",
                "owner": "Management\/Datenschutz",
                "evidence": "Ticketliste, SLA, Eskalationsweg und Re-Scan-Termin.",
                "question": "Sind Owner und SLA für alle hohen Risiken verbindlich bestätigt?"
            },
            {
                "id": "customer_ready",
                "owner": "Legal\/Kommunikation",
                "evidence": "Freigegebene externe Formulierung und Nachweislink.",
                "question": "Welche Risiken dürfen in Kunden-, Behörden- oder Audit-Antworten offen kommuniziert werden?"
            }
        ],
        "source_artifacts": [
            "findings",
            "operator_risk_analysis",
            "remediation_workflow",
            "consent_audit",
            "privacy_disclosure_gap_analysis",
            "vendor_due_diligence",
            "dpia_screening",
            "data_flow_map",
            "incident_breach_readiness",
            "scan_configuration_readiness"
        ],
        "monitoring_summary": "Monitoring-Alert: start_warnung. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta n\/a.",
        "residual_control_score": 18
    },
    "relationship_analysis": {
        "limits": [
            "Backlinks werden nur aus bereits gespeicherten SaferPage-Scans erkannt; es ist kein vollstaendiger Linkindex.",
            "Gleiche IP kann Shared Hosting, CDN oder Reverse Proxy bedeuten und ist allein kein Betreiberbeweis.",
            "Gemeinsame Ad-\/Analytics-IDs sind starke technische Beziehungssignale, koennen aber auch Agentur- oder Dienstleister-Setups abbilden."
        ],
        "signals": {
            "network_count": 1,
            "ip_address_count": 1,
            "tracking_id_count": 0,
            "same_ip_neighbor_count": 3,
            "known_incoming_link_count": 1,
            "external_link_domain_count": 3,
            "strong_outgoing_link_count": 1,
            "shared_identifier_neighbor_count": 0
        },
        "findings": [
            {
                "id": "same_ip_neighbor_domains",
                "title": "Weitere gespeicherte Domains auf gleicher IP",
                "public": true,
                "category": "relationships",
                "severity": "info",
                "recommendation": "Gleiche IP ist bei Shared Hosting nur ein schwaches Signal; fuer Betreiberzusammenhaenge mit weiteren Signalen abgleichen."
            },
            {
                "id": "known_incoming_links_from_scans",
                "title": "Bekannte eingehende Links aus der SaferPage-Scan-Datenbank",
                "public": true,
                "category": "relationships",
                "severity": "info",
                "recommendation": "Diese Backlink-Hinweise stammen nur aus bereits gescannten Seiten, nicht aus einem vollstaendigen Web-Index."
            }
        ],
        "adtech_ids": [],
        "risk_level": "low",
        "server_network": {
            "limits": [
                "Netzpraefixe sind Heuristiken aus sichtbaren IPs (\/24 bei IPv4, \/64 bei IPv6).",
                "ASN, Hosting-Anbieter und Organisation brauchen RDAP\/Whois-Daten und werden hier noch nicht behauptet."
            ],
            "signals": {
                "ptr_count": 1,
                "ipv4_count": 1,
                "ipv6_count": 0,
                "address_count": 1,
                "network_count": 1
            },
            "networks": [
                "85.13.135.0\/24"
            ],
            "addresses": [
                {
                    "ip": "85.13.135.103",
                    "ptr": "dd13530.kasserver.com",
                    "family": "IPv4",
                    "network": "85.13.135.0\/24",
                    "is_global": true,
                    "is_private": false,
                    "heuristic_prefix": "\/24"
                }
            ]
        },
        "same_ip_neighbors": [
            {
                "host": "dvm2005.de",
                "score": 0,
                "verdict": "riskant",
                "shared_ip": "85.13.135.103",
                "last_seen_at": "2026-06-11 09:56:44.131668+02"
            },
            {
                "host": "dsenem2010.de",
                "score": 0,
                "verdict": "riskant",
                "shared_ip": "85.13.135.103",
                "last_seen_at": "2026-06-11 09:23:24.112282+02"
            },
            {
                "host": "dsenmm2012.de",
                "score": 0,
                "verdict": "riskant",
                "shared_ip": "85.13.135.103",
                "last_seen_at": "2026-06-11 09:23:22.330024+02"
            }
        ],
        "known_incoming_links": [
            {
                "examples": [
                    {
                        "href": "http:\/\/www.gmturnier-berlin.de\/",
                        "text": "GM-Turnier 2009"
                    }
                ],
                "strength": "strong",
                "link_count": 1,
                "source_host": "berlinerschachverband.de",
                "target_host": "gmturnier-berlin.de",
                "follow_count": 1,
                "last_seen_at": "2026-06-11 07:14:01.487529+02",
                "source_score": 20,
                "source_verdict": "riskant"
            }
        ],
        "strong_outgoing_links": [
            {
                "host": "berlinerschachverband.de",
                "count": 1,
                "examples": [
                    {
                        "href": "http:\/\/www.berlinerschachverband.de\/",
                        "text": "Berliner Schachverband e.V."
                    }
                ],
                "nofollow": 0,
                "strength": "strong",
                "follow_count": 1
            }
        ],
        "shared_identifier_neighbors": []
    },
    "scan_history_analysis": {
        "available": false,
        "summary": "Noch kein früherer gespeicherter Scan für diese Domain vorhanden.",
        "history": [
            {
                "scan_id": "fc63b023-e27a-48fa-9d45-7d3155eee4d8",
                "created_at": "2026-06-11 11:06:38.557237+02",
                "score": 0,
                "verdict": "riskant",
                "finding_count": 160,
                "integrity_root_hash": "3a9c0d2c99ce93531b42a80ca6fdc89010cd39111f2ab406da3d8d9cccffeab4",
                "integrity_available_hash_count": 9,
                "current": true
            }
        ],
        "new_findings": [],
        "resolved_findings": [],
        "technical_changes": {
            "available": false,
            "summary": "Noch kein früherer Scan für technische Änderungen vorhanden."
        }
    },
    "vendor_lifecycle_risk": {
        "rows": [
            {
                "id": "vendor_discovery",
                "label": "Automatische Vendor Discovery aus Tags, Cookies und Datenflüssen",
                "owner": "Datenschutz\/IT",
                "action": "Tags, Cookies, Requests, Formulare und Data-Map-Empfänger automatisch in ein zentrales Vendor Register übernehmen.",
                "passed": false,
                "status": "fehlt",
                "weight": 14,
                "evidence": "0 Anbieterregister-Eintrag\/Einträge, 0 Drittanbieter-Domain(s), 14 Browser-Request(s).",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "privacy_risk_scoring",
                "label": "Privacy-spezifisches Vendor Scoring",
                "owner": "Datenschutz\/Vendor Owner",
                "action": "Vendor-Score aus Zweck, Datenkategorien, Tracking, Transfer, DPA\/AVV, Incident-Relevanz und Retention-Risiken bilden.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "dpa_contracting",
                "label": "AVV\/DPA und Vertragsstatus steuerbar",
                "owner": "Legal\/Vendor Owner",
                "action": "AVV\/DPA, TOMs, Subprozessor-Klauseln, Audit-\/Informationsrechte und Renewal-Fristen je Anbieter pflegen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "0 AVV-\/DPA-Prüfung(en), 0 Anbieter.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "transfer_subprocessor",
                "label": "Transfer- und Subprozessor-Risiken überwacht",
                "owner": "Legal\/Datenschutz",
                "action": "Drittlandtransfer, SCC\/TIA, Anbieterregion, Subprozessoren und Transferänderungen als Review-Trigger führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Transferfragen 0, hohe Risiken 0, unbekannte Transfers 0.",
                "guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
                "manual_review": false
            },
            {
                "id": "vendor_assessment_workflow",
                "label": "Vendor-Assessment mit Vorlagen und Vorbefüllung",
                "owner": "Datenschutz\/Procurement",
                "action": "Vendor-Fragebogen mit Auto-Antworten aus Cookie-\/Request-\/Data-Map-\/DPA-Evidenz, Risikoentscheid und Maßnahmen führen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "ongoing_monitoring",
                "label": "Kontinuierliches Vendor Monitoring",
                "owner": "Datenschutz\/Compliance",
                "action": "Policy-Änderungen, neue Tags, neue Subprozessoren, Breaches, Lawsuits und Rechtsänderungen als Vendor-Alerts routen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Alerts 0, Regulatory-Pflichten 8.",
                "guide_url": "\/monitoring",
                "manual_review": false
            },
            {
                "id": "incident_breach_link",
                "label": "Vendor-Incident und Breach Response verbunden",
                "owner": "Legal\/IT\/Security",
                "action": "Vendor-Breach-Szenarien, 72h-Meldeprüfung, Beweissicherung und Betroffenenkommunikation mit Anbieterakten verbinden.",
                "passed": true,
                "status": "vorhanden",
                "weight": 9,
                "evidence": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "guide_url": "\/guides\/security-header-setzen",
                "manual_review": false
            },
            {
                "id": "retention_offboarding",
                "label": "Offboarding, Rückgabe und Löschung dokumentiert",
                "owner": "Vendor Owner\/Legal",
                "action": "Vendor-Offboarding, Datenrückgabe, Löschbestätigung, Backup-Fristen und Subprozessor-Löschung nachhalten.",
                "passed": false,
                "status": "fehlt",
                "weight": 9,
                "evidence": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "collaboration_owners",
                "label": "Owner, Procurement und Fachbereich abgestimmt",
                "owner": "Programm-Owner",
                "action": "Procurement, Fachbereich, IT, Datenschutz, Legal und Vendor Owner mit SLA, Entscheidung und Eskalation im Workflow verbinden.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "evidence_repository",
                "label": "Vendor Evidence Repository",
                "owner": "Compliance\/IT",
                "action": "DPA, TOMs, TIA, Assessment, Cookie-\/Request-Evidenz, Löschbestätigung und Incident-Nachweise versioniert exportieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "external_vendor_score",
                "label": "Externe Vendor-Score-\/Lawsuit-\/Policy-Feeds",
                "owner": "Datenschutz\/Procurement",
                "action": "Optional externe Vendor-Risikodaten, Policy-Änderungen, Klagen, Breaches und Subprozessor-Feeds anbinden.",
                "passed": false,
                "status": "prüfen",
                "weight": 6,
                "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": true
            }
        ],
        "score": 41,
        "status": "Vendor-Risk aufbauen",
        "summary": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 6,
        "disclaimer": "Automatisch aus Website-, Browser- und SaferPage-Artefakten abgeleitete Vendor-Lifecycle-Readiness. Externe Vendor Scores, Vertragsakten, Subprozessorlisten und echte Procurement-Freigaben muss der Betreiber ergänzen.",
        "check_count": 11,
        "passed_count": 5,
        "vendor_count": 0,
        "vendor_scores": [],
        "lifecycle_steps": [
            {
                "id": "discover",
                "owner": "IT\/Datenschutz",
                "phase": "Discovery",
                "action": "Neue Drittanbieter aus Cookies, Requests, Scripts, Data Map und Formularen ins Register übernehmen.",
                "timebox": "laufend",
                "evidence": "Vendor Register, Request-Samples, Cookie-Liste."
            },
            {
                "id": "classify",
                "owner": "Datenschutz\/Vendor Owner",
                "phase": "Klassifizieren & Scoren",
                "action": "Zweck, Datenkategorien, Rolle, Risiko, Transfer und Consent-Erfordernis bewerten.",
                "timebox": "0-7 Tage",
                "evidence": "Vendor Score, Risikogrund, Datenkategorien."
            },
            {
                "id": "assess_contract",
                "owner": "Legal\/Procurement",
                "phase": "Assessment & Vertrag",
                "action": "Vendor Assessment, AVV\/DPA, TOMs, TIA\/SCC, Subprozessoren und Freigabe prüfen.",
                "timebox": "7-21 Tage",
                "evidence": "Assessment, DPA, TOMs, TIA, Sign-off."
            },
            {
                "id": "monitor",
                "owner": "Compliance",
                "phase": "Monitoring",
                "action": "Policy-, Subprozessor-, Breach-, Tag- und Rechtsänderungen überwachen und Tickets erzeugen.",
                "timebox": "monatlich\/bei Änderung",
                "evidence": "Alert, Review-Entscheidung, Ticket."
            },
            {
                "id": "offboard",
                "owner": "Vendor Owner\/IT",
                "phase": "Offboarding",
                "action": "Zugriffe entfernen, Datenrückgabe\/Löschung bestätigen, Backups und Subprozessoren nachhalten.",
                "timebox": "Vertragsende\/Zweckende",
                "evidence": "Löschbestätigung, Access-Review, Abschlussnotiz."
            }
        ],
        "priority_actions": [
            "Tags, Cookies, Requests, Formulare und Data-Map-Empfänger automatisch in ein zentrales Vendor Register übernehmen.",
            "Vendor-Score aus Zweck, Datenkategorien, Tracking, Transfer, DPA\/AVV, Incident-Relevanz und Retention-Risiken bilden.",
            "AVV\/DPA, TOMs, Subprozessor-Klauseln, Audit-\/Informationsrechte und Renewal-Fristen je Anbieter pflegen.",
            "Drittlandtransfer, SCC\/TIA, Anbieterregion, Subprozessoren und Transferänderungen als Review-Trigger führen.",
            "Vendor-Offboarding, Datenrückgabe, Löschbestätigung, Backup-Fristen und Subprozessor-Löschung nachhalten."
        ],
        "source_artifacts": [
            "vendor_processor_register",
            "vendor_due_diligence",
            "third_party_contact_matrix",
            "privacy_assessment_automation",
            "retention_deletion_readiness",
            "incident_breach_readiness",
            "monitoring_alert_digest",
            "audit_evidence_pack"
        ],
        "lifecycle_step_count": 5,
        "privacy_vendor_count": 0,
        "evidence_requirements": [
            {
                "id": "vendor_file",
                "label": "Vendor-Akte",
                "owner": "Vendor Owner",
                "status": "aufbauen",
                "expected_evidence": "Zweck, Rolle, Datenarten, Systeme, Owner, Risiko, Freigabe, Review-Datum."
            },
            {
                "id": "contract_pack",
                "label": "DPA\/AVV\/TOM\/TIA-Paket",
                "owner": "Legal",
                "status": "aufbauen",
                "expected_evidence": "AVV\/DPA, TOMs, SCC\/TIA, Subprozessoren, Audit-\/Informationsrechte."
            },
            {
                "id": "monitoring_log",
                "label": "Vendor-Monitoring-Log",
                "owner": "Compliance",
                "status": "aufbauen",
                "expected_evidence": "Policy-Änderung, Breach, Lawsuit, neuer Subprozessor, neue Tags, Review-Entscheidung."
            },
            {
                "id": "offboarding_certificate",
                "label": "Offboarding-\/Löschbestätigung",
                "owner": "Vendor Owner\/IT",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Datenrückgabe, Löschung, Backup-Frist, Access-Entzug, Subprozessor-Bestätigung."
            }
        ],
        "high_risk_vendor_count": 0
    },
    "accessibility_analysis": {
        "color": "orange",
        "score": 56,
        "status": "auffällig",
        "signals": {
            "h1_count": 1,
            "image_count": 6,
            "button_count": 1,
            "heading_count": 11,
            "viewport_found": false,
            "html_lang_found": false,
            "form_field_count": 1,
            "image_missing_alt_count": 2,
            "buttons_without_name_count": 1,
            "form_fields_without_label_count": 1
        },
        "summary": "6 Bild(er), 1 Formularfeld(er), 1 Button(s) im passiven HTML-Sample auf Basis-Barrierefreiheit geprüft.",
        "findings": [
            {
                "id": "image_alt_missing",
                "count": 2,
                "title": "Bilder ohne Alternativtext",
                "public": true,
                "category": "accessibility",
                "severity": "info",
                "recommendation": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen."
            },
            {
                "id": "form_label_missing",
                "count": 1,
                "title": "Formularfelder ohne klare Beschriftung",
                "public": true,
                "category": "accessibility",
                "severity": "warning",
                "recommendation": "Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen."
            },
            {
                "id": "button_name_missing",
                "count": 1,
                "title": "Buttons ohne erkennbaren Namen",
                "public": true,
                "category": "accessibility",
                "severity": "warning",
                "recommendation": "Buttons mit sichtbarem Text oder aria-label beschriften."
            },
            {
                "id": "html_lang_missing",
                "title": "HTML-Sprache fehlt",
                "public": true,
                "category": "accessibility",
                "severity": "info",
                "recommendation": "Das html-Element mit lang=\"de\" oder passender Sprache auszeichnen."
            }
        ],
        "wcag_matrix": {
            "rows": [
                {
                    "id": "wcag_non_text_content",
                    "ok": false,
                    "fix": "Inhaltliche Bilder mit aussagekräftigem alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
                    "wcag": "WCAG 1.1.1 Non-text Content",
                    "title": "Alternativtexte für Bilder",
                    "impact": "mittel",
                    "status": "prüfen",
                    "evidence": "2 von 6 Bild(er) ohne alt-Text im HTML-Sample.",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "eaa_relevance": "EAA\/BFSG-Relevanz: Inhalte müssen auch ohne Bildwahrnehmung verständlich sein."
                },
                {
                    "id": "wcag_form_labels",
                    "ok": false,
                    "fix": "Jedes Eingabefeld mit sichtbarem label, aria-label oder aria-labelledby verbinden.",
                    "wcag": "WCAG 1.3.1 Info and Relationships \/ 3.3.2 Labels or Instructions",
                    "title": "Formularfelder beschriften",
                    "impact": "hoch",
                    "status": "prüfen",
                    "evidence": "1 von 1 Formularfeld(er) ohne erkennbare Beschriftung.",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "eaa_relevance": "EAA\/BFSG-Relevanz: Formulare müssen mit Tastatur und Screenreader bedienbar sein."
                },
                {
                    "id": "wcag_button_names",
                    "ok": false,
                    "fix": "Buttons mit sichtbarem Text, aria-label oder eindeutigem value auszeichnen.",
                    "wcag": "WCAG 4.1.2 Name, Role, Value",
                    "title": "Buttons mit Namen versehen",
                    "impact": "hoch",
                    "status": "prüfen",
                    "evidence": "1 von 1 Button(s) ohne erkennbaren Namen.",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "eaa_relevance": "EAA\/BFSG-Relevanz: Schaltflächen müssen technisch und sichtbar verständlich sein."
                },
                {
                    "id": "wcag_page_language",
                    "ok": false,
                    "fix": "Am html-Element die passende Sprache setzen, zum Beispiel lang=\"de\".",
                    "wcag": "WCAG 3.1.1 Language of Page",
                    "title": "Seitensprache auszeichnen",
                    "impact": "mittel",
                    "status": "prüfen",
                    "evidence": "Kein lang-Attribut am html-Element im HTML-Sample erkannt.",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "eaa_relevance": "EAA\/BFSG-Relevanz: Screenreader brauchen die korrekte Sprache für Aussprache und Navigation."
                },
                {
                    "id": "wcag_heading_structure",
                    "ok": true,
                    "fix": "Eine klare H1 und sinnvoll verschachtelte Zwischenüberschriften einsetzen.",
                    "wcag": "WCAG 1.3.1 Info and Relationships \/ 2.4.6 Headings and Labels",
                    "title": "Überschriftenstruktur",
                    "impact": "niedrig",
                    "status": "ok",
                    "evidence": "1 H1 und 11 Überschrift(en) im HTML-Sample.",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "eaa_relevance": "EAA\/BFSG-Relevanz: Klare Überschriften erleichtern Orientierung und Bedienung."
                },
                {
                    "id": "wcag_mobile_reflow",
                    "ok": false,
                    "fix": "meta name=\"viewport\" setzen und Layout auf mobile Reflow-Fähigkeit prüfen.",
                    "wcag": "WCAG 1.4.10 Reflow",
                    "title": "Mobile Viewport-Basis",
                    "impact": "mittel",
                    "status": "prüfen",
                    "evidence": "Kein Viewport-Meta-Tag im HTML-Sample erkannt.",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "eaa_relevance": "EAA\/BFSG-Relevanz: Inhalte müssen auf kleinen Bildschirmen ohne horizontales Scrollen nutzbar bleiben."
                }
            ],
            "summary": "5 WCAG-\/EAA-Prüfpunkt(e) auffällig, davon 2 mit hoher Auswirkung.",
            "standard": "WCAG 2.2 orientierte Basisprüfung",
            "available": true,
            "disclaimer": "Automatisch aus HTML-Signalen abgeleitet; ersetzt keine vollständige manuelle WCAG-\/BITV-Prüfung.",
            "issue_count": 5,
            "priority_fixes": [
                "Inhaltliche Bilder mit aussagekräftigem alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
                "Jedes Eingabefeld mit sichtbarem label, aria-label oder aria-labelledby verbinden.",
                "Buttons mit sichtbarem Text, aria-label oder eindeutigem value auszeichnen.",
                "Am html-Element die passende Sprache setzen, zum Beispiel lang=\"de\"."
            ],
            "high_impact_count": 2
        },
        "priority_fixes": [
            "Inhaltliche Bilder mit aussagekräftigem alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
            "Jedes Eingabefeld mit sichtbarem label, aria-label oder aria-labelledby verbinden.",
            "Buttons mit sichtbarem Text, aria-label oder eindeutigem value auszeichnen.",
            "Am html-Element die passende Sprache setzen, zum Beispiel lang=\"de\"."
        ]
    },
    "operator_risk_analysis": {
        "areas": [
            {
                "area": "BSI\/Patchmanagement",
                "score": 3948,
                "guides": [
                    "\/guides\/sichtbare-versionen-und-cves-beheben"
                ],
                "findings": [
                    {
                        "id": "known_vulnerability_advisory",
                        "level": "hoch",
                        "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                        "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                        "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "level": "hoch",
                        "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                        "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                        "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "level": "hoch",
                        "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                        "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                        "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "level": "hoch",
                        "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                        "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                        "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                        "guide_label": "Fehler beheben"
                    }
                ],
                "highest_level": "hoch"
            },
            {
                "area": "BSI\/Security-Header",
                "score": 86,
                "guides": [
                    "\/guides\/security-header-setzen"
                ],
                "findings": [
                    {
                        "id": "missing_hsts",
                        "level": "mittel",
                        "title": "HSTS fehlt",
                        "reason": "HSTS nach stabilem HTTPS aktivieren.",
                        "guide_url": "\/guides\/security-header-setzen",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "missing_csp",
                        "level": "mittel",
                        "title": "Content-Security-Policy fehlt",
                        "reason": "Content-Security-Policy schrittweise einführen.",
                        "guide_url": "\/guides\/security-header-setzen",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "missing_x_frame_options",
                        "level": "mittel",
                        "title": "X-Frame-Options fehlt",
                        "reason": "Clickjacking-Schutz per Header setzen.",
                        "guide_url": "\/guides\/security-header-setzen",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "missing_x_content_type_options",
                        "level": "mittel",
                        "title": "X-Content-Type-Options fehlt",
                        "reason": "MIME-Sniffing-Schutz per nosniff setzen.",
                        "guide_url": "\/guides\/security-header-setzen",
                        "guide_label": "Fehler beheben"
                    }
                ],
                "highest_level": "mittel"
            },
            {
                "area": "Barrierefreiheit\/Usability",
                "score": 76,
                "guides": [
                    "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "\/guides\/performance-und-mobile-usability-verbessern"
                ],
                "findings": [
                    {
                        "id": "form_label_missing",
                        "level": "hoch",
                        "title": "Formularfelder ohne klare Beschriftung",
                        "reason": "Formularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein.",
                        "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "button_name_missing",
                        "level": "mittel",
                        "title": "Buttons ohne erkennbaren Namen",
                        "reason": "Buttons brauchen sichtbare oder technische Namen.",
                        "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "image_alt_missing",
                        "level": "mittel",
                        "title": "Bilder ohne Alternativtext",
                        "reason": "Bilder brauchen verständliche Alternativtexte oder dekorative Kennzeichnung.",
                        "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "html_lang_missing",
                        "level": "niedrig",
                        "title": "HTML-Sprache fehlt",
                        "reason": "Die Seitensprache sollte im HTML lang-Attribut stehen.",
                        "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                        "guide_label": "Fehler beheben"
                    }
                ],
                "highest_level": "hoch"
            },
            {
                "area": "DSGVO\/Transparenz",
                "score": 56,
                "guides": [
                    "\/guides\/formulare-datenschutzkonform-absichern"
                ],
                "findings": [
                    {
                        "id": "data_entry_privacy_context_missing",
                        "level": "hoch",
                        "title": "Dateneingabe ohne klaren Datenschutzkontext",
                        "reason": "Datenschutzhinweise in Formularnähe ergänzen.",
                        "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                        "guide_label": "Fehler beheben"
                    },
                    {
                        "id": "sampled_form_privacy_context_missing",
                        "level": "hoch",
                        "title": "Formular-Unterseite ohne klaren Datenschutzkontext",
                        "reason": "Formularseiten brauchen direkt erreichbare Datenschutzinformationen.",
                        "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                        "guide_label": "Fehler beheben"
                    }
                ],
                "highest_level": "hoch"
            }
        ],
        "label": "Hoher Betreiber-Handlungsbedarf",
        "level": "hoch",
        "score": 100,
        "source": "datenschutz-webseiten-report",
        "summary": "Abgeleitet aus dem Datenschutz-Webseiten-Report: Datenschutz, TDDDG\/ePrivacy, BSI-Sicherheit, Google-Qualität und Nutzbarkeit werden nach passiven Befunden priorisiert.",
        "top_items": [
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2012-2400: Unspecified vulnerability in wp-includes\/js\/swfobject.js in WordPress before 3.3.2 has unknown impact and attack vectors.",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2012-6707: WordPress through 4.8.2 uses a weak MD5-based password hashing algorithm, which makes it easier for attackers to determine cleartext values by leveraging access to the hash values",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2013-4338: wp-includes\/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by trigger",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            },
            {
                "id": "known_vulnerability_advisory",
                "area": "BSI\/Patchmanagement",
                "level": "hoch",
                "title": "CVE-2013-4339: WordPress before 3.6.1 does not properly validate URLs before use in an HTTP redirect, which allows remote attackers to bypass intended redirection restrictions via a crafted strin",
                "reason": "Betroffene Software aktualisieren oder kompensierend absichern.",
                "weight": 28,
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "guide_label": "Fehler beheben"
            }
        ],
        "regulatory_matrix": {
            "areas": [
                {
                    "id": "bsi_security",
                    "label": "BSI\/Sicherheit",
                    "score": 4034,
                    "findings": [
                        {
                            "id": "known_vulnerability_advisory",
                            "area": "BSI\/Patchmanagement",
                            "level": "hoch",
                            "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben"
                        },
                        {
                            "id": "known_vulnerability_advisory",
                            "area": "BSI\/Patchmanagement",
                            "level": "hoch",
                            "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben"
                        },
                        {
                            "id": "known_vulnerability_advisory",
                            "area": "BSI\/Patchmanagement",
                            "level": "hoch",
                            "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben"
                        },
                        {
                            "id": "known_vulnerability_advisory",
                            "area": "BSI\/Patchmanagement",
                            "level": "hoch",
                            "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben"
                        },
                        {
                            "id": "known_vulnerability_advisory",
                            "area": "BSI\/Patchmanagement",
                            "level": "hoch",
                            "title": "CVE-2012-2400: Unspecified vulnerability in wp-includes\/js\/swfobject.js in WordPress before 3.3.2 has unknown impact and attack vectors.",
                            "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben"
                        }
                    ],
                    "guide_url": "\/guides\/security-header-setzen",
                    "finding_count": 150,
                    "highest_level": "hoch",
                    "recommended_action": "TLS, Security-Header, CSP, Patchstand und Cookie-Sicherheitsattribute härten."
                },
                {
                    "id": "accessibility_usability",
                    "label": "BITV\/Usability",
                    "score": 76,
                    "findings": [
                        {
                            "id": "form_label_missing",
                            "area": "Barrierefreiheit\/Usability",
                            "level": "hoch",
                            "title": "Formularfelder ohne klare Beschriftung",
                            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
                        },
                        {
                            "id": "button_name_missing",
                            "area": "Barrierefreiheit\/Usability",
                            "level": "mittel",
                            "title": "Buttons ohne erkennbaren Namen",
                            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
                        },
                        {
                            "id": "image_alt_missing",
                            "area": "Barrierefreiheit\/Usability",
                            "level": "mittel",
                            "title": "Bilder ohne Alternativtext",
                            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
                        },
                        {
                            "id": "html_lang_missing",
                            "area": "Barrierefreiheit\/Usability",
                            "level": "niedrig",
                            "title": "HTML-Sprache fehlt",
                            "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
                        },
                        {
                            "id": "viewport_missing",
                            "area": "Barrierefreiheit\/Usability",
                            "level": "mittel",
                            "title": "Viewport-Meta-Tag fehlt",
                            "guide_url": "\/guides\/performance-und-mobile-usability-verbessern"
                        }
                    ],
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "finding_count": 5,
                    "highest_level": "hoch",
                    "recommended_action": "Barrierefreiheit, verständliche Bedienung und Formular-\/Banner-Nutzbarkeit prüfen."
                },
                {
                    "id": "gdpr_transparency",
                    "label": "DSGVO Transparenz",
                    "score": 56,
                    "findings": [
                        {
                            "id": "data_entry_privacy_context_missing",
                            "area": "DSGVO\/Transparenz",
                            "level": "hoch",
                            "title": "Dateneingabe ohne klaren Datenschutzkontext",
                            "guide_url": "\/guides\/formulare-datenschutzkonform-absichern"
                        },
                        {
                            "id": "sampled_form_privacy_context_missing",
                            "area": "DSGVO\/Transparenz",
                            "level": "hoch",
                            "title": "Formular-Unterseite ohne klaren Datenschutzkontext",
                            "guide_url": "\/guides\/formulare-datenschutzkonform-absichern"
                        }
                    ],
                    "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                    "finding_count": 2,
                    "highest_level": "hoch",
                    "recommended_action": "Datenschutzerklärung, Anbieter, Zwecke, Rechtsgrundlagen und Empfänger gegen Technik abgleichen."
                }
            ],
            "score": 100,
            "status": "hoher Prüfbedarf",
            "summary": "3 Regelwerksbereich(e) mit Befunden: BSI\/Sicherheit, BITV\/Usability, DSGVO Transparenz",
            "scorecards": [
                {
                    "id": "gdpr",
                    "areas": [
                        "DSGVO Transparenz"
                    ],
                    "label": "DSGVO",
                    "scope": "Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.",
                    "score": 44,
                    "status": "hoher Prüfbedarf",
                    "summary": "DSGVO: Score 44\/100, 2 priorisierte Befund(e).",
                    "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                    "risk_points": 56,
                    "finding_count": 2,
                    "highest_level": "hoch"
                },
                {
                    "id": "tdddg_eprivacy",
                    "areas": [],
                    "label": "TDDDG\/ePrivacy",
                    "scope": "Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.",
                    "score": 100,
                    "status": "keine priorisierten Hinweise",
                    "summary": "TDDDG\/ePrivacy: Score 100\/100, 0 priorisierte Befund(e).",
                    "guide_url": "\/guides\/tracking-und-consent-reparieren",
                    "risk_points": 0,
                    "finding_count": 0,
                    "highest_level": "unauffällig"
                },
                {
                    "id": "bfsg_wcag",
                    "areas": [
                        "BITV\/Usability"
                    ],
                    "label": "BFSG\/WCAG",
                    "scope": "Barrierefreiheit, Tastatur-\/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.",
                    "score": 24,
                    "status": "hoher Prüfbedarf",
                    "summary": "BFSG\/WCAG: Score 24\/100, 5 priorisierte Befund(e).",
                    "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                    "risk_points": 76,
                    "finding_count": 5,
                    "highest_level": "hoch"
                },
                {
                    "id": "bsi_security",
                    "areas": [
                        "BSI\/Sicherheit"
                    ],
                    "label": "BSI\/Security",
                    "scope": "TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.",
                    "score": 0,
                    "status": "hoher Prüfbedarf",
                    "summary": "BSI\/Security: Score 0\/100, 150 priorisierte Befund(e).",
                    "guide_url": "\/guides\/security-header-setzen",
                    "risk_points": 100,
                    "finding_count": 150,
                    "highest_level": "hoch"
                },
                {
                    "id": "operator_trust",
                    "areas": [],
                    "label": "DDG\/Betreibervertrauen",
                    "scope": "Impressum, Kontakt, Anbieterkennzeichnung und erkennbare Betreiberidentität.",
                    "score": 100,
                    "status": "keine priorisierten Hinweise",
                    "summary": "DDG\/Betreibervertrauen: Score 100\/100, 0 priorisierte Befund(e).",
                    "guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
                    "risk_points": 0,
                    "finding_count": 0,
                    "highest_level": "unauffällig"
                }
            ]
        }
    },
    "site_coverage_analysis": {
        "color": "red",
        "pages": [
            {
                "url": "https:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "text": "",
                "source": "compliance_fetch",
                "category": "unterseite",
                "priority": 30
            },
            {
                "url": "http:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "text": "Startseite",
                "source": "homepage_link",
                "category": "unterseite",
                "priority": 20
            }
        ],
        "score": 34,
        "status": "kritisch",
        "summary": "2 interne Linkziele erkannt (0 aus Sitemap), 2 priorisierte Unterseite(n) zusätzlich abgerufen.",
        "findings": [
            {
                "id": "crawl_coverage_limited",
                "title": "Wenig interne Seiten auf der Startseite gefunden",
                "public": true,
                "category": "crawl",
                "severity": "info",
                "recommendation": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken."
            },
            {
                "id": "important_pages_not_discovered",
                "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden",
                "public": true,
                "category": "crawl",
                "severity": "warning",
                "recommendation": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein."
            },
            {
                "id": "sampled_form_privacy_context_missing",
                "title": "Formular-Unterseite ohne klaren Datenschutzkontext",
                "public": true,
                "category": "crawl",
                "severity": "warning",
                "recommendation": "Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen."
            }
        ],
        "categories": {
            "unterseite": 2
        },
        "sample_limit": 4,
        "sampled_count": 2,
        "sampled_pages": [
            {
                "ok": true,
                "url": "https:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "audit": {
                    "form_count": 1,
                    "finding_ids": [
                        "operator_identity_unclear"
                    ],
                    "cookie_count": 0,
                    "imprint_found": true,
                    "consent_hint_found": false,
                    "reject_option_found": false,
                    "privacy_policy_found": false,
                    "tracking_script_count": 0,
                    "pre_consent_cookie_count": 0,
                    "pre_consent_tracking_cookie_count": 0
                },
                "forms": 1,
                "title": "Internationales Großmeisterturnier Berlin",
                "status": 200,
                "category": "unterseite",
                "duration_ms": 111,
                "privacy_hint": false,
                "privacy_policy_audit": []
            },
            {
                "ok": true,
                "url": "http:\/\/www.gmturnier-berlin.de\/",
                "path": "\/",
                "audit": {
                    "form_count": 1,
                    "finding_ids": [
                        "operator_identity_unclear"
                    ],
                    "cookie_count": 0,
                    "imprint_found": true,
                    "consent_hint_found": false,
                    "reject_option_found": false,
                    "privacy_policy_found": false,
                    "tracking_script_count": 0,
                    "pre_consent_cookie_count": 0,
                    "pre_consent_tracking_cookie_count": 0
                },
                "forms": 1,
                "title": "Internationales Großmeisterturnier Berlin",
                "status": 200,
                "category": "unterseite",
                "duration_ms": 145,
                "privacy_hint": false,
                "privacy_policy_audit": []
            }
        ],
        "sitemap_sources": [],
        "sitemap_available": false,
        "sitemap_url_count": 0,
        "homepage_link_count": 58,
        "internal_link_count": 2,
        "privacy_policy_audit": [],
        "sitemap_source_count": 0,
        "provider_disclosure_audit": {
            "found": [],
            "checks": [],
            "reason": "no_detected_services",
            "missing": [],
            "available": false
        },
        "important_categories_found": [],
        "sampled_tracking_page_count": 0,
        "sampled_form_privacy_gap_count": 2
    },
    "trust_center_readiness": {
        "rows": [
            {
                "id": "privacy_notice",
                "label": "Datenschutzerklärung \/ Privacy Notice",
                "action": "Datenschutzerklärung aus Technik, Cookies, Anbietern und Datenarten pflegen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#datenschutzerklaerung"
            },
            {
                "id": "cookie_disclosure",
                "label": "Cookie- und Storage-Erklärung",
                "action": "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Erfordernis und Quelle veröffentlichen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Cookie-Erklärung mit 0 Eintrag\/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 0 unklassifiziert.",
                "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
                "public_path": "\/gmturnier-berlin.de#cookies"
            },
            {
                "id": "vendor_register",
                "label": "Drittanbieter- und Processor-Register",
                "action": "Anbieter, Rollen, Zwecke, Transferstatus und DPA-\/AVV-Status zentral dokumentieren.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "0 Empfänger-\/Anbieter-Eintrag\/Einträge aus Browserkontakten und Cookie-Inventar, 0 datenschutzrelevant, 0 mit AVV-\/Rollenprüfung.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "public_path": "\/gmturnier-berlin.de#drittanbieter"
            },
            {
                "id": "privacy_rights",
                "label": "Betroffenenrechte \/ Anfrageprozess",
                "action": "Anfragekanal, Intake-Felder, Fristen, Identitätsprüfung und sichere Antwortwege veröffentlichen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#betroffenenrechte"
            },
            {
                "id": "dsar_workflow",
                "label": "DSAR Workflow \/ Betroffenenrechte-Automation",
                "action": "Intake, Identitätsprüfung, Fristen, Data Discovery, Vendor-Tasking, Redaction und sichere Zustellung als Trust-Baustein dokumentieren.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#dsar-workflow"
            },
            {
                "id": "privacy_assessment_automation",
                "label": "Assessment Automation \/ PIA-DPIA-TIA",
                "action": "PIA\/DPIA\/TIA\/Vendor\/AI-Vorlagen, Vorbefüllung, Evidence Library, Freigabe und Mitigation-Workflow als PrivacyOps-Baustein dokumentieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "public_path": "\/gmturnier-berlin.de#assessment-automation"
            },
            {
                "id": "retention_deletion",
                "label": "Retention & Deletion Governance",
                "action": "Speicherfristen, Löschtrigger, Vendor-Löschung, Backups\/Legal Hold und Löschprotokolle als Accountability-Baustein dokumentieren.",
                "passed": false,
                "status": "fehlt",
                "weight": 9,
                "evidence": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "public_path": "\/gmturnier-berlin.de#retention-deletion"
            },
            {
                "id": "vendor_lifecycle_risk",
                "label": "Vendor Lifecycle \/ Third-Party Risk",
                "action": "Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als PrivacyOps-Baustein führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "public_path": "\/gmturnier-berlin.de#vendor-lifecycle"
            },
            {
                "id": "notice_policy_lifecycle",
                "label": "Policy & Notice Lifecycle",
                "action": "Datenschutzhinweise versionieren, Cookie-\/Vendor-\/Rechtsgrundlagen-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Lifecycle führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Policy-\/Notice-Lifecycle-Readiness 53\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#notice-lifecycle"
            },
            {
                "id": "data_discovery_classification",
                "label": "Data Discovery & Classification",
                "action": "Personenbezogene Datenarten, Feld-\/Signal-Klassifizierung, PII-Risiken, Data Map, Vendor Stores und DSAR-Suchscope als Discovery-Baustein führen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Data-Discovery-\/Classification-Readiness 69\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "public_path": "\/gmturnier-berlin.de#data-discovery"
            },
            {
                "id": "scan_configuration_monitoring",
                "label": "Scan Configuration & Monitoring",
                "action": "User-Agent, Bot-Transparenz, Crawl-Scope, Sitemap, Recrawl, Monitoring-Feeds, Performance-Grenzen und Betreiberfreigaben als Trust-Baustein dokumentieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 9,
                "evidence": "Scan-Configuration-\/Monitoring-Readiness 82\/100; 9\/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder Betreiber-Nachweise offen.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#scan-configuration"
            },
            {
                "id": "privacy_risk_register",
                "label": "Privacy Risk Register \/ Executive Dashboard",
                "action": "Top-Risiken, Owner, SLA, Entscheidung, Restrestrisiko und Nachweisquellen als Management- und Audit-Baustein führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 9,
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#risk-register"
            },
            {
                "id": "privacy_control_framework",
                "label": "Privacy Controls Framework",
                "action": "Kontrollkatalog, Testplan, Owner, Frequenz, Evidence und Abnahmekriterien als auditfähigen Governance-Baustein führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 9,
                "evidence": "Privacy Controls Framework 49\/100; 2\/16 Kontrolle(n) wirksam, 11 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#control-framework"
            },
            {
                "id": "trust_audit_response_center",
                "label": "Trust & Audit Response Center",
                "action": "Kunden-\/Prüferfragen, teilbare Antworten, Evidence Requests, Share Pack und Freigabestatus als Trust-Baustein betreiben.",
                "passed": false,
                "status": "fehlt",
                "weight": 9,
                "evidence": "Trust-\/Audit-Response-Center 52\/100; 2 antwortbereit, 0 teilweise, 8 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#audit-response"
            },
            {
                "id": "trust_documentation_library",
                "label": "Trust Documentation Library",
                "action": "Öffentliche, sanitisierte und interne Nachweisbibliothek mit Owner, Review-Kadenz, Freigabelevel und Exportlinks betreiben.",
                "passed": true,
                "status": "vorhanden",
                "weight": 9,
                "evidence": "Trust Documentation Library 59\/100; 7\/19 Dokument(e) veröffentlichbar oder exportierbar, 4 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#trust-documentation"
            },
            {
                "id": "preference_center",
                "label": "Preference Center \/ Consent Ledger",
                "action": "Dauerhaften Präferenzzugang, Widerruf, Consent-Nachweise und Sync in nachgelagerte Systeme als Trust-Baustein veröffentlichen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Preference-Center-Readiness 48\/100; 4\/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "public_path": "\/gmturnier-berlin.de#preference-center"
            },
            {
                "id": "accessibility_statement",
                "label": "Barrierefreiheitserklärung",
                "action": "Barrierefreiheitserklärung, Feedback-Kanal und bekannte Einschränkungen ergänzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Entwurf mit 5 bekannten Barrierefreiheits-Punkt(en) aus dem Scan.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "public_path": "\/gmturnier-berlin.de#barrierefreiheit"
            },
            {
                "id": "regulatory_watch",
                "label": "Regulatory Watch \/ Quellenmonitoring",
                "action": "Offizielle Quellen, Review-Kadenz, Rechtsänderungs-Digest und Umsetzungstickets als Trust-Baustein führen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "public_path": "\/gmturnier-berlin.de#regulatory-watch"
            },
            {
                "id": "security_and_evidence",
                "label": "Prüfbeleg und Integritätsnachweis",
                "action": "Prüfbeleg, Hash-Manifest und Exportpaket für Audits auffindbar halten.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#nachweise"
            },
            {
                "id": "public_badge",
                "label": "Öffentlicher Status-Badge",
                "action": "Badge und Kurzreport im Trust Center verlinken.",
                "passed": true,
                "status": "vorhanden",
                "weight": 6,
                "evidence": "Badge-URL: \/badge\/gmturnier-berlin.de",
                "guide_url": "\/methodik",
                "public_path": "\/badge\/gmturnier-berlin.de"
            },
            {
                "id": "monitoring",
                "label": "Monitoring und Änderungshinweise",
                "action": "Regelmäßige Scans, Alert-Digest und Änderungshistorie im Betriebsprozess verankern.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Monitoring-Alert: start_warnung. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta n\/a.",
                "guide_url": "\/monitoring",
                "public_path": "\/monitoring\/gmturnier-berlin.de"
            },
            {
                "id": "remediation",
                "label": "Remediation-Workflow",
                "action": "Offene Tickets mit SLA, Owner und Abnahmekriterium aus dem Trust Center heraus steuerbar machen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "public_path": "\/gmturnier-berlin.de#workflow"
            },
            {
                "id": "regulatory_sources",
                "label": "Quellen- und Regelwerksbezug",
                "action": "Relevante Quellen und Methodik transparent aufführen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 5,
                "evidence": "Quellenmatrix: 8 offizielle\/operative Quelle(n) mit Befundbezug und Betreibermaßnahme.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "public_path": "\/datenschutz-webseiten-report\/"
            },
            {
                "id": "policy_consistency",
                "label": "Policy-\/Technik-Konsistenz",
                "action": "Trust-Center-Inhalte regelmäßig gegen beobachtete Technik, Cookies und Anbieter abgleichen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 5,
                "evidence": "Disclosure-Abgleich: 0 beobachtete Anbieter, 0 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#disclosure"
            },
            {
                "id": "security_basics",
                "label": "Sicherheitsbasis für Vertrauen",
                "action": "Security-Header, TLS, Referrer-Policy und Cookie-Sicherheitsattribute verbessern.",
                "passed": false,
                "status": "fehlt",
                "weight": 5,
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "guide_url": "\/guides\/security-header-setzen",
                "public_path": "\/gmturnier-berlin.de#security"
            }
        ],
        "score": 48,
        "status": "kritisch",
        "summary": "Trust-Center-Readiness: 48\/100 Punkte. 13\/25 Baustein(e) sind aus dem Scan heraus belegbar.",
        "available": true,
        "disclaimer": "Readiness für einen öffentlichen Privacy-\/Trust-Hub aus SaferPage-Nachweisen; ersetzt keine redaktionelle Freigabe durch Datenschutz, Legal und Security.",
        "public_links": [
            {
                "url": "https:\/\/saferpage.de\/gmturnier-berlin.de",
                "label": "Kurzreport"
            },
            {
                "url": "https:\/\/saferpage.de\/badge\/gmturnier-berlin.de",
                "label": "Status-Badge"
            },
            {
                "url": "https:\/\/saferpage.de\/methodik",
                "label": "Methodik"
            },
            {
                "url": "https:\/\/saferpage.de\/datenschutz-webseiten-report\/",
                "label": "Datenschutz-Webseiten-Report"
            }
        ],
        "missing_count": 12,
        "section_count": 25,
        "launch_checklist": [
            "Öffentliche Trust-Center-Seite mit Datenschutzerklärung, Cookie-Liste, Anbieterregister und Betroffenenrechte-Kanal anlegen.",
            "Badge, Methodik, Prüfbeleg, Exportpaket und letzten Scan verlinken.",
            "Privacy-Team als Inhaltsverantwortliche festlegen; technische Änderungen über Monitoring prüfen.",
            "Jede Trust-Center-Aktualisierung mit Datum, Version und SaferPage-Wiederholungsscan dokumentieren.",
            "Offene Remediation-Tickets vor Veröffentlichung priorisieren oder transparent als bekannte Einschränkung führen."
        ],
        "priority_actions": [
            "Cookie-Liste mit Zweck, Anbieter, Laufzeit, Consent-Erfordernis und Quelle veröffentlichen.",
            "Anbieter, Rollen, Zwecke, Transferstatus und DPA-\/AVV-Status zentral dokumentieren.",
            "Anfragekanal, Intake-Felder, Fristen, Identitätsprüfung und sichere Antwortwege veröffentlichen.",
            "Intake, Identitätsprüfung, Fristen, Data Discovery, Vendor-Tasking, Redaction und sichere Zustellung als Trust-Baustein dokumentieren.",
            "Speicherfristen, Löschtrigger, Vendor-Löschung, Backups\/Legal Hold und Löschprotokolle als Accountability-Baustein dokumentieren.",
            "Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als PrivacyOps-Baustein führen."
        ]
    },
    "vulnerability_analysis": {
        "limits": [
            "Passive Erkennung sieht nur Header, HTML und Asset-Namen.",
            "Ohne gepflegte Advisory-Quelle wird kein CVE als bestätigt ausgegeben.",
            "Bei Distributionen mit Backports kann ein alter Header trotzdem gepatcht sein; dann muss der Paketstand serverseitig verifiziert werden.",
            "Versteckte oder serverseitige Software kann passiv unerkannt bleiben."
        ],
        "findings": [
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2762",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2853",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4899",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2399",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-2400: Unspecified vulnerability in wp-includes\/js\/swfobject.js in WordPress before 3.3.2 has unknown impact and attack vectors.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2400",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-6707: WordPress through 4.8.2 uses a weak MD5-based password hashing algorithm, which makes it easier for attackers to determine cleartext values by leveraging access to the hash values",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6707",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-4338: wp-includes\/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by trigger",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-4338",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-4339: WordPress before 3.6.1 does not properly validate URLs before use in an HTTP redirect, which allows remote attackers to bypass intended redirection restrictions via a crafted strin",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-4339",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-2213: SQL injection vulnerability in the wp_untrash_post_comments function in wp-includes\/post.php in WordPress before 4.2.4 allows remote attackers to execute arbitrary SQL commands via",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-2213",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-2221: Open redirect vulnerability in the wp_validate_redirect function in wp-includes\/pluggable.php in WordPress before 4.4.2 allows remote attackers to redirect users to arbitrary web s",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-2221",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-4029: WordPress before 4.5 does not consider octal and hexadecimal IP address formats when determining an intranet address, which allows remote attackers to bypass an intended SSRF prote",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-4029",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5832: The customizer in WordPress before 4.5.3 allows remote attackers to bypass intended redirection restrictions via unspecified vectors.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5832",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5835: WordPress before 4.5.3 allows remote attackers to obtain sensitive revision-history information by leveraging the ability to read a post, related to wp-admin\/includes\/ajax-actions.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5835",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5836: The oEmbed protocol implementation in WordPress before 4.5.3 allows remote attackers to cause a denial of service via unspecified vectors.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5836",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5837: WordPress before 4.5.3 allows remote attackers to bypass intended access restrictions and remove a category attribute from a post via unspecified vectors.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5837",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5838: WordPress before 4.5.3 allows remote attackers to bypass intended password-change restrictions by leveraging knowledge of a cookie.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5838",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5839: WordPress before 4.5.3 allows remote attackers to bypass the sanitize_file_name protection mechanism via unspecified vectors.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5839",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-6635: Cross-site request forgery (CSRF) vulnerability in the wp_ajax_wp_compression_test function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.5 allows remote attackers to",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-6635",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14723: Before version 4.8.2, WordPress mishandled % characters and additional placeholder values in $wpdb->prepare, and thus did not properly address the possibility of plugins and themes",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14723",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-16510: WordPress before 4.8.3 is affected by an issue where $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi) in plugins and themes, as d",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-16510",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-17091: wp-admin\/user-new.php in WordPress before 4.9.1 sets the newbloguser key to a string that can be directly derived from the user ID, which allows remote attackers to bypass intended",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17091",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5489: Cross-site request forgery (CSRF) vulnerability in WordPress before 4.7.1 allows remote attackers to hijack the authentication of unspecified victims via vectors involving a Flash ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5489",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5492: Cross-site request forgery (CSRF) vulnerability in the widget-editing accessibility-mode feature in WordPress before 4.7.1 allows remote attackers to hijack the authentication of u",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5492",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5493: wp-includes\/ms-functions.php in the Multisite WordPress API in WordPress before 4.7.1 does not properly choose random numbers for keys, which makes it easier for remote attackers t",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5493",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5611: SQL injection vulnerability in wp-includes\/class-wp-query.php in WP_Query in WordPress before 4.7.2 allows remote attackers to execute arbitrary SQL commands by leveraging the pres",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5611",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-9062: In WordPress before 4.7.5, there is improper handling of post meta data values in the XML-RPC API.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9062",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-9064: In WordPress before 4.7.5, a Cross Site Request Forgery (CSRF) vulnerability exists in the filesystem credentials dialog because a nonce is not required for updating credentials.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9064",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-9065: In WordPress before 4.7.5, there is a lack of capability checks for post meta data in the XML-RPC API.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9065",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-9066: In WordPress before 4.7.5, there is insufficient redirect validation in the HTTP class, leading to SSRF.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "critical",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9066",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-2335: WordPress and WordPress MU before 2.8.1 exhibit different behavior for a failed login attempt depending on whether the user account exists, which allows remote attackers to enumera",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2335",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-2336: The forgotten mail interface in WordPress and WordPress MU before 2.8.1 exhibits different behavior for a password request depending on whether the user account exists, which allow",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2336",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-2851: Cross-site scripting (XSS) vulnerability in the administrator interface in WordPress before 2.8.2 allows remote attackers to inject arbitrary web script or HTML via a comment autho",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2851",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-2854: Wordpress before 2.8.3 does not check capabilities for certain actions, which allows remote attackers to make unauthorized edits or additions via a direct request to (1) edit-comme",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2854",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-3622: Algorithmic complexity vulnerability in wp-trackback.php in WordPress before 2.8.5 allows remote attackers to cause a denial of service (CPU consumption and server hang) via a long",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-3622",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-3890: Unrestricted file upload vulnerability in the wp_check_filetype function in wp-includes\/functions.php in WordPress before 2.8.6, when a certain configuration of the mod_mime module",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-3890",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-4257: SQL injection vulnerability in the do_trackbacks function in wp-includes\/comment.php in WordPress before 3.0.2 allows remote authenticated users to execute arbitrary SQL commands v",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-4257",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-4536: Multiple cross-site scripting (XSS) vulnerabilities in KSES, as used in WordPress before 3.0.4, allow remote attackers to inject arbitrary web script or HTML via vectors related to",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-4536",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-5106: The XML-RPC remote publishing interface in xmlrpc.php in WordPress before 3.0.3 does not properly check capabilities, which allows remote authenticated users to bypass intended acc",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5106",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-5293: wp-includes\/comment.php in WordPress before 3.0.2 does not properly whitelist trackbacks and pingbacks in the blogroll, which allows remote attackers to bypass intended spam restri",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5293",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-5294: Multiple cross-site scripting (XSS) vulnerabilities in the request_filesystem_credentials function in wp-admin\/includes\/file.php in WordPress before 3.0.2 allow remote servers to i",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5294",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-5295: Cross-site scripting (XSS) vulnerability in wp-admin\/plugins.php in WordPress before 3.0.2 might allow remote attackers to inject arbitrary web script or HTML via a plugin's author",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5295",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-5296: wp-includes\/capabilities.php in WordPress before 3.0.2, when a Multisite configuration is used, does not require the Super Admin role for the delete_users capability, which allows ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5296",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-0701: wp-admin\/async-upload.php in the media uploader in WordPress before 3.0.5 allows remote authenticated users to read (1) draft posts or (2) private posts via a modified attachment_i",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-0701",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-4898: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier generates different error messages for requests lacking a dbname parameter depending on wheth",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4898",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-4956: Cross-site scripting (XSS) vulnerability in WordPress before 3.1.1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4956",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-4957: The make_clickable function in wp-includes\/formatting.php in WordPress before 3.1.1 does not properly check URLs before passing them to the PCRE library, which allows remote attack",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4957",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-5270: wp-admin\/press-this.php in WordPress before 3.0.6 does not enforce the publish_posts capability requirement, which allows remote authenticated users to perform publish actions by l",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-5270",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-0782: Multiple cross-site scripting (XSS) vulnerabilities in wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier allow remote attackers to inject arbit",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-0782",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-0937: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not limit the number of MySQL queries sent to external MySQL database servers, which all",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-0937",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-1936: The wp_create_nonce function in wp-includes\/pluggable.php in WordPress 3.3.1 and earlier associates a nonce with a user account instead of a user session, which might make it easie",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-1936",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-2401: Plupload before 1.5.4, as used in wp-includes\/js\/plupload\/ in WordPress before 3.3.2 and other products, enables scripting regardless of the domain from which the SWF content was l",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2401",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-2402: wp-admin\/plugins.php in WordPress before 3.3.2 allows remote authenticated site administrators to bypass intended access restrictions and deactivate network-wide plugins via unspec",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2402",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-2403: wp-includes\/formatting.php in WordPress before 3.3.2 attempts to enable clickable links inside attributes, which makes it easier for remote attackers to conduct cross-site scriptin",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2403",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-2404: wp-comments-post.php in WordPress before 3.3.2 supports offsite redirects, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via unspecified ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2404",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-3384: Cross-site request forgery (CSRF) vulnerability in the customizer in WordPress before 3.4.1 allows remote attackers to hijack the authentication of unspecified victims via unknown ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-3384",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-3385: WordPress before 3.4.1 does not properly restrict access to post contents such as private or draft posts, which allows remote authors or contributors to obtain sensitive informatio",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-3385",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-3414: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFUpload 2.2.0.1 and earlier, as used in WordPress before 3.3.2, TinyMCE Image Manager 1.1, and other products, allows",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-3414",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-4421: The create_post function in wp-includes\/class-wp-atom-server.php in WordPress before 3.4.2 does not perform a capability check, which allows remote authenticated users to bypass in",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-4421",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-6633: Cross-site scripting (XSS) vulnerability in wp-includes\/default-filters.php in WordPress before 3.3.3 allows remote attackers to inject arbitrary web script or HTML via an editable",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6633",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-6634: wp-admin\/media-upload.php in WordPress before 3.3.3 allows remote attackers to obtain sensitive information or bypass intended media-attachment restrictions via a post_id value.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6634",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-6635: wp-admin\/includes\/class-wp-posts-list-table.php in WordPress before 3.3.3 does not properly restrict excerpt-view access, which allows remote authenticated users to obtain sensitiv",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6635",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-0235: The XMLRPC API in WordPress before 3.5.1 allows remote attackers to send HTTP requests to intranet servers, and conduct port-scanning attacks, by specifying a crafted source URL fo",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-0235",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-0236: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.1 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) gallery shortc",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-0236",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-0237: Cross-site scripting (XSS) vulnerability in Plupload.as in Moxiecode plupload before 1.5.5, as used in WordPress before 3.5.1 and other products, allows remote attackers to inject ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-0237",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2199: The HTTP API in WordPress before 3.5.2 allows remote attackers to send HTTP requests to intranet servers via unspecified vectors, related to a Server-Side Request Forgery (SSRF) is",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2199",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2200: WordPress before 3.5.2 does not properly check the capabilities of roles, which allows remote authenticated users to bypass intended restrictions on publishing and authorship reass",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2200",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2201: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) uploads of med",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2201",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2202: WordPress before 3.5.2 allows remote attackers to read arbitrary files via an oEmbed XML provider response containing an external entity declaration in conjunction with an entity r",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2202",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2203: WordPress before 3.5.2, when the uploads directory forbids write access, allows remote attackers to obtain sensitive information via an invalid upload request, which reveals the ab",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2203",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2204: moxieplayer.as in Moxiecode moxieplayer, as used in the TinyMCE Media plugin in WordPress before 3.5.2 and other products, does not consider the presence of a # (pound sign) charac",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2204",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-2205: The default configuration of SWFUpload in WordPress before 3.5.2 has an unrestrictive security.allowDomain setting, which allows remote attackers to bypass the Same Origin Policy a",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2205",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-5738: The get_allowed_mime_types function in wp-includes\/functions.php in WordPress before 3.6.1 does not require the unfiltered_html capability for uploads of .htm and .html files, whic",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-5738",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-0165: WordPress before 3.7.2 and 3.8.x before 3.8.2 allows remote authenticated users to publish posts by leveraging the Contributor role, related to wp-admin\/includes\/post.php and wp-ad",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-0165",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-0166: The wp_validate_auth_cookie function in wp-includes\/pluggable.php in WordPress before 3.7.2 and 3.8.x before 3.8.2 does not properly determine the validity of authentication cookie",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-0166",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-5204: wp-includes\/pluggable.php in WordPress before 3.9.2 rejects invalid CSRF nonces with a different timing depending on which characters in the nonce are incorrect, which makes it eas",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5204",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-5205: wp-includes\/pluggable.php in WordPress before 3.9.2 does not use delimiters during concatenation of action values and uid values in CSRF tokens, which makes it easier for remote at",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5205",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-5265: The Incutio XML-RPC (IXR) Library, as used in WordPress before 3.9.2 and Drupal 6.x before 6.33 and 7.x before 7.31, permits entity declarations without considering recursion durin",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5265",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-5266: The Incutio XML-RPC (IXR) Library, as used in WordPress before 3.9.2 and Drupal 6.x before 6.33 and 7.x before 7.31, does not limit the number of elements in an XML document, which",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5266",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9031: Cross-site scripting (XSS) vulnerability in the wptexturize function in WordPress before 3.7.5, 3.8.x before 3.8.5, and 3.9.x before 3.9.3 allows remote attackers to inject arbitra",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9031",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9034: wp-includes\/class-phpass.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to cause a denial of service (CPU consu",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9034",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9035: Cross-site scripting (XSS) vulnerability in Press This in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to inject arb",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9035",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9036: Cross-site scripting (XSS) vulnerability in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to inject arbitrary web scr",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9036",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9037: WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 might allow remote attackers to obtain access to an account idle since 2008 by leveraging an im",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9037",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9038: wp-includes\/http.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to conduct server-side request forgery (SSRF) a",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9038",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-9039: wp-login.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 might allow remote attackers to reset passwords by leveraging access to an e-ma",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9039",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-3438: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 4.1.2, when MySQL is used without strict mode, allow remote attackers to inject arbitrary web script or HTML",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-3438",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-3440: Cross-site scripting (XSS) vulnerability in wp-includes\/wp-db.php in WordPress before 4.2.1 allows remote attackers to inject arbitrary web script or HTML via a long comment that i",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-3440",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5623: WordPress before 4.2.3 does not properly verify the edit_posts capability, which allows remote authenticated users to bypass intended access restrictions and create drafts by lever",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5623",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5714: Cross-site scripting (XSS) vulnerability in WordPress before 4.3.1 allows remote attackers to inject arbitrary web script or HTML by leveraging the mishandling of unclosed HTML ele",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5714",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5715: The mw_editPost function in wp-includes\/class-wp-xmlrpc-server.php in the XMLRPC subsystem in WordPress before 4.3.1 allows remote authenticated users to bypass intended access res",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5715",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5730: The sanitize_widget_instance function in wp-includes\/class-wp-customize-widgets.php in WordPress before 4.2.4 does not use a constant-time comparison for widgets, which allows remo",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5730",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5731: Cross-site request forgery (CSRF) vulnerability in wp-admin\/post.php in WordPress before 4.2.4 allows remote attackers to hijack the authentication of administrators for requests t",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5731",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5732: Cross-site scripting (XSS) vulnerability in the form function in the WP_Nav_Menu_Widget class in wp-includes\/default-widgets.php in WordPress before 4.2.4 allows remote attackers t",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5732",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5733: Cross-site scripting (XSS) vulnerability in the refreshAdvancedAccessibilityOfItem function in wp-admin\/js\/nav-menu.js in WordPress before 4.2.4 allows remote attackers to inject a",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5733",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5734: Cross-site scripting (XSS) vulnerability in the legacy theme preview implementation in wp-includes\/theme.php in WordPress before 4.2.4 allows remote attackers to inject arbitrary w",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5734",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-7989: Cross-site scripting (XSS) vulnerability in the user list table in WordPress before 4.3.1 allows remote authenticated users to inject arbitrary web script or HTML via a crafted e-m",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-7989",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-8834: Cross-site scripting (XSS) vulnerability in wp-includes\/wp-db.php in WordPress before 4.2.2 allows remote attackers to inject arbitrary web script or HTML via a long comment that i",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-8834",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-10148: The wp_ajax_update_plugin function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.6 makes a get_plugin_data call before checking the update_plugins capability, which a",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-10148",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-1564: Multiple cross-site scripting (XSS) vulnerabilities in wp-includes\/class-wp-theme.php in WordPress before 4.4.1 allow remote attackers to inject arbitrary web script or HTML via a ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-1564",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-4566: Cross-site scripting (XSS) vulnerability in plupload.flash.swf in Plupload before 2.1.9, as used in WordPress before 4.5.2, allows remote attackers to inject arbitrary web script o",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-4566",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-4567: Cross-site scripting (XSS) vulnerability in flash\/FlashMediaElement.as in MediaElement.js before 2.21.0, as used in WordPress before 4.5.2, allows remote attackers to inject arbitr",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-4567",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5833: Cross-site scripting (XSS) vulnerability in the column_title function in wp-admin\/includes\/class-wp-media-list-table.php in WordPress before 4.5.3 allows remote attackers to inject",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5833",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-5834: Cross-site scripting (XSS) vulnerability in the wp_get_attachment_link function in wp-includes\/post-template.php in WordPress before 4.5.3 allows remote attackers to inject arbitra",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5834",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-6634: Cross-site scripting (XSS) vulnerability in the network settings page in WordPress before 4.5 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-6634",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-6897: Cross-site request forgery (CSRF) vulnerability in the wp_ajax_update_plugin function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.6 allows remote attackers to hijac",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-6897",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-7168: Cross-site scripting (XSS) vulnerability in the media_handle_upload function in wp-admin\/includes\/media.php in WordPress before 4.6.1 might allow remote attackers to inject arbitra",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-7168",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-7169: Directory traversal vulnerability in the File_Upload_Upgrader class in wp-admin\/includes\/class-file-upload-upgrader.php in the upgrade package uploader in WordPress before 4.6.1 al",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-7169",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2016-9263: WordPress through 4.8.2, when domain-based flashmediaelement.swf sandboxing is not used, allows remote attackers to conduct cross-domain Flash injection (XSF) attacks by leveraging",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-9263",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14718: Before version 4.8.2, WordPress was susceptible to a Cross-Site Scripting attack in the link modal via a javascript: or data: URL.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14718",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14720: Before version 4.8.2, WordPress allowed a Cross-Site scripting attack in the template list view via a crafted template name.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14720",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14721: Before version 4.8.2, WordPress allowed Cross-Site scripting in the plugin editor via a crafted plugin name.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14721",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14724: Before version 4.8.2, WordPress was vulnerable to cross-site scripting in oEmbed discovery.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14724",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14725: Before version 4.8.2, WordPress was susceptible to an open redirect attack in wp-admin\/edit-tag-form.php and wp-admin\/user-edit.php.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14725",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-14726: Before version 4.8.2, WordPress was vulnerable to a cross-site scripting attack via shortcodes in the TinyMCE visual editor.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14726",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-17092: wp-includes\/functions.php in WordPress before 4.9.1 does not require the unfiltered_html capability for upload of .js files, which might allow remote attackers to conduct XSS attac",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17092",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-17093: wp-includes\/general-template.php in WordPress before 4.9.1 does not properly restrict the lang attribute of an HTML element, which might allow attackers to conduct XSS attacks via ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17093",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-17094: wp-includes\/feed.php in WordPress before 4.9.1 does not properly restrict enclosures in RSS and Atom fields, which might allow attackers to conduct XSS attacks via a crafted URL.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17094",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5487: wp-includes\/rest-api\/endpoints\/class-wp-rest-users-controller.php in the REST API implementation in WordPress 4.7 before 4.7.1 does not properly restrict listings of post authors, ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5487",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5488: Multiple cross-site scripting (XSS) vulnerabilities in wp-admin\/update-core.php in WordPress before 4.7.1 allow remote attackers to inject arbitrary web script or HTML via the (1) ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5488",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5490: Cross-site scripting (XSS) vulnerability in the theme-name fallback functionality in wp-includes\/class-wp-theme.php in WordPress before 4.7.1 allows remote attackers to inject arbi",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5490",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5491: wp-mail.php in WordPress before 4.7.1 might allow remote attackers to bypass intended posting restrictions via a spoofed mail server with the mail.example.com name.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5491",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5610: wp-admin\/includes\/class-wp-press-this.php in Press This in WordPress before 4.7.2 does not properly restrict visibility of a taxonomy-assignment user interface, which allows remote",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5610",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-5612: Cross-site scripting (XSS) vulnerability in wp-admin\/includes\/class-wp-posts-list-table.php in the posts list table in WordPress before 4.7.2 allows remote attackers to inject arbi",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5612",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-6814: In WordPress before 4.7.3, there is authenticated Cross-Site Scripting (XSS) via Media File Metadata",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6814",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-6815: In WordPress before 4.7.3 (wp-includes\/pluggable.php), control characters can trick redirect URL validation.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6815",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-6816: In WordPress before 4.7.3 (wp-admin\/plugins.php), unintended files can be deleted by administrators using the plugin deletion functionality.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6816",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-6817: In WordPress before 4.7.3 (wp-includes\/embed.php), there is authenticated Cross-Site Scripting (XSS) in YouTube URL Embeds.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6817",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-6818: In WordPress before 4.7.3 (wp-admin\/js\/tags-box.js), there is cross-site scripting (XSS) via taxonomy term names.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6818",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-6819: In WordPress before 4.7.3, there is cross-site request forgery (CSRF) in Press This (wp-admin\/includes\/class-wp-press-this.php), leading to excessive use of server resources",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6819",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-8295: WordPress through 4.7.4 relies on the Host HTTP header for a password-reset e-mail message, which makes it easier for remote attackers to reset arbitrary passwords by making a craf",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-8295",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-9061: In WordPress before 4.7.5, a cross-site scripting (XSS) vulnerability exists when attempting to upload very large files, because the error message does not properly restrict presen",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9061",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2017-9063: In WordPress before 4.7.5, a cross-site scripting (XSS) vulnerability related to the Customizer exists, involving an invalid customization session.",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9063",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2023-2745: WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "warning",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2023-2745",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2009-3891: Cross-site scripting (XSS) vulnerability in wp-admin\/press-this.php in WordPress before 2.8.6 allows remote authenticated users to inject arbitrary web script or HTML via the s par",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-3891",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2010-5297: WordPress before 3.0.1, when a Multisite installation is used, permanently retains the \"site administrators can add users\" option once changed, which might allow remote authenticat",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5297",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2011-0700: Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.0.5 allow remote authenticated users to inject arbitrary web script or HTML via vectors related to (1) the",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-0700",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2012-4422: wp-admin\/plugins.php in WordPress before 3.4.2, when the multisite feature is enabled, does not check for network-administrator privileges before performing a network-wide activati",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-4422",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-4340: wp-admin\/includes\/post.php in WordPress before 3.6.1 allows remote authenticated users to spoof the authorship of a post by leveraging the Author role and providing a modified user",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-4340",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2013-5739: The default configuration of WordPress before 3.6.1 does not prevent uploads of .swf and .exe files, which might make it easier for remote authenticated users to conduct cross-site",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-5739",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2014-5240: Cross-site scripting (XSS) vulnerability in wp-includes\/pluggable.php in WordPress before 3.9.2, when Multisite is enabled, allows remote authenticated administrators to inject arb",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5240",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            },
            {
                "id": "known_vulnerability_advisory",
                "title": "CVE-2015-5622: Cross-site scripting (XSS) vulnerability in WordPress before 4.2.3 allows remote authenticated users to inject arbitrary web script or HTML by leveraging the Author or Contributor ",
                "public": true,
                "version": "2.8",
                "category": "vulnerability",
                "severity": "info",
                "confirmed": true,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5622",
                "recommendation": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version."
            }
        ],
        "cve_status": "matched",
        "risk_level": "high",
        "matched_advisories": [
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-2762",
                "title": "wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=2.8.3",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2762"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-2853",
                "title": "Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                "source": "nvd",
                "version": "2.8",
                "affected": "0.71, 0.72, 0.711, 1.0, 1.0.1, 1.2",
                "severity": "critical",
                "cvss_score": 10,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2853"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-4899",
                "title": "wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4899"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-2399",
                "title": "Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "critical",
                "cvss_score": 10,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2399"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-2400",
                "title": "Unspecified vulnerability in wp-includes\/js\/swfobject.js in WordPress before 3.3.2 has unknown impact and attack vectors.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "critical",
                "cvss_score": 10,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2400"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-6707",
                "title": "WordPress through 4.8.2 uses a weak MD5-based password hashing algorithm, which makes it easier for attackers to determine cleartext values by leveraging access to the hash values",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6707"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-4338",
                "title": "wp-includes\/functions.php in WordPress before 3.6.1 does not properly determine whether data has been serialized, which allows remote attackers to execute arbitrary code by trigger",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.6",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-4338"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-4339",
                "title": "WordPress before 3.6.1 does not properly validate URLs before use in an HTTP redirect, which allows remote attackers to bypass intended redirection restrictions via a crafted strin",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.6",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-4339"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-2213",
                "title": "SQL injection vulnerability in the wp_untrash_post_comments function in wp-includes\/post.php in WordPress before 4.2.4 allows remote attackers to execute arbitrary SQL commands via",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.3",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-2213"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-2221",
                "title": "Open redirect vulnerability in the wp_validate_redirect function in wp-includes\/pluggable.php in WordPress before 4.4.2 allows remote attackers to redirect users to arbitrary web s",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.4.1",
                "severity": "critical",
                "cvss_score": 7.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-2221"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-4029",
                "title": "WordPress before 4.5 does not consider octal and hexadecimal IP address formats when determining an intranet address, which allows remote attackers to bypass an intended SSRF prote",
                "source": "nvd",
                "version": "2.8",
                "affected": "<4.5",
                "severity": "critical",
                "cvss_score": 8.6,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-4029"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5832",
                "title": "The customizer in WordPress before 4.5.3 allows remote attackers to bypass intended redirection restrictions via unspecified vectors.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5832"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5835",
                "title": "WordPress before 4.5.3 allows remote attackers to obtain sensitive revision-history information by leveraging the ability to read a post, related to wp-admin\/includes\/ajax-actions.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5835"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5836",
                "title": "The oEmbed protocol implementation in WordPress before 4.5.3 allows remote attackers to cause a denial of service via unspecified vectors.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5836"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5837",
                "title": "WordPress before 4.5.3 allows remote attackers to bypass intended access restrictions and remove a category attribute from a post via unspecified vectors.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5837"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5838",
                "title": "WordPress before 4.5.3 allows remote attackers to bypass intended password-change restrictions by leveraging knowledge of a cookie.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5838"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5839",
                "title": "WordPress before 4.5.3 allows remote attackers to bypass the sanitize_file_name protection mechanism via unspecified vectors.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5839"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-6635",
                "title": "Cross-site request forgery (CSRF) vulnerability in the wp_ajax_wp_compression_test function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.5 allows remote attackers to",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.4.2",
                "severity": "critical",
                "cvss_score": 8.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-6635"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14723",
                "title": "Before version 4.8.2, WordPress mishandled % characters and additional placeholder values in $wpdb->prepare, and thus did not properly address the possibility of plugins and themes",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "critical",
                "cvss_score": 9.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14723"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-16510",
                "title": "WordPress before 4.8.3 is affected by an issue where $wpdb->prepare() can create unexpected and unsafe queries leading to potential SQL injection (SQLi) in plugins and themes, as d",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.2",
                "severity": "critical",
                "cvss_score": 9.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-16510"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-17091",
                "title": "wp-admin\/user-new.php in WordPress before 4.9.1 sets the newbloguser key to a string that can be directly derived from the user ID, which allows remote attackers to bypass intended",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.9",
                "severity": "critical",
                "cvss_score": 8.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17091"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5489",
                "title": "Cross-site request forgery (CSRF) vulnerability in WordPress before 4.7.1 allows remote attackers to hijack the authentication of unspecified victims via vectors involving a Flash ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "critical",
                "cvss_score": 8.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5489"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5492",
                "title": "Cross-site request forgery (CSRF) vulnerability in the widget-editing accessibility-mode feature in WordPress before 4.7.1 allows remote attackers to hijack the authentication of u",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "critical",
                "cvss_score": 8.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5492"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5493",
                "title": "wp-includes\/ms-functions.php in the Multisite WordPress API in WordPress before 4.7.1 does not properly choose random numbers for keys, which makes it easier for remote attackers t",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5493"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5611",
                "title": "SQL injection vulnerability in wp-includes\/class-wp-query.php in WP_Query in WordPress before 4.7.2 allows remote attackers to execute arbitrary SQL commands by leveraging the pres",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.1",
                "severity": "critical",
                "cvss_score": 9.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5611"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9062",
                "title": "In WordPress before 4.7.5, there is improper handling of post meta data values in the XML-RPC API.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "critical",
                "cvss_score": 8.6,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9062"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9064",
                "title": "In WordPress before 4.7.5, a Cross Site Request Forgery (CSRF) vulnerability exists in the filesystem credentials dialog because a nonce is not required for updating credentials.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "critical",
                "cvss_score": 8.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9064"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9065",
                "title": "In WordPress before 4.7.5, there is a lack of capability checks for post meta data in the XML-RPC API.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "critical",
                "cvss_score": 7.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9065"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9066",
                "title": "In WordPress before 4.7.5, there is insufficient redirect validation in the HTTP class, leading to SSRF.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "critical",
                "cvss_score": 8.6,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9066"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-2335",
                "title": "WordPress and WordPress MU before 2.8.1 exhibit different behavior for a failed login attempt depending on whether the user account exists, which allows remote attackers to enumera",
                "source": "nvd",
                "version": "2.8",
                "affected": "<2.8.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2335"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-2336",
                "title": "The forgotten mail interface in WordPress and WordPress MU before 2.8.1 exhibits different behavior for a password request depending on whether the user account exists, which allow",
                "source": "nvd",
                "version": "2.8",
                "affected": "<2.8.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2336"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-2851",
                "title": "Cross-site scripting (XSS) vulnerability in the administrator interface in WordPress before 2.8.2 allows remote attackers to inject arbitrary web script or HTML via a comment autho",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=2.8.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2851"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-2854",
                "title": "Wordpress before 2.8.3 does not check capabilities for certain actions, which allows remote attackers to make unauthorized edits or additions via a direct request to (1) edit-comme",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=2.8.2",
                "severity": "warning",
                "cvss_score": 6.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-2854"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-3622",
                "title": "Algorithmic complexity vulnerability in wp-trackback.php in WordPress before 2.8.5 allows remote attackers to cause a denial of service (CPU consumption and server hang) via a long",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=2.8.4",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-3622"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-3890",
                "title": "Unrestricted file upload vulnerability in the wp_check_filetype function in wp-includes\/functions.php in WordPress before 2.8.6, when a certain configuration of the mod_mime module",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=2.8.5",
                "severity": "warning",
                "cvss_score": 6,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-3890"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-4257",
                "title": "SQL injection vulnerability in the do_trackbacks function in wp-includes\/comment.php in WordPress before 3.0.2 allows remote authenticated users to execute arbitrary SQL commands v",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.1",
                "severity": "warning",
                "cvss_score": 6,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-4257"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-4536",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in KSES, as used in WordPress before 3.0.4, allow remote attackers to inject arbitrary web script or HTML via vectors related to",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.3",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-4536"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-5106",
                "title": "The XML-RPC remote publishing interface in xmlrpc.php in WordPress before 3.0.3 does not properly check capabilities, which allows remote authenticated users to bypass intended acc",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.2",
                "severity": "warning",
                "cvss_score": 6.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5106"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-5293",
                "title": "wp-includes\/comment.php in WordPress before 3.0.2 does not properly whitelist trackbacks and pingbacks in the blogroll, which allows remote attackers to bypass intended spam restri",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.1",
                "severity": "warning",
                "cvss_score": 5.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5293"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-5294",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in the request_filesystem_credentials function in wp-admin\/includes\/file.php in WordPress before 3.0.2 allow remote servers to i",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5294"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-5295",
                "title": "Cross-site scripting (XSS) vulnerability in wp-admin\/plugins.php in WordPress before 3.0.2 might allow remote attackers to inject arbitrary web script or HTML via a plugin's author",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5295"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-5296",
                "title": "wp-includes\/capabilities.php in WordPress before 3.0.2, when a Multisite configuration is used, does not require the Super Admin role for the delete_users capability, which allows ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.1",
                "severity": "warning",
                "cvss_score": 4.9,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5296"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-0701",
                "title": "wp-admin\/async-upload.php in the media uploader in WordPress before 3.0.5 allows remote authenticated users to read (1) draft posts or (2) private posts via a modified attachment_i",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.4",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-0701"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-4898",
                "title": "wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier generates different error messages for requests lacking a dbname parameter depending on wheth",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4898"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-4956",
                "title": "Cross-site scripting (XSS) vulnerability in WordPress before 3.1.1 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4956"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-4957",
                "title": "The make_clickable function in wp-includes\/formatting.php in WordPress before 3.1.1 does not properly check URLs before passing them to the PCRE library, which allows remote attack",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-4957"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-5270",
                "title": "wp-admin\/press-this.php in WordPress before 3.0.6 does not enforce the publish_posts capability requirement, which allows remote authenticated users to perform publish actions by l",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.5",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-5270"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-0782",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier allow remote attackers to inject arbit",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-0782"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-0937",
                "title": "wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not limit the number of MySQL queries sent to external MySQL database servers, which all",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-0937"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-1936",
                "title": "The wp_create_nonce function in wp-includes\/pluggable.php in WordPress 3.3.1 and earlier associates a nonce with a user account instead of a user session, which might make it easie",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 6.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-1936"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-2401",
                "title": "Plupload before 1.5.4, as used in wp-includes\/js\/plupload\/ in WordPress before 3.3.2 and other products, enables scripting regardless of the domain from which the SWF content was l",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2401"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-2402",
                "title": "wp-admin\/plugins.php in WordPress before 3.3.2 allows remote authenticated site administrators to bypass intended access restrictions and deactivate network-wide plugins via unspec",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 5.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2402"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-2403",
                "title": "wp-includes\/formatting.php in WordPress before 3.3.2 attempts to enable clickable links inside attributes, which makes it easier for remote attackers to conduct cross-site scriptin",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2403"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-2404",
                "title": "wp-comments-post.php in WordPress before 3.3.2 supports offsite redirects, which makes it easier for remote attackers to conduct cross-site scripting (XSS) attacks via unspecified ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-2404"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-3384",
                "title": "Cross-site request forgery (CSRF) vulnerability in the customizer in WordPress before 3.4.1 allows remote attackers to hijack the authentication of unspecified victims via unknown ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.4.0",
                "severity": "warning",
                "cvss_score": 6.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-3384"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-3385",
                "title": "WordPress before 3.4.1 does not properly restrict access to post contents such as private or draft posts, which allows remote authors or contributors to obtain sensitive informatio",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.4.0",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-3385"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-3414",
                "title": "Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFUpload 2.2.0.1 and earlier, as used in WordPress before 3.3.2, TinyMCE Image Manager 1.1, and other products, allows",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-3414"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-4421",
                "title": "The create_post function in wp-includes\/class-wp-atom-server.php in WordPress before 3.4.2 does not perform a capability check, which allows remote authenticated users to bypass in",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.4.1",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-4421"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-6633",
                "title": "Cross-site scripting (XSS) vulnerability in wp-includes\/default-filters.php in WordPress before 3.3.3 allows remote attackers to inject arbitrary web script or HTML via an editable",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.2",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6633"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-6634",
                "title": "wp-admin\/media-upload.php in WordPress before 3.3.3 allows remote attackers to obtain sensitive information or bypass intended media-attachment restrictions via a post_id value.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.2",
                "severity": "warning",
                "cvss_score": 6.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6634"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-6635",
                "title": "wp-admin\/includes\/class-wp-posts-list-table.php in WordPress before 3.3.3 does not properly restrict excerpt-view access, which allows remote authenticated users to obtain sensitiv",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.3.2",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-6635"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-0235",
                "title": "The XMLRPC API in WordPress before 3.5.1 allows remote attackers to send HTTP requests to intranet servers, and conduct port-scanning attacks, by specifying a crafted source URL fo",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.0",
                "severity": "warning",
                "cvss_score": 6.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-0235"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-0236",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.1 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) gallery shortc",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.0",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-0236"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-0237",
                "title": "Cross-site scripting (XSS) vulnerability in Plupload.as in Moxiecode plupload before 1.5.5, as used in WordPress before 3.5.1 and other products, allows remote attackers to inject ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.0",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-0237"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2199",
                "title": "The HTTP API in WordPress before 3.5.2 allows remote attackers to send HTTP requests to intranet servers via unspecified vectors, related to a Server-Side Request Forgery (SSRF) is",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2199"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2200",
                "title": "WordPress before 3.5.2 does not properly check the capabilities of roles, which allows remote authenticated users to bypass intended restrictions on publishing and authorship reass",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2200"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2201",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.5.2 allow remote attackers to inject arbitrary web script or HTML via vectors involving (1) uploads of med",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2201"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2202",
                "title": "WordPress before 3.5.2 allows remote attackers to read arbitrary files via an oEmbed XML provider response containing an external entity declaration in conjunction with an entity r",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2202"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2203",
                "title": "WordPress before 3.5.2, when the uploads directory forbids write access, allows remote attackers to obtain sensitive information via an invalid upload request, which reveals the ab",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2203"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2204",
                "title": "moxieplayer.as in Moxiecode moxieplayer, as used in the TinyMCE Media plugin in WordPress before 3.5.2 and other products, does not consider the presence of a # (pound sign) charac",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2204"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2205",
                "title": "The default configuration of SWFUpload in WordPress before 3.5.2 has an unrestrictive security.allowDomain setting, which allows remote attackers to bypass the Same Origin Policy a",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.5.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-2205"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-5738",
                "title": "The get_allowed_mime_types function in wp-includes\/functions.php in WordPress before 3.6.1 does not require the unfiltered_html capability for uploads of .htm and .html files, whic",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.6",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-5738"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-0165",
                "title": "WordPress before 3.7.2 and 3.8.x before 3.8.2 allows remote authenticated users to publish posts by leveraging the Contributor role, related to wp-admin\/includes\/post.php and wp-ad",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.1",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-0165"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-0166",
                "title": "The wp_validate_auth_cookie function in wp-includes\/pluggable.php in WordPress before 3.7.2 and 3.8.x before 3.8.2 does not properly determine the validity of authentication cookie",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.1",
                "severity": "warning",
                "cvss_score": 6.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-0166"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-5204",
                "title": "wp-includes\/pluggable.php in WordPress before 3.9.2 rejects invalid CSRF nonces with a different timing depending on which characters in the nonce are incorrect, which makes it eas",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.9.1",
                "severity": "warning",
                "cvss_score": 6.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5204"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-5205",
                "title": "wp-includes\/pluggable.php in WordPress before 3.9.2 does not use delimiters during concatenation of action values and uid values in CSRF tokens, which makes it easier for remote at",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.9.1",
                "severity": "warning",
                "cvss_score": 6.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5205"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-5265",
                "title": "The Incutio XML-RPC (IXR) Library, as used in WordPress before 3.9.2 and Drupal 6.x before 6.33 and 7.x before 7.31, permits entity declarations without considering recursion durin",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.9.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5265"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-5266",
                "title": "The Incutio XML-RPC (IXR) Library, as used in WordPress before 3.9.2 and Drupal 6.x before 6.33 and 7.x before 7.31, does not limit the number of elements in an XML document, which",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.9.1",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5266"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9031",
                "title": "Cross-site scripting (XSS) vulnerability in the wptexturize function in WordPress before 3.7.5, 3.8.x before 3.8.5, and 3.9.x before 3.9.3 allows remote attackers to inject arbitra",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9031"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9034",
                "title": "wp-includes\/class-phpass.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to cause a denial of service (CPU consu",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9034"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9035",
                "title": "Cross-site scripting (XSS) vulnerability in Press This in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to inject arb",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9035"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9036",
                "title": "Cross-site scripting (XSS) vulnerability in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to inject arbitrary web scr",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9036"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9037",
                "title": "WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 might allow remote attackers to obtain access to an account idle since 2008 by leveraging an im",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 6.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9037"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9038",
                "title": "wp-includes\/http.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 allows remote attackers to conduct server-side request forgery (SSRF) a",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 6.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9038"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-9039",
                "title": "wp-login.php in WordPress before 3.7.5, 3.8.x before 3.8.5, 3.9.x before 3.9.3, and 4.x before 4.0.1 might allow remote attackers to reset passwords by leveraging access to an e-ma",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.7.4",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-9039"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-3438",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 4.1.2, when MySQL is used without strict mode, allow remote attackers to inject arbitrary web script or HTML",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.1.1",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-3438"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-3440",
                "title": "Cross-site scripting (XSS) vulnerability in wp-includes\/wp-db.php in WordPress before 4.2.1 allows remote attackers to inject arbitrary web script or HTML via a long comment that i",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-3440"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5623",
                "title": "WordPress before 4.2.3 does not properly verify the edit_posts capability, which allows remote authenticated users to bypass intended access restrictions and create drafts by lever",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.2",
                "severity": "warning",
                "cvss_score": 4,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5623"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5714",
                "title": "Cross-site scripting (XSS) vulnerability in WordPress before 4.3.1 allows remote attackers to inject arbitrary web script or HTML by leveraging the mishandling of unclosed HTML ele",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.3.0",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5714"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5715",
                "title": "The mw_editPost function in wp-includes\/class-wp-xmlrpc-server.php in the XMLRPC subsystem in WordPress before 4.3.1 allows remote authenticated users to bypass intended access res",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.3.0",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5715"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5730",
                "title": "The sanitize_widget_instance function in wp-includes\/class-wp-customize-widgets.php in WordPress before 4.2.4 does not use a constant-time comparison for widgets, which allows remo",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.3",
                "severity": "warning",
                "cvss_score": 5,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5730"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5731",
                "title": "Cross-site request forgery (CSRF) vulnerability in wp-admin\/post.php in WordPress before 4.2.4 allows remote attackers to hijack the authentication of administrators for requests t",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.3",
                "severity": "warning",
                "cvss_score": 6.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5731"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5732",
                "title": "Cross-site scripting (XSS) vulnerability in the form function in the WP_Nav_Menu_Widget class in wp-includes\/default-widgets.php in WordPress before 4.2.4 allows remote attackers t",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.3",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5732"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5733",
                "title": "Cross-site scripting (XSS) vulnerability in the refreshAdvancedAccessibilityOfItem function in wp-admin\/js\/nav-menu.js in WordPress before 4.2.4 allows remote attackers to inject a",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.3",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5733"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5734",
                "title": "Cross-site scripting (XSS) vulnerability in the legacy theme preview implementation in wp-includes\/theme.php in WordPress before 4.2.4 allows remote attackers to inject arbitrary w",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.3",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5734"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-7989",
                "title": "Cross-site scripting (XSS) vulnerability in the user list table in WordPress before 4.3.1 allows remote authenticated users to inject arbitrary web script or HTML via a crafted e-m",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.3.0",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-7989"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-8834",
                "title": "Cross-site scripting (XSS) vulnerability in wp-includes\/wp-db.php in WordPress before 4.2.2 allows remote attackers to inject arbitrary web script or HTML via a long comment that i",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-8834"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-10148",
                "title": "The wp_ajax_update_plugin function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.6 makes a get_plugin_data call before checking the update_plugins capability, which a",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.5",
                "severity": "warning",
                "cvss_score": 4.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-10148"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-1564",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in wp-includes\/class-wp-theme.php in WordPress before 4.4.1 allow remote attackers to inject arbitrary web script or HTML via a ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.4.0",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-1564"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-4566",
                "title": "Cross-site scripting (XSS) vulnerability in plupload.flash.swf in Plupload before 2.1.9, as used in WordPress before 4.5.2, allows remote attackers to inject arbitrary web script o",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-4566"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-4567",
                "title": "Cross-site scripting (XSS) vulnerability in flash\/FlashMediaElement.as in MediaElement.js before 2.21.0, as used in WordPress before 4.5.2, allows remote attackers to inject arbitr",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-4567"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5833",
                "title": "Cross-site scripting (XSS) vulnerability in the column_title function in wp-admin\/includes\/class-wp-media-list-table.php in WordPress before 4.5.3 allows remote attackers to inject",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5833"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-5834",
                "title": "Cross-site scripting (XSS) vulnerability in the wp_get_attachment_link function in wp-includes\/post-template.php in WordPress before 4.5.3 allows remote attackers to inject arbitra",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.2",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-5834"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-6634",
                "title": "Cross-site scripting (XSS) vulnerability in the network settings page in WordPress before 4.5 allows remote attackers to inject arbitrary web script or HTML via unspecified vectors",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.4.4",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-6634"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-6897",
                "title": "Cross-site request forgery (CSRF) vulnerability in the wp_ajax_update_plugin function in wp-admin\/includes\/ajax-actions.php in WordPress before 4.6 allows remote attackers to hijac",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.5.5",
                "severity": "warning",
                "cvss_score": 6.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-6897"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-7168",
                "title": "Cross-site scripting (XSS) vulnerability in the media_handle_upload function in wp-admin\/includes\/media.php in WordPress before 4.6.1 might allow remote attackers to inject arbitra",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.6",
                "severity": "warning",
                "cvss_score": 4.8,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-7168"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-7169",
                "title": "Directory traversal vulnerability in the File_Upload_Upgrader class in wp-admin\/includes\/class-file-upload-upgrader.php in the upgrade package uploader in WordPress before 4.6.1 al",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.6",
                "severity": "warning",
                "cvss_score": 6.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-7169"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-9263",
                "title": "WordPress through 4.8.2, when domain-based flashmediaelement.swf sandboxing is not used, allows remote attackers to conduct cross-domain Flash injection (XSF) attacks by leveraging",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.2",
                "severity": "warning",
                "cvss_score": 4.7,
                "technology": "WordPress",
                "advisory_id": "CVE-2016-9263"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14718",
                "title": "Before version 4.8.2, WordPress was susceptible to a Cross-Site Scripting attack in the link modal via a javascript: or data: URL.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14718"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14720",
                "title": "Before version 4.8.2, WordPress allowed a Cross-Site scripting attack in the template list view via a crafted template name.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14720"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14721",
                "title": "Before version 4.8.2, WordPress allowed Cross-Site scripting in the plugin editor via a crafted plugin name.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14721"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14724",
                "title": "Before version 4.8.2, WordPress was vulnerable to cross-site scripting in oEmbed discovery.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14724"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14725",
                "title": "Before version 4.8.2, WordPress was susceptible to an open redirect attack in wp-admin\/edit-tag-form.php and wp-admin\/user-edit.php.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14725"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-14726",
                "title": "Before version 4.8.2, WordPress was vulnerable to a cross-site scripting attack via shortcodes in the TinyMCE visual editor.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.8.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-14726"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-17092",
                "title": "wp-includes\/functions.php in WordPress before 4.9.1 does not require the unfiltered_html capability for upload of .js files, which might allow remote attackers to conduct XSS attac",
                "source": "nvd",
                "version": "2.8",
                "affected": "<4.9.1",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17092"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-17093",
                "title": "wp-includes\/general-template.php in WordPress before 4.9.1 does not properly restrict the lang attribute of an HTML element, which might allow attackers to conduct XSS attacks via ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<4.9.1",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17093"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-17094",
                "title": "wp-includes\/feed.php in WordPress before 4.9.1 does not properly restrict enclosures in RSS and Atom fields, which might allow attackers to conduct XSS attacks via a crafted URL.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<4.9.1",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-17094"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5487",
                "title": "wp-includes\/rest-api\/endpoints\/class-wp-rest-users-controller.php in the REST API implementation in WordPress 4.7 before 4.7.1 does not properly restrict listings of post authors, ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "warning",
                "cvss_score": 5.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5487"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5488",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in wp-admin\/update-core.php in WordPress before 4.7.1 allow remote attackers to inject arbitrary web script or HTML via the (1) ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5488"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5490",
                "title": "Cross-site scripting (XSS) vulnerability in the theme-name fallback functionality in wp-includes\/class-wp-theme.php in WordPress before 4.7.1 allows remote attackers to inject arbi",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5490"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5491",
                "title": "wp-mail.php in WordPress before 4.7.1 might allow remote attackers to bypass intended posting restrictions via a spoofed mail server with the mail.example.com name.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7",
                "severity": "warning",
                "cvss_score": 5.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5491"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5610",
                "title": "wp-admin\/includes\/class-wp-press-this.php in Press This in WordPress before 4.7.2 does not properly restrict visibility of a taxonomy-assignment user interface, which allows remote",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.1",
                "severity": "warning",
                "cvss_score": 5.3,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5610"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-5612",
                "title": "Cross-site scripting (XSS) vulnerability in wp-admin\/includes\/class-wp-posts-list-table.php in the posts list table in WordPress before 4.7.2 allows remote attackers to inject arbi",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.1",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-5612"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6814",
                "title": "In WordPress before 4.7.3, there is authenticated Cross-Site Scripting (XSS) via Media File Metadata",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.2",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6814"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6815",
                "title": "In WordPress before 4.7.3 (wp-includes\/pluggable.php), control characters can trick redirect URL validation.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.2",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6815"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6816",
                "title": "In WordPress before 4.7.3 (wp-admin\/plugins.php), unintended files can be deleted by administrators using the plugin deletion functionality.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.2",
                "severity": "warning",
                "cvss_score": 4.9,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6816"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6817",
                "title": "In WordPress before 4.7.3 (wp-includes\/embed.php), there is authenticated Cross-Site Scripting (XSS) in YouTube URL Embeds.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.2",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6817"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6818",
                "title": "In WordPress before 4.7.3 (wp-admin\/js\/tags-box.js), there is cross-site scripting (XSS) via taxonomy term names.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.2",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6818"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6819",
                "title": "In WordPress before 4.7.3, there is cross-site request forgery (CSRF) in Press This (wp-admin\/includes\/class-wp-press-this.php), leading to excessive use of server resources",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.2",
                "severity": "warning",
                "cvss_score": 6.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-6819"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-8295",
                "title": "WordPress through 4.7.4 relies on the Host HTTP header for a password-reset e-mail message, which makes it easier for remote attackers to reset arbitrary passwords by making a craf",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "warning",
                "cvss_score": 5.9,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-8295"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9061",
                "title": "In WordPress before 4.7.5, a cross-site scripting (XSS) vulnerability exists when attempting to upload very large files, because the error message does not properly restrict presen",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9061"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-9063",
                "title": "In WordPress before 4.7.5, a cross-site scripting (XSS) vulnerability related to the Customizer exists, involving an invalid customization session.",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.7.4",
                "severity": "warning",
                "cvss_score": 6.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2017-9063"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-2745",
                "title": "WordPress Core is vulnerable to Directory Traversal in versions up to, and including, 6.2, via the ‘wp_lang’ parameter",
                "source": "nvd",
                "version": "2.8",
                "affected": "6.2",
                "severity": "warning",
                "cvss_score": 5.4,
                "technology": "WordPress",
                "advisory_id": "CVE-2023-2745"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2009-3891",
                "title": "Cross-site scripting (XSS) vulnerability in wp-admin\/press-this.php in WordPress before 2.8.6 allows remote authenticated users to inject arbitrary web script or HTML via the s par",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=2.8.5",
                "severity": "info",
                "cvss_score": 3.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2009-3891"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2010-5297",
                "title": "WordPress before 3.0.1, when a Multisite installation is used, permanently retains the \"site administrators can add users\" option once changed, which might allow remote authenticat",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0",
                "severity": "info",
                "cvss_score": 2.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2010-5297"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2011-0700",
                "title": "Multiple cross-site scripting (XSS) vulnerabilities in WordPress before 3.0.5 allow remote authenticated users to inject arbitrary web script or HTML via vectors related to (1) the",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.0.4",
                "severity": "info",
                "cvss_score": 3.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2011-0700"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2012-4422",
                "title": "wp-admin\/plugins.php in WordPress before 3.4.2, when the multisite feature is enabled, does not check for network-administrator privileges before performing a network-wide activati",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.4.1",
                "severity": "info",
                "cvss_score": 3.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2012-4422"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-4340",
                "title": "wp-admin\/includes\/post.php in WordPress before 3.6.1 allows remote authenticated users to spoof the authorship of a post by leveraging the Author role and providing a modified user",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.6",
                "severity": "info",
                "cvss_score": 3.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-4340"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-5739",
                "title": "The default configuration of WordPress before 3.6.1 does not prevent uploads of .swf and .exe files, which might make it easier for remote authenticated users to conduct cross-site",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.6",
                "severity": "info",
                "cvss_score": 3.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2013-5739"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2014-5240",
                "title": "Cross-site scripting (XSS) vulnerability in wp-includes\/pluggable.php in WordPress before 3.9.2, when Multisite is enabled, allows remote authenticated administrators to inject arb",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=3.9.1",
                "severity": "info",
                "cvss_score": 2.1,
                "technology": "WordPress",
                "advisory_id": "CVE-2014-5240"
            },
            {
                "kev": false,
                "url": "https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-5622",
                "title": "Cross-site scripting (XSS) vulnerability in WordPress before 4.2.3 allows remote authenticated users to inject arbitrary web script or HTML by leveraging the Author or Contributor ",
                "source": "nvd",
                "version": "2.8",
                "affected": "<=4.2.2",
                "severity": "info",
                "cvss_score": 3.5,
                "technology": "WordPress",
                "advisory_id": "CVE-2015-5622"
            }
        ],
        "version_policy_matches": [],
        "versioned_technologies": [
            {
                "name": "WordPress",
                "version": "2.8",
                "category": "cms",
                "evidence": [
                    "Meta generator: WordPress 2.8",
                    "Signal: wp-content\/"
                ],
                "confidence": "high"
            }
        ],
        "advisory_source_configured": true,
        "version_policy_source_configured": true
    },
    "ai_governance_readiness": {
        "status": "Governance vorbereiten",
        "signals": [
            {
                "id": "ai_chat_assistant_vendor",
                "label": "AI-\/Chat-\/Assistenz-Anbieter prüfen",
                "owner": "Vendor Owner\/Legal",
                "action": "Anbieterrolle, Zweck, Eingabedaten, Auftragsverarbeitung, Trainings-\/Opt-out-Regeln und Transfergrundlage dokumentieren.",
                "detected": false,
                "evidence": "Keine klaren AI-\/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "risk_level": "niedrig",
                "risk_score": 42
            },
            {
                "id": "automated_decisioning_notice",
                "label": "Automatisierte Entscheidungen, Profiling oder Scoring transparent machen",
                "owner": "Datenschutz\/Product",
                "action": "Prüfen, ob Art. 13\/14\/22-Informationen, Logik, Tragweite, Rechtsgrundlage und Widerspruchs-\/Eingriffsmöglichkeiten beschrieben werden müssen.",
                "detected": true,
                "evidence": "Begriffe in Datenschutzhinweis\/RoPA-Evidenz: ai, ki",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "mittel",
                "risk_score": 64
            },
            {
                "id": "personal_data_ai_input",
                "label": "Personenbezogene Formular- oder Supportdaten vor AI-Nutzung schützen",
                "owner": "Product\/Support\/Datenschutz",
                "action": "Vor AI-Analyse von Kontakt-, Support- oder Bewerbungsdaten Datenminimierung, Maskierung, Rechtsgrundlage, Löschfrist und Human Review festlegen.",
                "detected": true,
                "evidence": "Formular-\/Use-Case-Signale: formular, kontakt",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "mittel",
                "risk_score": 60
            },
            {
                "id": "high_risk_ai_flow",
                "label": "AI-Bezug in risikoreichen Datenflüssen ausschließen oder kontrollieren",
                "owner": "Datenschutz\/IT",
                "action": "Für AI-nahe Datenflüsse DPIA-\/DSFA-Screening, Empfänger, Drittlandtransfer, TOMs und Betroffenenrisiko verbinden.",
                "detected": true,
                "evidence": "Data Map: 3 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 2.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_level": "mittel",
                "risk_score": 69
            }
        ],
        "summary": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
        "available": true,
        "disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleitete AI-Governance-Prüfung. Sichtbare Chat-, Anbieter- oder Textsignale beweisen keine konkrete KI-Nutzung; Betreiber müssen interne Use-Cases und Entscheidungswirkung bestätigen.",
        "signal_count": 4,
        "readiness_score": 24,
        "priority_actions": [
            "AI-\/Chat-\/Profiling-Use-Cases als Inventar mit Zweck, Datenarten, Anbieter, Rechtsgrundlage, Owner und Löschfrist anlegen.",
            "Datenschutzerklärung, Consent-Regeln und Vendor-Akten gegen reale AI-Nutzung abgleichen.",
            "Human Review, Eskalationsweg, Logging und DPIA-\/DSFA-Screening für relevante Entscheidungen dokumentieren."
        ],
        "control_checklist": [
            {
                "id": "ai_use_case_inventory",
                "label": "AI-\/Automated-Decisioning-Use-Cases inventarisieren",
                "owner": "Datenschutz\/Product",
                "action": "Use-Case, Zweck, Datenkategorien, Anbieter, Modell\/Tool, Owner, Rechtsgrundlage und Löschfrist je Einsatz dokumentieren.",
                "status": "offen",
                "evidence": "3 erkannte Prüf-Signal(e).",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
            },
            {
                "id": "ai_transparency_notice",
                "label": "Transparenz zu AI, Profiling und automatisierten Entscheidungen prüfen",
                "owner": "Datenschutz\/Content",
                "action": "Datenschutzerklärung um AI-Zwecke, Empfänger, Logik, Tragweite, Rechte und Kontaktweg ergänzen, sofern einschlägig.",
                "status": "offen",
                "evidence": "Begriffe in Datenschutzhinweis\/RoPA-Evidenz: ai, ki",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern"
            },
            {
                "id": "ai_vendor_contracts",
                "label": "AI-\/Chat-Anbieter vertraglich und technisch absichern",
                "owner": "Legal\/Vendor Owner",
                "action": "AVV\/DPA, TOMs, Unterauftragsverarbeiter, Trainingsnutzung, Opt-out, Region, SCC\/TIA und Löschfristen prüfen.",
                "status": "prüfen",
                "evidence": "Keine klaren AI-\/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.",
                "priority": "mittel",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren"
            },
            {
                "id": "human_review_and_redress",
                "label": "Menschliche Prüfung und Beschwerdeweg festlegen",
                "owner": "Product\/Support\/Legal",
                "action": "Human-in-the-loop, Eskalation, Fehlerkorrektur, Widerspruch und Logging für relevante Entscheidungen operationalisieren.",
                "status": "offen",
                "evidence": "Automatisierte Entscheidungen sind aus öffentlichen Signalen nicht abschließend beweisbar; Betreiber muss reale Entscheidungswirkung bestätigen.",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
            },
            {
                "id": "ai_dpia_link",
                "label": "DPIA-\/DSFA-Bezug und AI-Risiken verbinden",
                "owner": "Datenschutz\/IT",
                "action": "AI-nahe Use-Cases mit DPIA-Screening, Data Map, Vendor Due Diligence und Schutzmaßnahmen verknüpfen.",
                "status": "offen",
                "evidence": "Data Map: 3 hohes Risiko, 0 Transfer-Kante(n), DPIA-Trigger 2.",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog"
            }
        ],
        "open_control_count": 5,
        "use_case_inventory": [
            {
                "name": "Support-Chat, Chatbot oder Website-Assistent",
                "owner": "Support\/Product",
                "status": "nicht eindeutig erkannt",
                "evidence": "Keine klaren AI-\/Chat-Anbieterbegriffe in sichtbarer Drittanbieter-Evidenz erkannt.",
                "data_inputs": "Chat-\/Kontaktinhalte, IP-\/Geräteinformationen, Nutzungsdaten",
                "use_case_id": "support_chat_or_assistant",
                "human_review": "Fallback zu menschlichem Support und Eskalationskriterien dokumentieren",
                "decision_impact": "mittel, wenn Antworten oder Weiterleitungen Nutzerverhalten beeinflussen",
                "legal_basis_hint": "Einwilligung oder berechtigtes Interesse je Zweck; AVV\/DPA und Transfer prüfen",
                "transparency_requirement": "Bot-\/AI-Einsatz, Anbieter, Zwecke, Speicherfristen und Rechte erklären"
            },
            {
                "name": "Personalisierung, Segmentierung oder Lead Scoring",
                "owner": "Marketing\/Datenschutz",
                "status": "nicht eindeutig erkannt",
                "evidence": "Begriffe in Datenschutzhinweis\/RoPA-Evidenz: ai, ki",
                "data_inputs": "Tracking-, Kampagnen-, Formular- und CRM-Signale",
                "use_case_id": "marketing_personalization_scoring",
                "human_review": "Manuelle Kontrolle bei relevanten Entscheidungen festlegen",
                "decision_impact": "mittel bis hoch bei Segmentierung, Ausschluss oder Preis-\/Angebotslogik",
                "legal_basis_hint": "Consent-Regeln und Art. 22-Relevanz prüfen",
                "transparency_requirement": "Profiling\/Scoring verständlich mit Zwecken, Logik und Folgen beschreiben"
            },
            {
                "name": "Interne AI-Auswertung von Website-Anfragen",
                "owner": "Fachbereich\/Datenschutz",
                "status": "prüfen",
                "evidence": "Formular-\/Use-Case-Signale: formular, kontakt",
                "data_inputs": "Kontakt-, Bewerbungs-, Newsletter- oder Supportdaten",
                "use_case_id": "internal_ai_review",
                "human_review": "Keine alleinige Entscheidung ohne dokumentierte Prüfung zulassen",
                "decision_impact": "abhängig von Weiterverarbeitung; intern nicht öffentlich vollständig erkennbar",
                "legal_basis_hint": "Zweckbindung, Datenminimierung und Löschfrist je Verarbeitungstätigkeit dokumentieren",
                "transparency_requirement": "Interne AI-Nutzung im Datenschutzhinweis aufnehmen, wenn personenbezogene Daten betroffen sind"
            }
        ],
        "assessment_questions": [
            {
                "id": "ai_actual_use",
                "why": "Öffentliche Signale können nur Tools und Hinweise erkennen, nicht jede interne AI-Nutzung.",
                "owner": "Product\/Fachbereich",
                "priority": "hoch",
                "question": "Werden Website-Anfragen, Chats, Bewerbungen, Leads oder Nutzungsdaten durch KI-Tools analysiert oder zusammengefasst?",
                "expected_evidence": "Use-Case-Liste mit Tool, Datenarten, Zweck, Owner und Speicher-\/Trainingsregeln."
            },
            {
                "id": "ai_decision_impact",
                "why": "Automatisierte Entscheidungen und Profiling erfordern besondere Transparenz und Schutzmaßnahmen.",
                "owner": "Legal\/Datenschutz",
                "priority": "hoch",
                "question": "Hat eine automatisierte Bewertung rechtliche, wirtschaftliche oder ähnlich erhebliche Wirkung für Nutzer?",
                "expected_evidence": "Entscheidungslogik, Human-Review-Regel, Widerspruchsweg und Art.-22-Prüfung."
            },
            {
                "id": "ai_vendor_training",
                "why": "AI-\/Chat-Anbieter benötigen klare Zweckbindung, Löschung, TOMs und Transferbewertung.",
                "owner": "Vendor Owner\/Legal",
                "priority": "mittel",
                "question": "Dürfen Anbieter Eingaben oder personenbezogene Daten für Training, Produktverbesserung oder eigene Zwecke verwenden?",
                "expected_evidence": "AVV\/DPA, TOMs, Subprocessor-Liste, Opt-out\/No-Training-Nachweis, Region und SCC\/TIA."
            }
        ],
        "detected_signal_count": 3,
        "high_risk_signal_count": 0
    },
    "dsar_workflow_readiness": {
        "rows": [
            {
                "id": "public_intake",
                "label": "Öffentlicher Anfrageweg und Intake-Felder",
                "owner": "Support\/Datenschutz",
                "action": "DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "identity_verification",
                "label": "Risikobasierte Identitätsprüfung",
                "owner": "Support\/Legal",
                "action": "E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.",
                "passed": false,
                "status": "prüfen",
                "weight": 10,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            },
            {
                "id": "deadline_management",
                "label": "Fristen und Eskalationen steuerbar",
                "owner": "Datenschutz\/Programm-Owner",
                "action": "DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Regulatory-Watch 58\/100, Rights-Lücken 4.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "data_discovery_scope",
                "label": "Datenquellen aus RoPA\/Data Map ableitbar",
                "owner": "Datenschutz\/IT",
                "action": "Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA\/Data Map ableiten.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "2 Verarbeitungstätigkeiten, 10 Data-Map-Knoten, 9 Kanten.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "vendor_tasking",
                "label": "Vendor-\/Processor-Aufgaben ableitbar",
                "owner": "Vendor Owner\/Legal",
                "action": "Processor-Fristen, Auskunfts-\/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "0 Anbieter, 0 AVV-\/DPA-Prüfungen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "preference_optout_link",
                "label": "Widerspruch\/Opt-out mit Präferenzen verknüpft",
                "owner": "Marketing\/Datenschutz",
                "action": "Widerspruch, Newsletter-Abmeldung, Profiling-\/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.",
                "passed": false,
                "status": "fehlt",
                "weight": 8,
                "evidence": "Preference-Center-Readiness 48\/100; 4\/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "redaction_exemptions",
                "label": "Redaction, Drittpersonen und Ausnahmen prüfbar",
                "owner": "Legal\/Datenschutz",
                "action": "Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.",
                "passed": false,
                "status": "prüfen",
                "weight": 10,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            },
            {
                "id": "secure_delivery",
                "label": "Sichere Zustellung und Antwortpaket",
                "owner": "IT\/Support",
                "action": "Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.",
                "passed": false,
                "status": "prüfen",
                "weight": 10,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            },
            {
                "id": "audit_trail",
                "label": "Audit-Trail und Integritätsnachweis",
                "owner": "Compliance\/IT",
                "action": "Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "workflow_metrics",
                "label": "Workflow-Kennzahlen und Backlog steuerbar",
                "owner": "Programm-Owner",
                "action": "Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.",
                "passed": true,
                "status": "vorhanden",
                "weight": 6,
                "evidence": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            }
        ],
        "score": 40,
        "status": "DSAR-Workflow aufbauen",
        "summary": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
        "available": true,
        "gap_count": 6,
        "disclaimer": "Automatisch aus SaferPage-Website-Evidenz abgeleiteter DSAR-Workflow-Entwurf. Er ersetzt kein echtes Betroffenenrechte-Portal, keine Identitätsprüfung und keine rechtliche Einzelfallentscheidung.",
        "check_count": 10,
        "passed_count": 4,
        "request_types": [
            {
                "id": "access",
                "label": "Auskunft",
                "owner": "Datenschutz\/IT",
                "deadline": "1 Monat",
                "evidence": "Suchprotokoll, Export, Redaction-Log, Antwortnachweis.",
                "fulfillment": "Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen.",
                "intake_fields": "Identität, Suchumfang, relevante Dienste, Antwortkanal"
            },
            {
                "id": "erasure",
                "label": "Löschung",
                "owner": "Fachbereich\/IT\/Vendor Owner",
                "deadline": "1 Monat",
                "evidence": "Löschprotokoll, Sperrvermerk, Ausnahmenbegründung.",
                "fulfillment": "Löschfähigkeit je System prüfen, Aufbewahrung\/Legal Hold ausnehmen, Vendor-Aufgaben auslösen.",
                "intake_fields": "Betroffene Dienste, Konto\/E-Mail, Rechtsgrund der Löschung"
            },
            {
                "id": "rectification",
                "label": "Berichtigung",
                "owner": "Support\/Fachbereich",
                "deadline": "1 Monat",
                "evidence": "Änderungsprotokoll und Bestätigung.",
                "fulfillment": "System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen.",
                "intake_fields": "Korrekturwert, Nachweis, betroffene Systeme"
            },
            {
                "id": "objection_optout",
                "label": "Widerspruch \/ Opt-out",
                "owner": "Marketing\/Datenschutz",
                "deadline": "1 Monat",
                "evidence": "Preference-Log, Suppression-List, Consent-State-Test.",
                "fulfillment": "Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren.",
                "intake_fields": "Zweck, Kanal, Profiling\/Marketing\/Tracking-Bezug"
            },
            {
                "id": "portability",
                "label": "Datenübertragbarkeit",
                "owner": "Datenschutz\/IT",
                "deadline": "1 Monat",
                "evidence": "Exportdatei, Formatbeschreibung, Zustellnachweis.",
                "fulfillment": "Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen.",
                "intake_fields": "Datenbereich, Ziel, Format"
            }
        ],
        "workflow_steps": [
            {
                "id": "intake",
                "owner": "Support\/Datenschutz",
                "phase": "Intake",
                "action": "Anfrage klassifizieren, Frist starten, Eingangsbestätigung senden.",
                "timebox": "Tag 0-1",
                "evidence": "DSAR-Ticket, Zeitstempel, Anfragetyp."
            },
            {
                "id": "verify",
                "owner": "Support\/Legal",
                "phase": "Identität & Umfang",
                "action": "Identität risikobasiert prüfen, Umfang klären, missbräuchliche oder unklare Anfragen eskalieren.",
                "timebox": "Tag 1-7",
                "evidence": "Verifikationsnachweis, Klärungsfragen, Entscheidung."
            },
            {
                "id": "discover",
                "owner": "IT\/Fachbereiche\/Vendor Owner",
                "phase": "Data Discovery",
                "action": "RoPA\/Data Map\/Vendor-Akten durchsuchen und System-Owner-Aufgaben starten.",
                "timebox": "Tag 3-14",
                "evidence": "Suchliste, Systemantworten, Vendor-Rückmeldungen."
            },
            {
                "id": "review",
                "owner": "Legal\/Datenschutz",
                "phase": "Review & Redaction",
                "action": "Ausnahmen, Drittpersonendaten, Legal Hold und Antwortumfang prüfen.",
                "timebox": "Tag 10-24",
                "evidence": "Redaction-Log, Teilablehnung, Rechtsgrund."
            },
            {
                "id": "respond",
                "owner": "Datenschutz\/Support",
                "phase": "Sichere Antwort",
                "action": "Antwortpaket sicher zustellen, Ticket schließen und Kennzahlen aktualisieren.",
                "timebox": "bis Tag 30",
                "evidence": "Zustellnachweis, Antwortkopie, Abschlussnotiz."
            }
        ],
        "priority_actions": [
            "DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.",
            "E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.",
            "Processor-Fristen, Auskunfts-\/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.",
            "Widerspruch, Newsletter-Abmeldung, Profiling-\/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.",
            "Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen."
        ],
        "source_artifacts": [
            "privacy_rights_readiness",
            "processing_activity_record",
            "data_flow_map",
            "vendor_due_diligence",
            "preference_center_readiness",
            "audit_receipt"
        ],
        "request_type_count": 5,
        "response_templates": [
            {
                "id": "receipt",
                "when": "direkt nach Intake",
                "title": "Eingangsbestätigung",
                "content": "Anfragetyp, Friststart, Identitätsprüfung, Rückfragenkanal und erwartete nächste Schritte nennen."
            },
            {
                "id": "clarification",
                "when": "bei unklarer Anfrage",
                "title": "Klärungs-\/Identitätsnachfrage",
                "content": "Nur notwendige Zusatzangaben abfragen und Frist-\/Bearbeitungsstatus erklären."
            },
            {
                "id": "extension",
                "when": "bei komplexer Anfrage",
                "title": "Fristverlängerung",
                "content": "Grund, neue Zielzeit, Umfang und bisherige Schritte dokumentieren."
            },
            {
                "id": "completion",
                "when": "bei Erfüllung\/Teilablehnung",
                "title": "Abschlussantwort",
                "content": "Ergebnis, Datenquellen, Ausnahmen, Beschwerderechte und Kontaktweg nennen."
            }
        ],
        "workflow_step_count": 5,
        "evidence_requirements": [
            {
                "id": "request_log",
                "label": "Request-Log",
                "owner": "Compliance",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Ticket-ID, Eingang, Frist, Anfragetyp, Identitätsstatus, Owner, Status, Abschluss."
            },
            {
                "id": "search_manifest",
                "label": "Suchmanifest",
                "owner": "IT\/Datenschutz",
                "status": "aus RoPA\/Data Map ableitbar",
                "expected_evidence": "Systeme, Datenkategorien, Suchparameter, negative Suchergebnisse, Vendor-Antworten."
            },
            {
                "id": "response_package",
                "label": "Antwortpaket",
                "owner": "Datenschutz\/Legal",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Deckblatt, Datenexport, Redaction-Log, Ausnahmenbegründung, Zustellnachweis."
            }
        ],
        "evidence_requirement_count": 3
    },
    "google_consent_analysis": {
        "color": "green",
        "score": 100,
        "status": "unauffällig",
        "summary": "Kein Google-Tag, keine Google-Domain und keine Google-Tracking-ID im passiven Check erkannt; Consent Mode ist aus dieser Evidenz nicht erforderlich.",
        "findings": [],
        "denied_keys": [],
        "granted_keys": [],
        "google_id_count": 0,
        "google_tag_present": false,
        "google_domain_count": 0,
        "consent_update_found": false,
        "consent_default_found": false,
        "visible_consent_context": false,
        "strong_google_tag_source": false,
        "google_tracking_script_count": 0
    },
    "infrastructure_analysis": {
        "signals": {
            "caa": false,
            "dnssec": false,
            "final_https": true,
            "tls_version": "TLSv1.3",
            "hsts_enabled": false,
            "address_count": 1,
            "ipv6_available": false,
            "email_protection": {
                "mx": true,
                "spf": true,
                "dmarc": true
            },
            "certificate_valid": true,
            "certificate_issuer": "E7",
            "certificate_alt_names": [
                "*.gmturnier-berlin.de",
                "gmturnier-berlin.de"
            ],
            "multiple_ip_addresses": false,
            "certificate_expires_at": "Aug  8 02:01:45 2026 GMT",
            "certificate_days_remaining": 57,
            "certificate_hostname_matches": true
        },
        "findings": [
            {
                "id": "caa_missing",
                "title": "CAA-Record fehlt",
                "public": true,
                "category": "dns",
                "severity": "info",
                "recommendation": "Optional CAA setzen, um erlaubte Zertifikatsaussteller festzulegen."
            }
        ],
        "risk_level": "low",
        "positive_signals": [
            "Moderne TLS-Version aktiv: TLSv1.3.",
            "DMARC ist für die Domain vorhanden."
        ]
    },
    "monitoring_alert_digest": {
        "rows": [],
        "status": "start_warnung",
        "summary": "Monitoring-Alert: start_warnung. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta n\/a.",
        "available": true,
        "row_count": 0,
        "disclaimer": "Alert-Digest ist ein technischer Monitoring-Hinweis; Versandkanäle müssen Betreiber selbst anbinden.",
        "score_delta": null,
        "team_counts": [],
        "current_score": 0,
        "previous_score": null,
        "new_signal_count": 0,
        "high_priority_count": 0,
        "recommended_channels": [
            "E-Mail an Betreiber",
            "Slack\/Teams an Website-Team",
            "Report-Link",
            "ZIP-Nachweispaket"
        ],
        "resolved_signal_count": 0,
        "recommended_recipients": [
            "Website-Betrieb"
        ],
        "next_check_recommendation": "Nächsten SaferPage-Scan in 7 Tage durchführen."
    },
    "notice_policy_lifecycle": {
        "rows": [
            {
                "id": "notice_inventory",
                "label": "Datenschutzhinweis als verwaltetes Artefakt",
                "owner": "Datenschutz\/Content",
                "action": "Datenschutzhinweis als versioniertes Artefakt mit Owner, Gültigkeit, Sprache, Markt und Veröffentlichungsort pflegen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "active_version_history",
                "label": "Aktive Version und Historie nachvollziehbar",
                "owner": "Compliance\/IT",
                "action": "Aktive Notice-Version, Vorversionen, Änderungsgrund, Freigabe und Hash-\/Exportnachweis versionieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "disclosure_sync",
                "label": "Notice passt zu Cookies, Skripten und Drittanbietern",
                "owner": "Datenschutz\/Marketing\/IT",
                "action": "Beobachtete Cookies, Anbieter, Zwecke, Datenarten und Transfers regelmäßig mit der Notice synchronisieren.",
                "passed": false,
                "status": "fehlt",
                "weight": 14,
                "evidence": "Disclosure-Abgleich: 0 beobachtete Anbieter, 0 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "cookie_vendor_sections",
                "label": "Cookie- und Vendor-Abschnitte publizierbar",
                "owner": "Datenschutz\/Content",
                "action": "Cookie-Liste, Anbieterregister, Empfänger, Zweck, Laufzeit, Rechtsgrundlage und Transferhinweis in Notice\/TrustHub übernehmen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "0 Cookie-\/Storage-Zeile(n), 0 Anbieter\/Processor.",
                "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
                "manual_review": false
            },
            {
                "id": "legal_basis_mapping",
                "label": "Rechtsgrundlagen und Zwecke je Abschnitt verknüpft",
                "owner": "Datenschutz\/Legal",
                "action": "Notice-Abschnitte mit Zweck, Rechtsgrundlage, Datenkategorie, Empfänger, Speicherfrist und Betroffenenrechten mappen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "3 Rechtsgrundlagenzeile(n), 2 Datenart(en).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "regulatory_update_trigger",
                "label": "Regulatory-Update-Trigger für Notice-Änderungen",
                "owner": "Datenschutz\/Legal",
                "action": "EDPB\/DSK\/BfDI\/Landesbehörden, TTDSG\/TDDDG, BFSG und relevante Gesetze als Notice-Update-Trigger pflegen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "change_monitoring",
                "label": "Website-Änderungen lösen Notice-Review aus",
                "owner": "Datenschutz\/IT",
                "action": "Neue Tags, Cookies, Anbieter, Formulare, AI-\/Profiling-Signale und Unterseiten als Notice-Review routen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Alerts 0, Change-Signale 0.",
                "guide_url": "\/monitoring",
                "manual_review": false
            },
            {
                "id": "approval_workflow",
                "label": "Freigabe-Workflow für Legal, Datenschutz und Content",
                "owner": "Datenschutz\/Legal\/Content",
                "action": "Draft, Review, Legal-Freigabe, Veröffentlichung und Nachkontrolle als Workflow mit SLA und Abnahmekriterium führen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "plain_language_quality",
                "label": "Lesbarkeit und Endnutzer-Verständlichkeit",
                "owner": "Content\/Datenschutz",
                "action": "Notice in verständlicher Sprache, klaren Abschnitten, Kontaktweg, Rechte-Erklärung und kurzem Summary prüfen.",
                "passed": false,
                "status": "fehlt",
                "weight": 8,
                "evidence": "Privacy-Audit-Score n\/a, Qualitätsflags 0.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "multi_market_language",
                "label": "Mehrsprachigkeit und Markt-\/Region-Abdeckung",
                "owner": "Datenschutz\/Legal",
                "action": "DE\/EU\/UK\/US-Marktabdeckung, Sprachvarianten, lokale Pflichtabschnitte und regionale Notice-Versionen pflegen.",
                "passed": false,
                "status": "prüfen",
                "weight": 6,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            }
        ],
        "score": 53,
        "status": "Notice Lifecycle aufbauen",
        "summary": "Policy-\/Notice-Lifecycle-Readiness 53\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 5,
        "disclaimer": "Automatisch aus SaferPage-Artefakten abgeleiteter Policy-\/Notice-Lifecycle. Er ersetzt keine rechtliche Freigabe, kein vollständiges Redaktionssystem und keine regionalspezifische Rechtsberatung.",
        "check_count": 10,
        "section_map": [
            {
                "id": "controller_contact",
                "source": "compliance_analysis",
                "status": "prüfen",
                "section": "Verantwortlicher und Kontakt",
                "required_content": "Name, Anschrift, Kontakt, DSB\/Datenschutzkontakt, Beschwerderecht."
            },
            {
                "id": "purposes_legal_basis",
                "source": "legal_basis_matrix",
                "status": "vorbereitet",
                "section": "Zwecke und Rechtsgrundlagen",
                "required_content": "Zweck, Rechtsgrundlage, Datenkategorie, Pflichtfeldstatus, Speicherfrist."
            },
            {
                "id": "cookies_vendors",
                "source": "cookie_declaration_document, vendor_processor_register",
                "status": "aufbauen",
                "section": "Cookies, Anbieter und Empfänger",
                "required_content": "Cookie\/Anbieter, Zweck, Laufzeit, Empfänger, Transfer, Consent-Erfordernis."
            },
            {
                "id": "rights_retention",
                "source": "privacy_rights_readiness, retention_deletion_readiness",
                "status": "prüfen",
                "section": "Betroffenenrechte und Löschung",
                "required_content": "Auskunft, Löschung, Widerspruch, Widerruf, Speicherfristen, Kontaktweg."
            }
        ],
        "passed_count": 5,
        "section_count": 4,
        "version_count": 4,
        "notice_versions": [
            {
                "id": "active",
                "label": "Aktive Notice-Version",
                "owner": "Datenschutz\/Content",
                "source": "privacy_notice_draft",
                "status": "vorbereitet",
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s)."
            },
            {
                "id": "cookie_vendor_update",
                "label": "Cookie-\/Vendor-Update",
                "owner": "Marketing\/IT\/Datenschutz",
                "source": "cookie_declaration_document, vendor_processor_register",
                "status": "synchron",
                "evidence": "Cookies 0, Anbieter 0, Disclosure-Lücken 0."
            },
            {
                "id": "regulatory_update",
                "label": "Regulatory Update",
                "owner": "Datenschutz\/Legal",
                "source": "regulatory_watch_readiness",
                "status": "monitoring",
                "evidence": "8 Watch-Pflicht(en)."
            },
            {
                "id": "change_review",
                "label": "Website Change Review",
                "owner": "Datenschutz\/IT",
                "source": "monitoring_alert_digest, change_log",
                "status": "ruhig",
                "evidence": "Alerts 0, Change-Signale 0."
            }
        ],
        "priority_actions": [
            "Beobachtete Cookies, Anbieter, Zwecke, Datenarten und Transfers regelmäßig mit der Notice synchronisieren.",
            "Cookie-Liste, Anbieterregister, Empfänger, Zweck, Laufzeit, Rechtsgrundlage und Transferhinweis in Notice\/TrustHub übernehmen.",
            "Neue Tags, Cookies, Anbieter, Formulare, AI-\/Profiling-Signale und Unterseiten als Notice-Review routen.",
            "Notice in verständlicher Sprache, klaren Abschnitten, Kontaktweg, Rechte-Erklärung und kurzem Summary prüfen.",
            "DE\/EU\/UK\/US-Marktabdeckung, Sprachvarianten, lokale Pflichtabschnitte und regionale Notice-Versionen pflegen."
        ],
        "source_artifacts": [
            "privacy_notice_draft",
            "privacy_disclosure_gap_analysis",
            "cookie_declaration_document",
            "vendor_processor_register",
            "legal_basis_matrix",
            "regulatory_watch_readiness",
            "monitoring_alert_digest",
            "change_log",
            "audit_receipt"
        ],
        "disclosure_gap_count": 0,
        "publication_checklist": [
            {
                "id": "owner_version",
                "label": "Owner, Version, Gültigkeit und Änderungsgrund setzen",
                "owner": "Datenschutz\/Content",
                "status": "vorbereitet",
                "evidence": "Audit Receipt \/ Hash-Manifest."
            },
            {
                "id": "tech_sync",
                "label": "Cookies, Anbieter, Datenarten und Rechtsgrundlagen synchronisieren",
                "owner": "Datenschutz\/IT",
                "status": "ok",
                "evidence": "Disclosure-Lücken 0."
            },
            {
                "id": "legal_review",
                "label": "Legal-\/DSB-Freigabe dokumentieren",
                "owner": "Legal\/DSB",
                "status": "Betreiber-Nachweis",
                "evidence": "Freigabeprotokoll, offene Ausnahmen, Review-Datum."
            },
            {
                "id": "publish_verify",
                "label": "Veröffentlichung und Linkprüfung nachweisen",
                "owner": "Content\/IT",
                "status": "prüfen",
                "evidence": "Öffentliche URL, Footer-Link, Sitemap, Wiederholungsscan."
            }
        ]
    },
    "operator_guide_playbook": {
        "rows": [
            {
                "id": "guide_sichtbare-versionen-und-cves-beheben",
                "area": "Vulnerability Hygiene",
                "slug": "sichtbare-versionen-und-cves-beheben",
                "owner": "IT\/Security",
                "teams": [
                    "Developer\/Ops"
                ],
                "title": "Sichtbare Versionen Und Cves Beheben",
                "effort": "mittel",
                "owners": [
                    "Technik"
                ],
                "retest": "Generator-, Header- und Bibliothekssignale erneut prüfen.",
                "status": "sofort",
                "guide_url": "\/guides\/sichtbare-versionen-und-cves-beheben",
                "task_count": 1,
                "ticket_count": 1,
                "finding_count": 141,
                "affected_count": 143,
                "critical_count": 141,
                "priority_score": 100,
                "sample_findings": [
                    {
                        "id": "known_vulnerability_advisory",
                        "title": "CVE-2009-2762: wp-login.php in WordPress 2.8.3 and earlier allows remote attackers to force a password reset for the first user in the database, possibly the administrator, via a key[] array vari",
                        "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                        "source": "finding"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "title": "CVE-2009-2853: Wordpress before 2.8.3 allows remote attackers to gain privileges via a direct request to (1) admin-footer.php, (2) edit-category-form.php, (3) edit-form-advanced.php, (4) edit-for",
                        "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                        "source": "finding"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "title": "CVE-2011-4899: wp-admin\/setup-config.php in the installation component in WordPress 3.3.1 and earlier does not ensure that the specified MySQL database service is appropriate, which allows remote",
                        "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                        "source": "finding"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "title": "CVE-2012-2399: Cross-site scripting (XSS) vulnerability in swfupload.swf in SWFupload 2.2.0.1 and earlier, as used in WordPress before 3.5.2, TinyMCE Image Manager 1.1 and earlier, and other prod",
                        "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                        "source": "finding"
                    },
                    {
                        "id": "known_vulnerability_advisory",
                        "title": "CVE-2012-2400: Unspecified vulnerability in wp-includes\/js\/swfobject.js in WordPress before 3.3.2 has unknown impact and attack vectors.",
                        "detail": "Pruefe die betroffene Version gegen Herstellerhinweise und aktualisiere auf eine nicht betroffene Version.",
                        "source": "finding"
                    }
                ],
                "evidence_required": "Patchstand, Herstellerhinweis, CVE-Bewertung, Backport-Nachweis.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Aufgabe ist mit Owner, Umsetzungsnachweis und Re-Scan geschlossen."
                ]
            },
            {
                "id": "guide_formulare-datenschutzkonform-absichern",
                "area": "Formulare",
                "slug": "formulare-datenschutzkonform-absichern",
                "owner": "Webentwicklung\/Datenschutz",
                "teams": [
                    "Developer\/Ops"
                ],
                "title": "Formulare Datenschutzkonform Absichern",
                "effort": "mittel",
                "owners": [
                    "Website-Betrieb"
                ],
                "retest": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.",
                "status": "sofort",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "task_count": 1,
                "ticket_count": 1,
                "finding_count": 2,
                "affected_count": 5,
                "critical_count": 2,
                "priority_score": 100,
                "sample_findings": [
                    {
                        "id": "data_entry_privacy_context_missing",
                        "title": "Dateneingabe ohne klaren Datenschutzkontext",
                        "detail": "Vor Eingabe prüfen, welche Daten erhoben werden, wofür sie genutzt werden und wo die Datenschutzhinweise stehen.",
                        "source": "finding"
                    },
                    {
                        "id": "sampled_form_privacy_context_missing",
                        "title": "Formular-Unterseite ohne klaren Datenschutzkontext",
                        "detail": "Formularseiten sollten Datenschutzhinweise und Betreiberkontext direkt erreichbar machen.",
                        "source": "finding"
                    },
                    {
                        "id": "module:forms_payments",
                        "title": "Formulare, Login & Zahlung",
                        "detail": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                        "source": "task"
                    },
                    {
                        "id": "SP-006",
                        "title": "Formulare, Login & Zahlung",
                        "detail": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                        "source": "ticket"
                    },
                    {
                        "id": "forms_payments",
                        "title": "Formulare, Login & Zahlung",
                        "detail": "Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.",
                        "source": "module"
                    }
                ],
                "evidence_required": "Formularzweck, Rechtsgrundlage, Datensparsamkeit, Log-\/Tracking-Prüfung.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Aufgabe ist mit Owner, Umsetzungsnachweis und Re-Scan geschlossen.",
                    "Drittanbieter ist dokumentiert, rechtlich bewertet und im Scan als erwarteter Dienst nachvollziehbar.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            },
            {
                "id": "guide_seo-spam-und-cloaking-bereinigen",
                "area": "Trust & Content Integrity",
                "slug": "seo-spam-und-cloaking-bereinigen",
                "owner": "Webbetrieb\/SEO\/Security",
                "teams": [],
                "title": "Seo Spam Und Cloaking Bereinigen",
                "effort": "hoch",
                "owners": [
                    "Webbetrieb\/SEO\/Security"
                ],
                "retest": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.",
                "status": "sofort",
                "guide_url": "\/guides\/seo-spam-und-cloaking-bereinigen",
                "task_count": 0,
                "ticket_count": 0,
                "finding_count": 1,
                "affected_count": 2,
                "critical_count": 1,
                "priority_score": 100,
                "sample_findings": [
                    {
                        "id": "external_link_spam",
                        "title": "Sehr viele externe Links erkannt",
                        "detail": "Prüfen, ob die Seite als Linkfarm, Affiliate-Brücke oder Spam-Seite dient.",
                        "source": "finding"
                    },
                    {
                        "id": "seo_integrity",
                        "title": "SEO-Integrität & Cloaking",
                        "detail": "Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.",
                        "source": "module"
                    }
                ],
                "evidence_required": "Bereinigter Code, Malware-\/Plugin-Prüfung, Search-Console-Status.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            },
            {
                "id": "guide_barrierefreiheit-cookie-banner-formulare",
                "area": "Usability & BITV",
                "slug": "barrierefreiheit-cookie-banner-formulare",
                "owner": "UX\/Content\/IT",
                "teams": [
                    "Content\/UX"
                ],
                "title": "Barrierefreiheit Cookie Banner Formulare",
                "effort": "mittel",
                "owners": [
                    "UX\/Content"
                ],
                "retest": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.",
                "status": "sofort",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "task_count": 1,
                "ticket_count": 1,
                "finding_count": 4,
                "affected_count": 7,
                "critical_count": 2,
                "priority_score": 92,
                "sample_findings": [
                    {
                        "id": "form_label_missing",
                        "title": "Formularfelder ohne klare Beschriftung",
                        "detail": "Für jedes Eingabefeld ein sichtbares label, aria-label oder aria-labelledby setzen.",
                        "source": "finding"
                    },
                    {
                        "id": "button_name_missing",
                        "title": "Buttons ohne erkennbaren Namen",
                        "detail": "Buttons mit sichtbarem Text oder aria-label beschriften.",
                        "source": "finding"
                    },
                    {
                        "id": "image_alt_missing",
                        "title": "Bilder ohne Alternativtext",
                        "detail": "Inhaltliche Bilder mit alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
                        "source": "finding"
                    },
                    {
                        "id": "html_lang_missing",
                        "title": "HTML-Sprache fehlt",
                        "detail": "Das html-Element mit lang=\"de\" oder passender Sprache auszeichnen.",
                        "source": "finding"
                    },
                    {
                        "id": "module:accessibility_usability",
                        "title": "Barrierefreiheit & Usability",
                        "detail": "Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.",
                        "source": "task"
                    }
                ],
                "evidence_required": "Testprotokoll, Screenshots, bekannte Einschränkungen.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Aufgabe ist mit Owner, Umsetzungsnachweis und Re-Scan geschlossen.",
                    "Betroffener UI-Bereich ist per Tastatur bedienbar und automatisierter Accessibility-Check verbessert.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            },
            {
                "id": "guide_datenschutz-webseiten-pruefkatalog",
                "area": "Programmsteuerung",
                "slug": "datenschutz-webseiten-pruefkatalog",
                "owner": "Programm-Owner\/Datenschutz",
                "teams": [
                    "Developer\/Ops"
                ],
                "title": "Datenschutz Webseiten Pruefkatalog",
                "effort": "hoch",
                "owners": [
                    "Website-Betrieb"
                ],
                "retest": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.",
                "status": "sofort",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "task_count": 1,
                "ticket_count": 1,
                "finding_count": 2,
                "affected_count": 5,
                "critical_count": 1,
                "priority_score": 88,
                "sample_findings": [
                    {
                        "id": "important_pages_not_discovered",
                        "title": "Wichtige Betreiberseiten nicht vollständig in der Linkstruktur gefunden",
                        "detail": "Datenschutz und Impressum sollten von der Startseite aus klar erreichbar sein.",
                        "source": "finding"
                    },
                    {
                        "id": "crawl_coverage_limited",
                        "title": "Wenig interne Seiten auf der Startseite gefunden",
                        "detail": "Wichtige Seiten wie Datenschutz, Impressum, Kontakt und Cookie-Hinweise klar intern verlinken.",
                        "source": "finding"
                    },
                    {
                        "id": "module:site_coverage",
                        "title": "Seitenabdeckung & Crawl",
                        "detail": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
                        "source": "task"
                    },
                    {
                        "id": "SP-002",
                        "title": "Seitenabdeckung & Crawl",
                        "detail": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
                        "source": "ticket"
                    },
                    {
                        "id": "site_coverage",
                        "title": "Seitenabdeckung & Crawl",
                        "detail": "Datenschutz, Impressum, Kontakt, Cookie-Hinweise und kritische Formularseiten klar verlinken und regelmäßig mitprüfen.",
                        "source": "module"
                    }
                ],
                "evidence_required": "Prioritätenliste, Owner, Exportpaket, Re-Scan und Freigabe.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Aufgabe ist mit Owner, Umsetzungsnachweis und Re-Scan geschlossen.",
                    "Wiederholungsscan zeigt keine nicht erforderlichen Cookies\/Tags vor Einwilligung oder nach Ablehnung.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            },
            {
                "id": "guide_security-header-setzen",
                "area": "Web Security",
                "slug": "security-header-setzen",
                "owner": "IT\/Security",
                "teams": [
                    "Developer\/Ops"
                ],
                "title": "Security Header Setzen",
                "effort": "mittel",
                "owners": [
                    "Technik"
                ],
                "retest": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.",
                "status": "sprint",
                "guide_url": "\/guides\/security-header-setzen",
                "task_count": 1,
                "ticket_count": 1,
                "finding_count": 9,
                "affected_count": 12,
                "critical_count": 0,
                "priority_score": 82,
                "sample_findings": [
                    {
                        "id": "missing_hsts",
                        "title": "HSTS fehlt",
                        "detail": "Header `strict-transport-security` setzen und nach Deployment erneut prüfen.",
                        "source": "finding"
                    },
                    {
                        "id": "missing_csp",
                        "title": "Content-Security-Policy fehlt",
                        "detail": "Header `content-security-policy` setzen und nach Deployment erneut prüfen.",
                        "source": "finding"
                    },
                    {
                        "id": "missing_x_frame_options",
                        "title": "X-Frame-Options fehlt",
                        "detail": "Header `x-frame-options` setzen und nach Deployment erneut prüfen.",
                        "source": "finding"
                    },
                    {
                        "id": "missing_x_content_type_options",
                        "title": "X-Content-Type-Options fehlt",
                        "detail": "Header `x-content-type-options` setzen und nach Deployment erneut prüfen.",
                        "source": "finding"
                    },
                    {
                        "id": "missing_cross_origin_embedder_policy",
                        "title": "Cross-Origin-Embedder-Policy fehlt",
                        "detail": "Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.",
                        "source": "finding"
                    }
                ],
                "evidence_required": "Nginx\/Apache\/CDN-Konfiguration, Header-Export, Rollback-Plan.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Aufgabe ist mit Owner, Umsetzungsnachweis und Re-Scan geschlossen.",
                    "Security-Header\/TLS-Check ist im Wiederholungsscan ohne kritischen Befund.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            },
            {
                "id": "guide_tracking-und-consent-reparieren",
                "area": "Consent & Tracking",
                "slug": "tracking-und-consent-reparieren",
                "owner": "Marketing\/IT\/Datenschutz",
                "teams": [
                    "GTM\/CMP"
                ],
                "title": "Tracking Und Consent Reparieren",
                "effort": "mittel",
                "owners": [
                    "Datenschutz\/Marketing"
                ],
                "retest": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.",
                "status": "sprint",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "task_count": 1,
                "ticket_count": 1,
                "finding_count": 0,
                "affected_count": 3,
                "critical_count": 0,
                "priority_score": 78,
                "sample_findings": [
                    {
                        "id": "module:privacy_consent",
                        "title": "Datenschutz, Cookies & Consent",
                        "detail": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                        "source": "task"
                    },
                    {
                        "id": "SP-004",
                        "title": "Datenschutz, Cookies & Consent",
                        "detail": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                        "source": "ticket"
                    },
                    {
                        "id": "privacy_consent",
                        "title": "Datenschutz, Cookies & Consent",
                        "detail": "Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.",
                        "source": "module"
                    }
                ],
                "evidence_required": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration.",
                "acceptance_criteria": [
                    "Aufgabe ist mit Owner, Umsetzungsnachweis und Re-Scan geschlossen.",
                    "Wiederholungsscan zeigt keine nicht erforderlichen Cookies\/Tags vor Einwilligung oder nach Ablehnung.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            },
            {
                "id": "guide_performance-und-mobile-usability-verbessern",
                "area": "Performance & Mobile",
                "slug": "performance-und-mobile-usability-verbessern",
                "owner": "Webentwicklung\/UX",
                "teams": [],
                "title": "Performance Und Mobile Usability Verbessern",
                "effort": "mittel",
                "owners": [
                    "Webentwicklung\/UX"
                ],
                "retest": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.",
                "status": "sprint",
                "guide_url": "\/guides\/performance-und-mobile-usability-verbessern",
                "task_count": 0,
                "ticket_count": 0,
                "finding_count": 1,
                "affected_count": 2,
                "critical_count": 0,
                "priority_score": 70,
                "sample_findings": [
                    {
                        "id": "viewport_missing",
                        "title": "Viewport-Meta-Tag fehlt",
                        "detail": "Für mobile Darstellung `meta name=viewport` setzen.",
                        "source": "finding"
                    },
                    {
                        "id": "performance_mobile",
                        "title": "Performance & mobile Nutzbarkeit",
                        "detail": "Antwortzeit, Komprimierung, Viewport und blockierende Ressourcen optimieren.",
                        "source": "module"
                    }
                ],
                "evidence_required": "Performance-Messung, Asset-Liste, Mobile-Screenshot.",
                "acceptance_criteria": [
                    "Befund ist im Wiederholungsscan behoben oder fachlich dokumentiert begründet.",
                    "Modul-Score verbessert sich im Wiederholungsscan oder Abweichung ist dokumentiert."
                ]
            }
        ],
        "steps": [
            {
                "step": 1,
                "owner": "IT\/Security",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_sichtbare-versionen-und-cves-beheben"
            },
            {
                "step": 2,
                "owner": "IT\/Security",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_sichtbare-versionen-und-cves-beheben"
            },
            {
                "step": 3,
                "owner": "IT\/Security",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_sichtbare-versionen-und-cves-beheben"
            },
            {
                "step": 4,
                "owner": "IT\/Security",
                "phase": "Re-Test und Abschluss",
                "action": "Generator-, Header- und Bibliothekssignale erneut prüfen.",
                "evidence": "Patchstand, Herstellerhinweis, CVE-Bewertung, Backport-Nachweis.",
                "guide_id": "guide_sichtbare-versionen-und-cves-beheben"
            },
            {
                "step": 1,
                "owner": "Webentwicklung\/Datenschutz",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_formulare-datenschutzkonform-absichern"
            },
            {
                "step": 2,
                "owner": "Webentwicklung\/Datenschutz",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_formulare-datenschutzkonform-absichern"
            },
            {
                "step": 3,
                "owner": "Webentwicklung\/Datenschutz",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_formulare-datenschutzkonform-absichern"
            },
            {
                "step": 4,
                "owner": "Webentwicklung\/Datenschutz",
                "phase": "Re-Test und Abschluss",
                "action": "Formularseite, Ziel-URL, Pflichtfelder, Referrer und Tracking erneut prüfen.",
                "evidence": "Formularzweck, Rechtsgrundlage, Datensparsamkeit, Log-\/Tracking-Prüfung.",
                "guide_id": "guide_formulare-datenschutzkonform-absichern"
            },
            {
                "step": 1,
                "owner": "Webbetrieb\/SEO\/Security",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_seo-spam-und-cloaking-bereinigen"
            },
            {
                "step": 2,
                "owner": "Webbetrieb\/SEO\/Security",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_seo-spam-und-cloaking-bereinigen"
            },
            {
                "step": 3,
                "owner": "Webbetrieb\/SEO\/Security",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_seo-spam-und-cloaking-bereinigen"
            },
            {
                "step": 4,
                "owner": "Webbetrieb\/SEO\/Security",
                "phase": "Re-Test und Abschluss",
                "action": "Normaler Browser, SaferPage-Crawler und Suchmaschinenansicht vergleichen.",
                "evidence": "Bereinigter Code, Malware-\/Plugin-Prüfung, Search-Console-Status.",
                "guide_id": "guide_seo-spam-und-cloaking-bereinigen"
            },
            {
                "step": 1,
                "owner": "UX\/Content\/IT",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_barrierefreiheit-cookie-banner-formulare"
            },
            {
                "step": 2,
                "owner": "UX\/Content\/IT",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_barrierefreiheit-cookie-banner-formulare"
            },
            {
                "step": 3,
                "owner": "UX\/Content\/IT",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_barrierefreiheit-cookie-banner-formulare"
            },
            {
                "step": 4,
                "owner": "UX\/Content\/IT",
                "phase": "Re-Test und Abschluss",
                "action": "Tastatur, Screenreader, Kontrast und Mobilansicht manuell prüfen.",
                "evidence": "Testprotokoll, Screenshots, bekannte Einschränkungen.",
                "guide_id": "guide_barrierefreiheit-cookie-banner-formulare"
            },
            {
                "step": 1,
                "owner": "Programm-Owner\/Datenschutz",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_datenschutz-webseiten-pruefkatalog"
            },
            {
                "step": 2,
                "owner": "Programm-Owner\/Datenschutz",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_datenschutz-webseiten-pruefkatalog"
            },
            {
                "step": 3,
                "owner": "Programm-Owner\/Datenschutz",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_datenschutz-webseiten-pruefkatalog"
            },
            {
                "step": 4,
                "owner": "Programm-Owner\/Datenschutz",
                "phase": "Re-Test und Abschluss",
                "action": "Gesamten Scan nach Umsetzung der priorisierten Guides wiederholen.",
                "evidence": "Prioritätenliste, Owner, Exportpaket, Re-Scan und Freigabe.",
                "guide_id": "guide_datenschutz-webseiten-pruefkatalog"
            },
            {
                "step": 1,
                "owner": "IT\/Security",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_security-header-setzen"
            },
            {
                "step": 2,
                "owner": "IT\/Security",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_security-header-setzen"
            },
            {
                "step": 3,
                "owner": "IT\/Security",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_security-header-setzen"
            },
            {
                "step": 4,
                "owner": "IT\/Security",
                "phase": "Re-Test und Abschluss",
                "action": "Header, TLS, CSP und Referrer-Policy nach Deployment erneut scannen.",
                "evidence": "Nginx\/Apache\/CDN-Konfiguration, Header-Export, Rollback-Plan.",
                "guide_id": "guide_security-header-setzen"
            },
            {
                "step": 1,
                "owner": "Marketing\/IT\/Datenschutz",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_tracking-und-consent-reparieren"
            },
            {
                "step": 2,
                "owner": "Marketing\/IT\/Datenschutz",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_tracking-und-consent-reparieren"
            },
            {
                "step": 3,
                "owner": "Marketing\/IT\/Datenschutz",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_tracking-und-consent-reparieren"
            },
            {
                "step": 4,
                "owner": "Marketing\/IT\/Datenschutz",
                "phase": "Re-Test und Abschluss",
                "action": "Erstaufruf, Ablehnen, Akzeptieren und GPC getrennt scannen.",
                "evidence": "Consent-Screenshot, Cookie-Tabelle, Request-Liste, CMP-Konfiguration.",
                "guide_id": "guide_tracking-und-consent-reparieren"
            },
            {
                "step": 1,
                "owner": "Webentwicklung\/UX",
                "phase": "Befund reproduzieren",
                "action": "Report, betroffene URL, Consent-Zustand und Evidence sichern.",
                "evidence": "Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.",
                "guide_id": "guide_performance-und-mobile-usability-verbessern"
            },
            {
                "step": 2,
                "owner": "Webentwicklung\/UX",
                "phase": "Ursache beheben",
                "action": "Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern.",
                "evidence": "Ticket, Konfigurationsdiff, CMS-\/Tag-Manager-Änderung, Freigabe.",
                "guide_id": "guide_performance-und-mobile-usability-verbessern"
            },
            {
                "step": 3,
                "owner": "Webentwicklung\/UX",
                "phase": "Nutzertext aktualisieren",
                "action": "Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation synchronisieren.",
                "evidence": "Versionierter Text, Änderungsdatum, Verantwortlicher.",
                "guide_id": "guide_performance-und-mobile-usability-verbessern"
            },
            {
                "step": 4,
                "owner": "Webentwicklung\/UX",
                "phase": "Re-Test und Abschluss",
                "action": "Mobilansicht, Asset-Größen und Ladeverhalten erneut prüfen.",
                "evidence": "Performance-Messung, Asset-Liste, Mobile-Screenshot.",
                "guide_id": "guide_performance-und-mobile-usability-verbessern"
            }
        ],
        "status": "sofort",
        "summary": "Guide-Playbook mit 8 priorisierten Betreiber-Guide(s); 5 sofort, 3 im Sprint, 0 einplanen.",
        "available": true,
        "disclaimer": "Das Guide-Playbook gruppiert technische SaferPage-Befunde nach Betreiber-Guides. Umsetzung und externe Aussagen müssen fachlich, rechtlich und technisch freigegeben werden.",
        "guide_count": 8,
        "status_counts": {
            "sofort": 5,
            "sprint": 3
        },
        "affected_count": 179
    },
    "server_network_analysis": {
        "limits": [
            "Netzpraefixe sind Heuristiken aus sichtbaren IPs (\/24 bei IPv4, \/64 bei IPv6).",
            "ASN, Hosting-Anbieter und Organisation brauchen RDAP\/Whois-Daten und werden hier noch nicht behauptet."
        ],
        "signals": {
            "ptr_count": 1,
            "ipv4_count": 1,
            "ipv6_count": 0,
            "address_count": 1,
            "network_count": 1
        },
        "networks": [
            "85.13.135.0\/24"
        ],
        "addresses": [
            {
                "ip": "85.13.135.103",
                "ptr": "dd13530.kasserver.com",
                "family": "IPv4",
                "network": "85.13.135.0\/24",
                "is_global": true,
                "is_private": false,
                "heuristic_prefix": "\/24"
            }
        ]
    },
    "external_script_analysis": {
        "color": "green",
        "items": [],
        "score": 100,
        "status": "unauffällig",
        "summary": "0 externe Skript(e) von 0 Host(s), 0 ohne SRI, 0 Tracking-\/Tag-nahe Skript(e).",
        "findings": [],
        "cdn_count": 0,
        "priority_fixes": [],
        "missing_sri_count": 0,
        "external_host_count": 0,
        "tracking_like_count": 0,
        "external_script_count": 0
    },
    "privacy_program_maturity": {
        "status": "bewertet",
        "roadmap": [
            {
                "id": "maturity_privacy_risk_register",
                "why": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "owner": "Programm-Owner\/Datenschutz",
                "title": "Privacy Risk Register & Executive Dashboard verbessern",
                "action": "Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.",
                "horizon": "0-30 Tage",
                "priority": "hoch",
                "guide_url": "\/methodik",
                "target_score": 70
            },
            {
                "id": "maturity_ai_governance",
                "why": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
                "owner": "Datenschutz\/Product\/Legal",
                "title": "AI Governance & Automated Decisioning verbessern",
                "action": "AI-\/Chat-\/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.",
                "horizon": "0-30 Tage",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "target_score": 70
            },
            {
                "id": "maturity_pia_dpia",
                "why": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
                "owner": "Datenschutz\/Product",
                "title": "PIA\/DPIA & Privacy by Design verbessern",
                "action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-\/Release-Prozess verbinden.",
                "horizon": "30-90 Tage",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "target_score": 70
            },
            {
                "id": "maturity_dsar_workflow",
                "why": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "owner": "Datenschutz\/Support\/IT",
                "title": "DSAR Workflow Automation verbessern",
                "action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.",
                "horizon": "30-90 Tage",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "target_score": 70
            },
            {
                "id": "maturity_vendor_lifecycle_risk",
                "why": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
                "owner": "Datenschutz\/Legal\/Procurement",
                "title": "Vendor Lifecycle & Third-Party Risk verbessern",
                "action": "Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.",
                "horizon": "90-180 Tage",
                "priority": "hoch",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "target_score": 70
            },
            {
                "id": "maturity_security_accessibility",
                "why": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "owner": "IT\/Web",
                "title": "Security & Barrierefreiheit verbessern",
                "action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.",
                "horizon": "90-180 Tage",
                "priority": "hoch",
                "guide_url": "\/guides\/security-header-setzen",
                "target_score": 70
            }
        ],
        "summary": "Privacy-Program-Maturity 55\/100 (Etabliert mit Lücken); 14 Dimension(en) unter 50 Punkten und 3 kritische Lücke(n).",
        "available": true,
        "dimensions": [
            {
                "id": "notices_transparency",
                "label": "Hinweise & Transparenz",
                "level": 5,
                "owner": "Datenschutz\/Content",
                "score": 100,
                "action": "Datenschutzerklärung, Anbieterregister und beobachtete Technik regelmäßig abgleichen.",
                "status": "optimiert",
                "evidence": "Datenschutzhinweis vorhanden, Disclosure-Lücken 0.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_modules": [
                    "privacy_notice_draft",
                    "privacy_disclosure_gap_analysis"
                ]
            },
            {
                "id": "consent_governance",
                "label": "Consent & Cookie Governance",
                "level": 2,
                "owner": "Marketing\/IT",
                "score": 48,
                "action": "Nicht notwendige Cookies\/Tags vor Einwilligung blockieren und Consent-Zustände testen.",
                "status": "reaktiv",
                "evidence": "Consent-Score 48, Cookie-Retention-Risiken 0.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "source_modules": [
                    "consent_audit",
                    "cookie_inventory"
                ]
            },
            {
                "id": "preference_center",
                "label": "Preference Center & Consent Ledger",
                "level": 2,
                "owner": "Marketing\/IT\/Compliance",
                "score": 48,
                "action": "Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM\/Tags\/Vendor-Systeme nachweisbar aufbauen.",
                "status": "reaktiv",
                "evidence": "Preference-Center-Readiness 48\/100; 4\/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "source_modules": [
                    "preference_center_readiness"
                ]
            },
            {
                "id": "consent_mode_implementation",
                "label": "Google Consent Mode Implementation",
                "level": 5,
                "owner": "Marketing\/IT\/Datenschutz",
                "score": 100,
                "action": "Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben.",
                "status": "optimiert",
                "evidence": "Consent-Mode-Implementierung 100\/100; 6\/6 Schritt(e) bereit, 0 offen. Google-Tags nicht erkannt.",
                "guide_url": "\/guides\/google-dienste-datenschutzfreundlich-einbinden",
                "source_modules": [
                    "consent_mode_implementation_pack",
                    "google_consent_analysis",
                    "consent_audit"
                ]
            },
            {
                "id": "regulatory_watch",
                "label": "Regulatory Watch & Rechtsänderungsmonitoring",
                "level": 3,
                "owner": "Datenschutz\/Legal\/Compliance",
                "score": 58,
                "action": "Offizielle DACH\/EU-Quellen, Review-Kadenz, Owner, Rechtsänderungs-Digest und Umsetzungstickets versioniert betreiben.",
                "status": "etabliert",
                "evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "source_modules": [
                    "regulatory_watch_readiness",
                    "regulatory_source_matrix"
                ]
            },
            {
                "id": "regional_privacy_localization",
                "label": "DACH\/EU Privacy Localization",
                "level": 3,
                "owner": "Datenschutz\/Legal\/Content",
                "score": 65,
                "action": "Zielmärkte, lokale Notices, lokalisierte DSAR-Formulare, Cookie-Regeln und Behördenbezüge je Rechtsraum betreiben.",
                "status": "etabliert",
                "evidence": "DACH\/EU-Lokalisierung 65\/100; 4 Rechtsraum-Variante(n), 4\/6 Pflichtblock\/Pflichtblöcke aktiv.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "source_modules": [
                    "regional_privacy_localization"
                ]
            },
            {
                "id": "data_inventory_mapping",
                "label": "Dateninventar, RoPA & Data Map",
                "level": 4,
                "owner": "Datenschutz\/IT",
                "score": 72,
                "action": "Interne Systeme, Datenquellen und Löschfristen in RoPA\/Data Map ergänzen.",
                "status": "gesteuert",
                "evidence": "2 Verarbeitungstätigkeiten, 10 Knoten, 9 Kanten.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "processing_activity_record",
                    "data_flow_map"
                ]
            },
            {
                "id": "vendor_risk",
                "label": "Vendor Risk & Vertragsmanagement",
                "level": 2,
                "owner": "Legal\/Vendor Owner",
                "score": 45,
                "action": "Anbieterakten priorisieren, AVV\/DPA\/TOMs prüfen und Transfers dokumentieren.",
                "status": "reaktiv",
                "evidence": "0 Anbieter, 0 AVV-\/DPA-Prüfungen, 0 Transferfragen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "source_modules": [
                    "vendor_due_diligence"
                ]
            },
            {
                "id": "privacy_rights",
                "label": "Betroffenenrechte \/ DSAR",
                "level": 2,
                "owner": "Support\/Datenschutz",
                "score": 46,
                "action": "Anfragekanal, Fristen, Identitätsprüfung und Antwortvorlagen operationalisieren.",
                "status": "reaktiv",
                "evidence": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_modules": [
                    "privacy_rights_readiness"
                ]
            },
            {
                "id": "dsar_workflow",
                "label": "DSAR Workflow Automation",
                "level": 2,
                "owner": "Datenschutz\/Support\/IT",
                "score": 40,
                "action": "Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.",
                "status": "reaktiv",
                "evidence": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_modules": [
                    "dsar_workflow_readiness"
                ]
            },
            {
                "id": "subject_rights_intake",
                "label": "Betroffenenrechte-Intake & Portal-Blueprint",
                "level": 3,
                "owner": "Datenschutz\/Support\/IT",
                "score": 50,
                "action": "Betroffenenrechte-Formular im Betreiber-System veröffentlichen, sicher routen und Nachweise je Anfrage dokumentieren.",
                "status": "etabliert",
                "evidence": "Betroffenenrechte-Intake-Paket: 50\/100. Formular-Blueprint, Textbausteine, Routing, Nachweise und offene Betreiberentscheidungen sind aus dem Scan vorbereitet.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_modules": [
                    "subject_rights_intake_pack"
                ]
            },
            {
                "id": "privacy_rights_portal_launch",
                "label": "Privacy Rights Portal Launch",
                "level": 2,
                "owner": "Datenschutz\/Support\/IT",
                "score": 44,
                "action": "DSAR-\/Betroffenenrechte-Portal mit sicherem Intake, Statusweg, Preference-Link und Antwortzustellung im Betreiber-System veröffentlichen.",
                "status": "reaktiv",
                "evidence": "Privacy-Rights-Portal-Launch 44\/100; 4\/9 Startkontrollen bereit, 5 offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_modules": [
                    "privacy_rights_portal_launch_pack",
                    "subject_rights_intake_pack",
                    "dsar_workflow_readiness"
                ]
            },
            {
                "id": "public_privacy_center",
                "label": "Öffentliches Datenschutz-Center",
                "level": 2,
                "owner": "Datenschutz\/Legal\/Marketing\/IT",
                "score": 44,
                "action": "Datenschutz-Center als endanwenderfreundlichen Hub veröffentlichen und mit SaferPage-Kurzreport, Methodik, Exports und letzter Prüfung verlinken.",
                "status": "reaktiv",
                "evidence": "Öffentliches Datenschutz-Center: 44\/100. 4\/8 Kernbereiche sind aus SaferPage-Nachweisen publizierbar, 4 müssen Betreiber noch ausbauen.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "source_modules": [
                    "public_privacy_center_blueprint",
                    "privacy_rights_portal_launch_pack",
                    "trust_documentation_library",
                    "preference_center_readiness"
                ]
            },
            {
                "id": "privacy_assessment_automation",
                "label": "Assessment Automation",
                "level": 3,
                "owner": "Datenschutz\/Legal\/Product",
                "score": 63,
                "action": "PIA\/DPIA\/TIA\/Vendor\/AI-Questionnaires mit Vorbefüllung, Freigabe, Evidence und Mitigation-Workflow betreiben.",
                "status": "etabliert",
                "evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "privacy_assessment_automation"
                ]
            },
            {
                "id": "privacy_risk_assessment_queue",
                "label": "Privacy Risk Assessment Queue",
                "level": 3,
                "owner": "Programm-Owner\/Datenschutz\/Legal",
                "score": 67,
                "action": "Assessment-Trigger, Owner, Fristen, Vorbefüllung, Sign-off und Evidence Links als laufende PrivacyOps-Queue betreiben.",
                "status": "etabliert",
                "evidence": "Privacy-Risk-Assessment-Queue 67\/100; 8 Assessment-Typen priorisiert, 6 mit hoher Priorität, 19 Fragen vorbefüllt.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "privacy_risk_assessment_queue",
                    "privacy_assessment_automation",
                    "privacy_risk_register",
                    "dpia_screening"
                ]
            },
            {
                "id": "vendor_questionnaire_response",
                "label": "Vendor-\/Procurement Questionnaire Response",
                "level": 3,
                "owner": "Datenschutz\/Procurement\/Legal",
                "score": 54,
                "action": "Vendor-Fragebogenantworten, Nachweislisten, Risikoentscheidungen und Review-Workflow für Procurement und Audits betreiben.",
                "status": "etabliert",
                "evidence": "Vendor-\/Procurement-Fragebogen 54\/100; 1\/10 Antwort(en) vorbefüllt, 4 offen oder Betreiber-Nachweis, Risikostufe niedrig.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "source_modules": [
                    "vendor_questionnaire_response_pack"
                ]
            },
            {
                "id": "retention_deletion",
                "label": "Retention & Deletion Governance",
                "level": 3,
                "owner": "Datenschutz\/Legal\/IT",
                "score": 52,
                "action": "Speicherfristen, Löschtrigger, Backup-\/Legal-Hold-Regeln, Vendor-Löschung und Löschprotokolle operationalisieren.",
                "status": "etabliert",
                "evidence": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "retention_deletion_readiness"
                ]
            },
            {
                "id": "vendor_lifecycle_risk",
                "label": "Vendor Lifecycle & Third-Party Risk",
                "level": 2,
                "owner": "Datenschutz\/Legal\/Procurement",
                "score": 41,
                "action": "Vendor Discovery, Privacy Score, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.",
                "status": "reaktiv",
                "evidence": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "source_modules": [
                    "vendor_lifecycle_risk"
                ]
            },
            {
                "id": "notice_policy_lifecycle",
                "label": "Policy & Notice Lifecycle",
                "level": 3,
                "owner": "Datenschutz\/Legal\/Content",
                "score": 53,
                "action": "Notice-Versionierung, Disclosure-Sync, Regulatory Updates, Freigaben und Publikationsnachweise als Regelprozess betreiben.",
                "status": "etabliert",
                "evidence": "Policy-\/Notice-Lifecycle-Readiness 53\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_modules": [
                    "notice_policy_lifecycle"
                ]
            },
            {
                "id": "data_discovery_classification",
                "label": "Data Discovery & Classification",
                "level": 3,
                "owner": "Datenschutz\/IT\/Data Owner",
                "score": 69,
                "action": "Datenklassen, Datenquellen, Field-\/Signal-Klassifizierung, PII-Risiken, DSAR-Suchscope und interne Connectoren operationalisieren.",
                "status": "etabliert",
                "evidence": "Data-Discovery-\/Classification-Readiness 69\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "data_discovery_classification"
                ]
            },
            {
                "id": "scan_configuration_monitoring",
                "label": "Scan Configuration & Monitoring",
                "level": 4,
                "owner": "IT\/Compliance",
                "score": 82,
                "action": "Crawl-Scope, Performance-Grenzen, wiederkehrende Scans, Betreiberfreigaben und Alert-Routing versioniert betreiben.",
                "status": "gesteuert",
                "evidence": "Scan-Configuration-\/Monitoring-Readiness 82\/100; 9\/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder Betreiber-Nachweise offen.",
                "guide_url": "\/methodik",
                "source_modules": [
                    "scan_configuration_readiness",
                    "site_coverage_analysis",
                    "monitoring_alert_digest"
                ]
            },
            {
                "id": "privacy_risk_register",
                "label": "Privacy Risk Register & Executive Dashboard",
                "level": 1,
                "owner": "Programm-Owner\/Datenschutz",
                "score": 18,
                "action": "Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.",
                "status": "ad hoc",
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "guide_url": "\/methodik",
                "source_modules": [
                    "privacy_risk_register",
                    "remediation_workflow",
                    "operator_risk_analysis"
                ]
            },
            {
                "id": "privacy_control_framework",
                "label": "Privacy Controls Framework",
                "level": 2,
                "owner": "Programm-Owner\/Compliance",
                "score": 49,
                "action": "Kontrollkatalog mit Testfrequenz, Owner, Evidence, Abnahmekriterium und Betreiber-Nachweisen als Auditprozess betreiben.",
                "status": "reaktiv",
                "evidence": "Privacy Controls Framework 49\/100; 2\/16 Kontrolle(n) wirksam, 11 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "source_modules": [
                    "privacy_control_framework"
                ]
            },
            {
                "id": "trust_audit_response",
                "label": "Trust & Audit Response Center",
                "level": 3,
                "owner": "Sales\/Legal\/Compliance",
                "score": 52,
                "action": "Kunden-\/Prüferantworten, Evidence Requests, Share Pack und Freigabeprozess für Audits und Procurement betreiben.",
                "status": "etabliert",
                "evidence": "Trust-\/Audit-Response-Center 52\/100; 2 antwortbereit, 0 teilweise, 8 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "source_modules": [
                    "trust_audit_response_center"
                ]
            },
            {
                "id": "trust_documentation_library",
                "label": "Trust Documentation Library",
                "level": 3,
                "owner": "Legal\/Compliance\/Marketing",
                "score": 59,
                "action": "Öffentliche, sanitisierte und interne Nachweise mit Owner, Review-Kadenz, Freigabelevel, Exportlinks und Betreiber-Nachreichliste betreiben.",
                "status": "etabliert",
                "evidence": "Trust Documentation Library 59\/100; 7\/19 Dokument(e) veröffentlichbar oder exportierbar, 4 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "source_modules": [
                    "trust_documentation_library"
                ]
            },
            {
                "id": "pia_dpia",
                "label": "PIA\/DPIA & Privacy by Design",
                "level": 2,
                "owner": "Datenschutz\/Product",
                "score": 33,
                "action": "DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-\/Release-Prozess verbinden.",
                "status": "reaktiv",
                "evidence": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "dpia_screening"
                ]
            },
            {
                "id": "ai_governance",
                "label": "AI Governance & Automated Decisioning",
                "level": 1,
                "owner": "Datenschutz\/Product\/Legal",
                "score": 24,
                "action": "AI-\/Chat-\/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.",
                "status": "ad hoc",
                "evidence": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "ai_governance_readiness"
                ]
            },
            {
                "id": "trust_center",
                "label": "Trust Center & externe Nachweise",
                "level": 2,
                "owner": "Legal\/Marketing",
                "score": 48,
                "action": "Trust-Center-Bausteine veröffentlichen und Nachweise versionieren.",
                "status": "reaktiv",
                "evidence": "Trust-Center-Readiness: 48\/100 Punkte. 13\/25 Baustein(e) sind aus dem Scan heraus belegbar.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "source_modules": [
                    "trust_center_readiness"
                ]
            },
            {
                "id": "security_accessibility",
                "label": "Security & Barrierefreiheit",
                "level": 2,
                "owner": "IT\/Web",
                "score": 41,
                "action": "Security-Header, Cookie-Attribute, TLS, Formulare und Barrierefreiheit priorisiert verbessern.",
                "status": "reaktiv",
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "guide_url": "\/guides\/security-header-setzen",
                "source_modules": [
                    "security_header_analysis",
                    "accessibility_analysis"
                ]
            },
            {
                "id": "incident_breach_response",
                "label": "Incident & Breach Response",
                "level": 3,
                "owner": "DSB\/Legal\/IT",
                "score": 50,
                "action": "Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.",
                "status": "etabliert",
                "evidence": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "guide_url": "\/guides\/security-header-setzen",
                "source_modules": [
                    "incident_breach_readiness"
                ]
            },
            {
                "id": "monitoring_evidence",
                "label": "Monitoring, Audit-Belege & Change Management",
                "level": 5,
                "owner": "Compliance\/IT",
                "score": 85,
                "action": "Wiederholungsscans, Hash-Belege und Alert-Routing als Regelprozess betreiben.",
                "status": "optimiert",
                "evidence": "Prüfbeleg vorhanden, Integritätsmanifest vorhanden, Alerts 0.",
                "guide_url": "\/monitoring",
                "source_modules": [
                    "audit_receipt",
                    "evidence_integrity_manifest",
                    "monitoring_alert_digest"
                ]
            },
            {
                "id": "remediation_workflow",
                "label": "Remediation & Programmsteuerung",
                "level": 3,
                "owner": "Programm-Owner",
                "score": 65,
                "action": "Tickets mit Owner, SLA, Abnahmekriterium und Nachweis schließen.",
                "status": "etabliert",
                "evidence": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "source_modules": [
                    "remediation_workflow"
                ]
            },
            {
                "id": "operator_guide_playbook",
                "label": "Betreiber-Guide-Playbook",
                "level": 4,
                "owner": "Programm-Owner\/Datenschutz\/IT",
                "score": 75,
                "action": "Guide-Playbooks je Befundgruppe abarbeiten, Evidence sichern und nach Umsetzung erneut scannen.",
                "status": "gesteuert",
                "evidence": "Guide-Playbook mit 8 priorisierten Betreiber-Guide(s); 5 sofort, 3 im Sprint, 0 einplanen.",
                "guide_url": "\/guides",
                "source_modules": [
                    "operator_guide_playbook"
                ]
            }
        ],
        "disclaimer": "Automatisch abgeleitete Programmreife aus einem Website-Scan. Interne Prozesse, Ressourcen, Schulungen, Verträge und Systeme muss der Betreiber ergänzen.",
        "stage_label": "Etabliert mit Lücken",
        "benchmark_hint": "Score ist ein SaferPage-Reifegrad aus öffentlicher Website-Evidenz und Betreiber-Artefakten; er ersetzt kein internes Audit.",
        "maturity_level": 3,
        "maturity_score": 55,
        "board_questions": [
            "Welche drei Datenschutz-Risiken verhindern aktuell einen nachweisfähigen Trust-Center-Stand?",
            "Welche Owner sind für Consent, Preference Center, Notice Lifecycle, Data Discovery, Scan Configuration, Risk Register, Control Framework, Trust\/Audit Response, Trust Documentation Library, Regulatory Watch, RoPA\/Data Map, Vendor Lifecycle, DSAR-Workflow, Assessment Automation, Retention\/Deletion, DPIA und AI-Governance verbindlich benannt?",
            "Welche Nachweise können bei Kunden-, Behörden- oder Audit-Anfragen innerhalb von 24 Stunden exportiert werden?",
            "Wie wird sichergestellt, dass neue Anbieter, Cookies, Formulare, Tracking-Tags und AI-\/Automated-Decisioning-Use-Cases vor Go-live geprüft werden?"
        ],
        "dimension_count": 33,
        "source_artifacts": [
            "consent_audit",
            "preference_center_readiness",
            "notice_policy_lifecycle",
            "data_discovery_classification",
            "scan_configuration_readiness",
            "privacy_risk_register",
            "privacy_control_framework",
            "trust_audit_response_center",
            "trust_documentation_library",
            "operator_guide_playbook",
            "regulatory_watch_readiness",
            "regional_privacy_localization",
            "privacy_notice_draft",
            "processing_activity_record",
            "data_flow_map",
            "vendor_due_diligence",
            "vendor_lifecycle_risk",
            "vendor_questionnaire_response_pack",
            "ai_governance_readiness",
            "incident_breach_readiness",
            "privacy_rights_readiness",
            "dsar_workflow_readiness",
            "subject_rights_intake_pack",
            "privacy_assessment_automation",
            "retention_deletion_readiness",
            "dpia_screening",
            "trust_center_readiness",
            "audit_receipt"
        ],
        "critical_gap_count": 3,
        "low_dimension_count": 14
    },
    "privacy_rights_readiness": {
        "rows": [
            {
                "id": "privacy_notice",
                "label": "Datenschutzerklärung erreichbar",
                "action": "Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.",
                "passed": false,
                "status": "fehlt",
                "weight": 16,
                "evidence": "Keine gut erkennbare Datenschutzerklärung im Scan.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "rights_description",
                "label": "Betroffenenrechte beschrieben",
                "action": "Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.",
                "passed": false,
                "status": "fehlt",
                "weight": 16,
                "evidence": "Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "privacy_contact",
                "label": "Kontaktkanal für Datenschutzanfragen",
                "action": "Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "Kontakt-\/DPO-Signal erkannt.",
                "guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
                "manual_review": false
            },
            {
                "id": "operator_identity",
                "label": "Verantwortlicher\/Anbieter erkennbar",
                "action": "Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Impressum\/Anbieterkennzeichnung erkannt.",
                "guide_url": "\/guides\/impressum-und-kontakt-sichtbar-machen",
                "manual_review": false
            },
            {
                "id": "data_entry_context",
                "label": "Formulare mit Datenschutzkontext",
                "action": "Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Formulare\/Newsletter erkannt, aber Datenschutzkontext fehlt.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "manual_review": false
            },
            {
                "id": "data_inventory",
                "label": "Datenarten und Systeme ableitbar",
                "action": "Für Auskunft\/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "2 Datenart(en), 0 Anbieter\/Processor im Report ableitbar.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "disclosure_consistency",
                "label": "Datenschutzhinweis passt zur Technik",
                "action": "Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Keine klare Disclosure-Lücke aus dem Abgleich.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "secure_response",
                "label": "Sichere Antwort- und Identitätsprüfung definiert",
                "action": "Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-\/Sperrlogik und Vier-Augen-Freigabe intern festlegen.",
                "passed": false,
                "status": "prüfen",
                "weight": 10,
                "evidence": "Aus öffentlichem Scan nicht sicher beweisbar.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            }
        ],
        "score": 46,
        "rights": [
            {
                "id": "access",
                "label": "Auskunft",
                "deadline": "1 Monat",
                "required_signal": "Datenquellen und Empfänger auffindbar"
            },
            {
                "id": "rectification",
                "label": "Berichtigung",
                "deadline": "1 Monat",
                "required_signal": "Verantwortliche Fachstelle benannt"
            },
            {
                "id": "erasure",
                "label": "Löschung",
                "deadline": "1 Monat",
                "required_signal": "Lösch-\/Sperrlogik je System dokumentiert"
            },
            {
                "id": "restriction",
                "label": "Einschränkung",
                "deadline": "1 Monat",
                "required_signal": "Bearbeitungsstatus und Sperrvermerk möglich"
            },
            {
                "id": "objection",
                "label": "Widerspruch",
                "deadline": "1 Monat",
                "required_signal": "Marketing\/Tracking Opt-out und GPC-Kontext geprüft"
            },
            {
                "id": "portability",
                "label": "Datenübertragbarkeit",
                "deadline": "1 Monat",
                "required_signal": "Strukturierter Export für relevante Datenarten geplant"
            }
        ],
        "status": "kritisch",
        "summary": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
        "available": true,
        "gap_count": 4,
        "disclaimer": "Aus öffentlichem Website-Scan abgeleitet. Das Modul ersetzt kein echtes DSAR-Portal und speichert keine Betroffenenanfragen.",
        "contact_found": true,
        "intake_fields": [
            {
                "id": "request_type",
                "label": "Anfragetyp",
                "purpose": "Auskunft, Löschung, Berichtigung, Widerspruch, Einschränkung oder Portabilität auswählen.",
                "requirement": "erforderlich"
            },
            {
                "id": "contact_channel",
                "label": "Antwortkanal",
                "purpose": "Sicheren Rückkanal für Rückfragen und Antwort festlegen.",
                "requirement": "erforderlich"
            },
            {
                "id": "identity_reference",
                "label": "Identitätsbezug",
                "purpose": "Nur notwendige Angaben wie Kundennummer, Nutzerkonto oder E-Mail-Adresse erheben.",
                "requirement": "situativ"
            },
            {
                "id": "scope",
                "label": "Umfang",
                "purpose": "Betroffene Dienste, Newsletter, Konto, Formular oder Zeitraum eingrenzen.",
                "requirement": "optional"
            },
            {
                "id": "verification",
                "label": "Identitätsprüfung",
                "purpose": "Bei Risiko zusätzliche Prüfung verlangen, aber keine unnötigen Ausweiskopien speichern.",
                "requirement": "situativ"
            }
        ],
        "forms_detected": 2,
        "provider_count": 0,
        "workflow_steps": [
            "Anfrage über sicheren Kanal annehmen und Frist starten.",
            "Identität risikobasiert prüfen und Anfrage klassifizieren.",
            "Datenquellen, Dienstleister und Fachsysteme aus dem Verzeichnis abfragen.",
            "Antwort, Löschung oder Berichtigung fachlich freigeben.",
            "Sichere Antwort bereitstellen und Bearbeitung revisionsarm protokollieren.",
            "Nach Website-Änderungen SaferPage erneut scannen und Datenschutzhinweise abgleichen."
        ],
        "data_type_count": 2,
        "priority_actions": [
            "Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.",
            "Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.",
            "Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.",
            "Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-\/Sperrlogik und Vier-Augen-Freigabe intern festlegen."
        ],
        "rights_text_found": false,
        "privacy_link_found": false
    },
    "regulatory_source_matrix": {
        "rows": [
            {
                "id": "dsk_digitale_dienste",
                "area": "TDDDG\/ePrivacy",
                "action": "Nicht notwendige Cookies, Web Storage, Tags und Trackingkontakte vor Einwilligung blockieren und Ablehnen\/Widerruf nachweisen.",
                "status": "prüfen",
                "weight": 100,
                "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "relevance": "Einordnung von Cookies, ähnlichen Technologien, Einwilligung und Endgerätezugriff.",
                "source_url": "https:\/\/www.datenschutzkonferenz-online.de\/media\/oh\/OH_Digitale_Dienste.pdf",
                "source_name": "DSK Orientierungshilfe digitale Dienste"
            },
            {
                "id": "gdpr_art6",
                "area": "DSGVO Rechtsgrundlagen",
                "action": "Zwecke, Datenarten, Empfänger und Rechtsgrundlagen in Datenschutzerklärung und interner Dokumentation abgleichen.",
                "status": "prüfen",
                "weight": 95,
                "evidence": "3 Einwilligungs-\/Rechtsgrundlagenzeile(n), 3 unklar\/prüfen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "relevance": "Rechtsgrundlage für jede Verarbeitung, insbesondere Tracking, Drittanbieter und Formulare.",
                "source_url": "https:\/\/eur-lex.europa.eu\/eli\/reg\/2016\/679\/oj",
                "source_name": "DSGVO Art. 6"
            },
            {
                "id": "bsi_web_tls_headers",
                "area": "BSI\/Sicherheit",
                "action": "Fehlende Security-Header, CSP und TLS-\/HSTS-Konfiguration gemäß Betreiber-Guide nachziehen.",
                "status": "prüfen",
                "weight": 80,
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "guide_url": "\/guides\/security-header-setzen",
                "relevance": "Transportverschlüsselung, Webserver-Härtung und Security-Header sind Datenschutz-Schutzmaßnahmen.",
                "source_url": "https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Mindeststandards\/Mindeststandard_BSI_TLS_Version_2_3.pdf",
                "source_name": "BSI TLS-Mindeststandard und IT-Grundschutz Webserver\/Webanwendungen"
            },
            {
                "id": "wcag_eaa_bitv",
                "area": "Barrierefreiheit",
                "action": "Alt-Texte, Labels, Button-Namen, Tastaturbedienung und Cookie-Banner-Barrierefreiheit prüfen.",
                "status": "prüfen",
                "weight": 70,
                "evidence": "5 WCAG-\/EAA-Prüfpunkt(e) auffällig, davon 2 mit hoher Auswirkung.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "relevance": "Barrierefreie Bedienung von Formularen, Cookie-Bannern, Navigation und Inhalten.",
                "source_url": "https:\/\/www.w3.org\/TR\/WCAG22\/",
                "source_name": "WCAG 2.2 \/ BFIT \/ European Accessibility Act"
            },
            {
                "id": "saferpage_bfsg_wcag",
                "area": "SaferPage Regelwerks-Scorecard",
                "action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
                "status": "hoher Prüfbedarf",
                "weight": 40,
                "evidence": "Score 24 · 5 Befund(e).",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "relevance": "Barrierefreiheit, Tastatur-\/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.",
                "source_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "source_name": "BFSG\/WCAG"
            },
            {
                "id": "saferpage_bsi_security",
                "area": "SaferPage Regelwerks-Scorecard",
                "action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
                "status": "hoher Prüfbedarf",
                "weight": 40,
                "evidence": "Score 0 · 150 Befund(e).",
                "guide_url": "\/guides\/security-header-setzen",
                "relevance": "TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.",
                "source_url": "\/guides\/security-header-setzen",
                "source_name": "BSI\/Security"
            },
            {
                "id": "saferpage_gdpr",
                "area": "SaferPage Regelwerks-Scorecard",
                "action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
                "status": "hoher Prüfbedarf",
                "weight": 40,
                "evidence": "Score 44 · 2 Befund(e).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "relevance": "Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.",
                "source_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_name": "DSGVO"
            },
            {
                "id": "saferpage_tdddg_eprivacy",
                "area": "SaferPage Regelwerks-Scorecard",
                "action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen.",
                "status": "keine priorisierten Hinweise",
                "weight": 40,
                "evidence": "Score 100 · 0 Befund(e).",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "relevance": "Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.",
                "source_url": "\/guides\/tracking-und-consent-reparieren",
                "source_name": "TDDDG\/ePrivacy"
            }
        ],
        "status": "verfügbar",
        "summary": "Quellenmatrix: 8 offizielle\/operative Quelle(n) mit Befundbezug und Betreibermaßnahme.",
        "available": true,
        "disclaimer": "Quellen dienen der technischen Einordnung und Betreiber-Dokumentation; sie ersetzen keine Rechtsberatung.",
        "source_count": 8,
        "official_source_count": 4
    },
    "security_header_analysis": {
        "color": "red",
        "score": 34,
        "checks": [
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "HSTS",
                "value": "",
                "header": "strict-transport-security",
                "present": false,
                "purpose": "Erzwingt HTTPS nach dem ersten sicheren Aufruf.",
                "severity": "warning",
                "recommended": "max-age=31536000; includeSubDomains"
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "Content-Security-Policy",
                "value": "",
                "header": "content-security-policy",
                "present": false,
                "purpose": "Begrenzt Skript-, Frame- und Ressourcenquellen im Browser.",
                "severity": "warning",
                "recommended": "Schrittweise CSP mit default-src 'self' und expliziten Drittanbietern einführen."
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "X-Frame-Options",
                "value": "",
                "header": "x-frame-options",
                "present": false,
                "purpose": "Reduziert Clickjacking-Risiken bei älteren Browsern.",
                "severity": "warning",
                "recommended": "DENY oder SAMEORIGIN"
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "X-Content-Type-Options",
                "value": "",
                "header": "x-content-type-options",
                "present": false,
                "purpose": "Verhindert MIME-Sniffing bei Skripten und Stylesheets.",
                "severity": "warning",
                "recommended": "nosniff"
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "Referrer-Policy",
                "value": "",
                "header": "referrer-policy",
                "present": false,
                "purpose": "Begrenzt, welche URL-Informationen an Zielseiten weitergegeben werden.",
                "severity": "info",
                "recommended": "strict-origin-when-cross-origin"
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "Permissions-Policy",
                "value": "",
                "header": "permissions-policy",
                "present": false,
                "purpose": "Begrenzt sensible Browser-Funktionen pro Seite.",
                "severity": "info",
                "recommended": "Nicht benötigte Browser-APIs wie Kamera, Mikrofon und Geolocation sperren."
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "Cross-Origin-Opener-Policy",
                "value": "",
                "header": "cross-origin-opener-policy",
                "present": false,
                "purpose": "Isoliert Top-Level-Fenster und reduziert Cross-Origin-Seiteneffekte.",
                "severity": "info",
                "recommended": "same-origin oder same-origin-allow-popups nach Funktionsprüfung"
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "Cross-Origin-Resource-Policy",
                "value": "",
                "header": "cross-origin-resource-policy",
                "present": false,
                "purpose": "Begrenzt, welche fremden Seiten Ressourcen einbetten dürfen.",
                "severity": "info",
                "recommended": "same-origin oder same-site nach Ressourcenprüfung"
            },
            {
                "ok": false,
                "note": "Fehlt in der HTTP-Antwort.",
                "label": "Cross-Origin-Embedder-Policy",
                "value": "",
                "header": "cross-origin-embedder-policy",
                "present": false,
                "purpose": "Erzwingt kontrollierte Cross-Origin-Einbettungen und kann Cross-Origin Isolation ermöglichen.",
                "severity": "info",
                "recommended": "require-corp nur nach Prüfung aller eingebetteten Drittressourcen"
            }
        ],
        "status": "kritisch",
        "missing": [
            "HSTS",
            "Content-Security-Policy",
            "X-Frame-Options",
            "X-Content-Type-Options",
            "Referrer-Policy",
            "Permissions-Policy",
            "Cross-Origin-Opener-Policy",
            "Cross-Origin-Resource-Policy",
            "Cross-Origin-Embedder-Policy"
        ],
        "summary": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
        "findings": [],
        "ok_count": 0,
        "weak_count": 0,
        "csp_analysis": {
            "color": "red",
            "score": 0,
            "status": "fehlt",
            "summary": "Keine Content-Security-Policy gefunden.",
            "enforced": false,
            "findings": [],
            "available": false,
            "directives": [],
            "report_only": false,
            "finding_count": 0,
            "warning_count": 0,
            "priority_fixes": [
                "CSP schrittweise im Report-Only-Modus testen und danach als wirksamen Header ausrollen."
            ]
        },
        "fix_snippets": {
            "items": [
                {
                    "label": "HSTS",
                    "value": "max-age=31536000; includeSubDomains",
                    "header": "strict-transport-security",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "Content-Security-Policy",
                    "value": "default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'",
                    "header": "content-security-policy",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "X-Frame-Options",
                    "value": "SAMEORIGIN",
                    "header": "x-frame-options",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "X-Content-Type-Options",
                    "value": "nosniff",
                    "header": "x-content-type-options",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "Referrer-Policy",
                    "value": "strict-origin-when-cross-origin",
                    "header": "referrer-policy",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "Permissions-Policy",
                    "value": "camera=(), microphone=(), geolocation=()",
                    "header": "permissions-policy",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "Cross-Origin-Opener-Policy",
                    "value": "same-origin",
                    "header": "cross-origin-opener-policy",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "Cross-Origin-Resource-Policy",
                    "value": "same-site",
                    "header": "cross-origin-resource-policy",
                    "reason": "Fehlt in der HTTP-Antwort."
                },
                {
                    "label": "Cross-Origin-Embedder-Policy",
                    "value": "require-corp",
                    "header": "cross-origin-embedder-policy",
                    "reason": "Fehlt in der HTTP-Antwort."
                }
            ],
            "nginx": "add_header strict-transport-security \"max-age=31536000; includeSubDomains\" always;\nadd_header content-security-policy \"default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'\" always;\nadd_header x-frame-options \"SAMEORIGIN\" always;\nadd_header x-content-type-options \"nosniff\" always;\nadd_header referrer-policy \"strict-origin-when-cross-origin\" always;\nadd_header permissions-policy \"camera=(), microphone=(), geolocation=()\" always;\nadd_header cross-origin-opener-policy \"same-origin\" always;\nadd_header cross-origin-resource-policy \"same-site\" always;\nadd_header cross-origin-embedder-policy \"require-corp\" always;",
            "notes": [
                "CSP zuerst im Staging oder als Report-Only testen, wenn externe Skripte, Frames oder APIs genutzt werden.",
                "HSTS erst mit stabiler HTTPS-Konfiguration und gültigem Zertifikat für alle Subdomains aktivieren.",
                "COEP\/CORP nur aktivieren, wenn eingebettete Drittressourcen kompatible Header senden; sonst zuerst im Staging testen.",
                "Header nach Deployment erneut mit SaferPage prüfen."
            ],
            "apache": "Header always set strict-transport-security \"max-age=31536000; includeSubDomains\"\nHeader always set content-security-policy \"default-src 'self'; object-src 'none'; base-uri 'self'; frame-ancestors 'self'\"\nHeader always set x-frame-options \"SAMEORIGIN\"\nHeader always set x-content-type-options \"nosniff\"\nHeader always set referrer-policy \"strict-origin-when-cross-origin\"\nHeader always set permissions-policy \"camera=(), microphone=(), geolocation=()\"\nHeader always set cross-origin-opener-policy \"same-origin\"\nHeader always set cross-origin-resource-policy \"same-site\"\nHeader always set cross-origin-embedder-policy \"require-corp\"",
            "summary": "9 konkrete Security-Header-Konfigurationszeile(n) für Betreiber abgeleitet.",
            "available": true,
            "guide_url": "\/guides\/security-header-setzen"
        },
        "missing_count": 9,
        "present_count": 0,
        "priority_fixes": [
            "HSTS: max-age=31536000; includeSubDomains",
            "Content-Security-Policy: Schrittweise CSP mit default-src 'self' und expliziten Drittanbietern einführen.",
            "X-Frame-Options: DENY oder SAMEORIGIN",
            "X-Content-Type-Options: nosniff"
        ],
        "missing_info_count": 5,
        "missing_warning_count": 4
    },
    "ai_search_policy_evidence": {
        "files": [
            {
                "id": "robots_txt",
                "url": "https:\/\/www.gmturnier-berlin.de\/robots.txt",
                "label": "robots.txt",
                "reason": "http_error",
                "status": "missing",
                "body_size": 0,
                "truncated": false,
                "body_sha256": "",
                "duration_ms": 65,
                "http_status": 404,
                "relevant_lines": []
            },
            {
                "id": "llms_txt",
                "url": "https:\/\/www.gmturnier-berlin.de\/llms.txt",
                "label": "llms.txt",
                "reason": "http_error",
                "status": "missing",
                "body_size": 0,
                "truncated": false,
                "body_sha256": "",
                "duration_ms": 68,
                "http_status": 404,
                "relevant_lines": []
            },
            {
                "id": "ai_txt",
                "url": "https:\/\/www.gmturnier-berlin.de\/.well-known\/ai.txt",
                "label": "AI Policy",
                "reason": "http_error",
                "status": "missing",
                "body_size": 0,
                "truncated": false,
                "body_sha256": "",
                "duration_ms": 78,
                "http_status": 404,
                "relevant_lines": []
            },
            {
                "id": "ai_policy_txt",
                "url": "https:\/\/www.gmturnier-berlin.de\/.well-known\/ai-policy.txt",
                "label": "AI Policy",
                "reason": "http_error",
                "status": "missing",
                "body_size": 0,
                "truncated": false,
                "body_sha256": "",
                "duration_ms": 66,
                "http_status": 404,
                "relevant_lines": []
            },
            {
                "id": "ward_txt",
                "url": "https:\/\/www.gmturnier-berlin.de\/.well-known\/ward.txt",
                "label": "WARD Policy",
                "reason": "http_error",
                "status": "missing",
                "body_size": 0,
                "truncated": false,
                "body_sha256": "",
                "duration_ms": 113,
                "http_status": 404,
                "relevant_lines": []
            }
        ],
        "origin": "https:\/\/www.gmturnier-berlin.de",
        "schema": "https:\/\/saferpage.de\/schemas\/ai-search-policy-evidence.v1",
        "status": "checked",
        "metrics": {
            "file_count": 5,
            "found_file_count": 0,
            "policy_file_count": 0,
            "explicit_ai_bot_count": 0
        },
        "summary": "0 von 5 Policy-Datei(en) gefunden; 0 explizite KI-Bot-Regel(n) in robots.txt.",
        "available": true,
        "guardrails": [
            "Nur feste Same-Origin-Policy-Dateien",
            "Keine Off-Host-Redirects",
            "64-KB-Body-Limit",
            "Öffentlich nur Hash, Status und kurze relevante Zeilen"
        ],
        "known_ai_bots": [
            "GPTBot",
            "ChatGPT-User",
            "Google-Extended",
            "ClaudeBot",
            "PerplexityBot",
            "CCBot"
        ],
        "explicit_ai_bots": [],
        "policy_file_count": 0,
        "llms_ward_policy_status": "not_publicly_verified",
        "robots_ai_policy_status": "robots_missing"
    },
    "embedded_content_analysis": {
        "color": "green",
        "items": [],
        "score": 100,
        "status": "unauffällig",
        "summary": "0 externe Embed-\/Widget-Dienst(e), 0 davon im ersten Browseraufruf geladen.",
        "findings": [],
        "map_count": 0,
        "total_count": 0,
        "video_count": 0,
        "captcha_count": 0,
        "priority_fixes": [],
        "category_counts": [],
        "social_widget_count": 0,
        "loaded_pre_consent_count": 0,
        "request_count_by_provider": []
    },
    "incident_breach_readiness": {
        "status": "sofort vorbereiten",
        "summary": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
        "available": true,
        "scenarios": [
            {
                "id": "security_control_gap",
                "label": "Security-Header\/TLS-Kontrolllücke mit personenbezogenem Webtraffic",
                "owner": "IT\/Security",
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "severity": "kritisch",
                "guide_url": "\/guides\/security-header-setzen",
                "triggered": true,
                "risk_score": 78,
                "first_response": "Webserver-Konfiguration einfrieren, Logs sichern, betroffene Endpunkte identifizieren und Header-\/TLS-Fix als Sofortmaßnahme planen.",
                "notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
            },
            {
                "id": "data_flow_exposure",
                "label": "Datenfluss mit hohem Risiko oder unklarem Empfänger",
                "owner": "Datenschutz\/IT",
                "evidence": "9 Datenfluss-Kanten, 3 hohes Risiko, 0 Transfer-Kante(n).",
                "severity": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "triggered": true,
                "risk_score": 62,
                "first_response": "Top-Datenflüsse isolieren, betroffene Datenkategorien und Empfänger bestimmen, interne Systeme und Löschfristen aus Betreiberakten ergänzen.",
                "notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
            },
            {
                "id": "pii_url_referrer_leak",
                "label": "PII-, URL- oder Referrer-Leakage auf Formular-\/Tracking-Pfaden",
                "owner": "IT\/Datenschutz",
                "evidence": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
                "severity": "mittel",
                "guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
                "triggered": false,
                "risk_score": 50,
                "first_response": "Betroffene URLs\/Requests sichern, Formulardaten aus URLs entfernen, Referrer-Policy verschärfen und Drittanbieter auf Formularseiten blockieren.",
                "notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
            },
            {
                "id": "vendor_or_processor_incident",
                "label": "Anbieter-\/Processor-Vorfall oder Drittlandtransfer unklar",
                "owner": "Vendor Owner\/Legal",
                "evidence": "0 Anbieter, 0 AVV-\/DPA-Prüfung(en), 0 Transferfrage(n).",
                "severity": "mittel",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "triggered": false,
                "risk_score": 44,
                "first_response": "Vendor Owner kontaktieren, Anbieterakte öffnen, betroffene Dienste\/Datenflüsse aus Data Map markieren und vertragliche Breach-Notification-Fristen prüfen.",
                "notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
            },
            {
                "id": "cookie_tracking_incident",
                "label": "Tracking-\/Cookie-Fehlkonfiguration mit möglichem Personenbezug",
                "owner": "Marketing\/IT",
                "evidence": "0 Cookie(s) inventarisiert: 0 Tracking-\/Werbe-Cookie(s), 0 Drittanbieter-Cookie(s), 0 langlebige Cookie(s), 0 sehr lange Laufzeit(en).",
                "severity": "niedrig",
                "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
                "triggered": false,
                "risk_score": 34,
                "first_response": "Consent-Zustände reproduzieren, Cookie-\/Storage-Werte nicht exportieren, betroffene Anbieter und Zwecke im Cookie-Inventar markieren.",
                "notification_assessment": "72-Stunden-Prüfung starten; Meldepflicht hängt von Risiko für Betroffene und interner Sachlage ab."
            }
        ],
        "disclaimer": "Automatisch aus Website- und Betreiberartefakten abgeleiteter Incident-Readiness-Entwurf; ersetzt keine rechtliche Meldeentscheidung und keine forensische Analyse.",
        "playbook_steps": [
            {
                "id": "intake",
                "owner": "Incident Lead",
                "phase": "Intake & Triage",
                "action": "Vorfall erfassen, Kenntniszeitpunkt setzen, Systeme\/Anbieter markieren und Beweissicherung starten.",
                "timebox": "0-4 Stunden",
                "evidence": "Incident-Ticket, Zeitstempel, erste technische Artefakte."
            },
            {
                "id": "containment",
                "owner": "IT\/Security",
                "phase": "Eindämmung",
                "action": "Betroffene Tags, Formulare, Anbieter oder Endpunkte stoppen beziehungsweise isolieren; Logs und Konfigurationen sichern.",
                "timebox": "0-24 Stunden",
                "evidence": "Änderungsprotokoll, Log-Sicherung, Screenshot\/Request-Nachweis."
            },
            {
                "id": "risk_assessment",
                "owner": "Datenschutz\/Legal",
                "phase": "Risiko für Betroffene",
                "action": "Datenarten, Anzahl Betroffener, Empfänger, Schutzmaßnahmen und mögliche Folgen bewerten.",
                "timebox": "24-48 Stunden",
                "evidence": "Risikobewertung, Data-Map-Auszug, Vendor-Akte."
            },
            {
                "id": "notification_decision",
                "owner": "DSB\/Legal",
                "phase": "Meldeentscheidung",
                "action": "Entscheidung zu Aufsichtsbehörde, Betroffeneninformation und Kundenkommunikation dokumentieren.",
                "timebox": "bis 72 Stunden",
                "evidence": "Meldeentscheidung, Begründung, Entwurf der Meldung oder Negativentscheidung."
            },
            {
                "id": "lessons_learned",
                "owner": "Programm-Owner",
                "phase": "Nachbereitung",
                "action": "Ursache beheben, TOMs\/Consent\/Data Map\/Vendor-Akten aktualisieren und Wiederholungstest planen.",
                "timebox": "7-30 Tage",
                "evidence": "Abnahmekriterium, Re-Scan, aktualisierte Betreiberartefakte."
            }
        ],
        "scenario_count": 5,
        "readiness_score": 50,
        "priority_actions": [
            "Incident Owner, Datenschutz\/Legal, IT\/Security und Vendor Owner mit 72h-Ablauf verbindlich benennen.",
            "Data Map, Vendor Due Diligence und Audit Evidence als Incident-Beweispaket verknüpfen.",
            "Meldeentscheidung, Betroffenenkommunikation und Negativentscheidung als Vorlagen vorbereiten."
        ],
        "evidence_checklist": [
            {
                "why": "Startpunkt für 72-Stunden-Prüfung.",
                "item": "Zeitpunkt der Kenntnisnahme",
                "source": "Incident Intake",
                "status": "manuell ergänzen"
            },
            {
                "why": "Grundlage für Risiko für Betroffene.",
                "item": "Betroffene Datenkategorien und Datenflüsse",
                "source": "Data Map",
                "status": "teilweise vorhanden"
            },
            {
                "why": "Vendor-Fristen und Unterauftragsverarbeiter prüfen.",
                "item": "Betroffene Anbieter\/Processor und AVV\/DPA",
                "source": "Vendor Due Diligence",
                "status": "nicht erkannt"
            },
            {
                "why": "Beweissicherung und nachvollziehbare Methodik.",
                "item": "Technische Nachweise und Hash-Manifest",
                "source": "Audit Evidence",
                "status": "vorhanden"
            },
            {
                "why": "Kommunikation mit Betroffenen vorbereiten.",
                "item": "Betroffenen-\/DSAR-Kontaktkanal",
                "source": "Privacy Rights",
                "status": "prüfen"
            },
            {
                "why": "Wiederholung und neue Signale erkennen.",
                "item": "Monitoring-\/Change-Alert",
                "source": "Monitoring",
                "status": "fehlt"
            }
        ],
        "high_scenario_count": 2,
        "notification_matrix": [
            {
                "owner": "DSB\/Legal",
                "region": "EU\/DSGVO",
                "deadline": "unverzüglich, möglichst binnen 72 Stunden an Aufsichtsbehörde",
                "condition": "Wenn Verletzung voraussichtlich ein Risiko für Rechte und Freiheiten natürlicher Personen darstellt."
            },
            {
                "owner": "DSB\/Kommunikation",
                "region": "Betroffene Personen",
                "deadline": "unverzüglich",
                "condition": "Wenn voraussichtlich hohes Risiko für Betroffene besteht."
            },
            {
                "owner": "Vendor Owner\/Legal",
                "region": "Processor\/Vendor",
                "deadline": "ohne unangemessene Verzögerung nach Kenntnis",
                "condition": "Wenn Anbieter als Auftragsverarbeiter betroffen ist oder Meldung vom Anbieter kommt."
            }
        ],
        "open_evidence_count": 3,
        "critical_scenario_count": 1,
        "notification_deadline_hint": "DSGVO: 72-Stunden-Prüfung ab Kenntnisnahme vorbereiten; konkrete Meldepflicht juristisch bewerten."
    },
    "privacy_control_framework": {
        "rows": [
            {
                "owner": "Marketing\/IT",
                "title": "Nicht notwendige Verarbeitung vor Einwilligung blockieren",
                "domain": "Consent & Preferences",
                "source": "consent_audit",
                "status": "lücke",
                "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
                "frequency": "bei jedem Release",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "control_id": "PCF-01",
                "requirement": "Nicht notwendige Cookies, Tracker und Vendoren dürfen erst nach wirksamer Einwilligung starten.",
                "control_score": 48,
                "manual_review": false,
                "test_procedure": "Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Marketing\/Compliance",
                "title": "Dauerhafter Widerruf und Preference Center",
                "domain": "Consent & Preferences",
                "source": "preference_center_readiness",
                "status": "lücke",
                "evidence": "Preference-Center-Readiness 48\/100; 4\/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "frequency": "quartalsweise",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "control_id": "PCF-02",
                "requirement": "Nutzer müssen Präferenzen dauerhaft, granular und gleichwertig ändern können.",
                "control_score": 48,
                "manual_review": false,
                "test_procedure": "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Content",
                "title": "Datenschutzhinweise versionieren und synchronisieren",
                "domain": "Transparency",
                "source": "notice_policy_lifecycle",
                "status": "lücke",
                "evidence": "Policy-\/Notice-Lifecycle-Readiness 53\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "frequency": "monatlich",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "control_id": "PCF-03",
                "requirement": "Notice, Cookie-Erklärung, Anbieterregister und beobachtete Technik müssen konsistent sein.",
                "control_score": 53,
                "manual_review": false,
                "test_procedure": "Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/IT",
                "title": "Datenklassen und Discovery-Scope pflegen",
                "domain": "Data Governance",
                "source": "data_discovery_classification",
                "status": "teilweise",
                "evidence": "Data-Discovery-\/Classification-Readiness 69\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "frequency": "monatlich",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "control_id": "PCF-04",
                "requirement": "Personenbezogene Datenarten, Quellen, PII-Risiken, Vendor Stores und DSAR-Suchscope sind klassifiziert.",
                "control_score": 69,
                "manual_review": false,
                "test_procedure": "Datenklassen, Discovery-Quellen, Klassifizierungsregeln und PII-Funde gegen Data Map prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "IT\/Compliance",
                "title": "Reproduzierbarer Scan- und Monitoring-Prozess",
                "domain": "Monitoring",
                "source": "scan_configuration_readiness",
                "status": "wirksam",
                "evidence": "Scan-Configuration-\/Monitoring-Readiness 82\/100; 9\/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder Betreiber-Nachweise offen.",
                "frequency": "laufend",
                "guide_url": "\/methodik",
                "control_id": "PCF-05",
                "requirement": "User-Agent, Crawl-Scope, Recrawl, Performance-Grenzen und Betreiberfreigabe sind dokumentiert.",
                "control_score": 82,
                "manual_review": false,
                "test_procedure": "Scanprofil, Sitemap-Scope, Evidence Pack, Crawler-Queue und Monitoring-Feeds prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Programm-Owner",
                "title": "Top-Risiken mit Owner und SLA steuern",
                "domain": "Risk Management",
                "source": "privacy_risk_register",
                "status": "lücke",
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "frequency": "wöchentlich",
                "guide_url": "\/methodik",
                "control_id": "PCF-06",
                "requirement": "Hohe Datenschutzrisiken brauchen Owner, SLA, Entscheidung, Nachweisquelle und Restrestrisiko.",
                "control_score": 18,
                "manual_review": false,
                "test_procedure": "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Legal",
                "title": "DACH\/EU-Quellen und Pflichten rückverfolgbar halten",
                "domain": "Regulatory Watch",
                "source": "regulatory_watch_readiness",
                "status": "teilweise",
                "evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
                "frequency": "monatlich",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "control_id": "PCF-07",
                "requirement": "Befunde müssen auf offizielle Quellen, Pflichten, Guides und Review-Kadenz rückverfolgbar sein.",
                "control_score": 58,
                "manual_review": false,
                "test_procedure": "Regulatory-Quellenmatrix, Obligationen, Watch Tasks und Alert-Trigger prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Support",
                "title": "Betroffenenrechte und DSAR-Workflow operationalisieren",
                "domain": "DSAR",
                "source": "dsar_workflow_readiness",
                "status": "lücke",
                "evidence": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse. DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "frequency": "quartalsweise",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "control_id": "PCF-08",
                "requirement": "Auskunft, Löschung, Widerspruch, Fristen, Identitätsprüfung, Redaction und Antwortpakete sind vorbereitet.",
                "control_score": 40,
                "manual_review": false,
                "test_procedure": "Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Product",
                "title": "PIA\/DPIA\/TIA\/Vendor\/AI-Assessments vorbefüllen",
                "domain": "Assessment Automation",
                "source": "privacy_assessment_automation",
                "status": "teilweise",
                "evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "frequency": "bei jedem Release",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "control_id": "PCF-09",
                "requirement": "Assessments werden aus Website-, Data-Map-, Vendor-, Risk- und Evidence-Signalen getriggert.",
                "control_score": 63,
                "manual_review": false,
                "test_procedure": "Vorlagen, Fragen, Vorbefüllung, Evidence und Mitigation Workflow prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Legal\/IT",
                "title": "Speicherfristen und Löschung nach Datenklasse steuern",
                "domain": "Retention",
                "source": "retention_deletion_readiness",
                "status": "lücke",
                "evidence": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "frequency": "quartalsweise",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "control_id": "PCF-10",
                "requirement": "Retention Schedule, Löschtrigger, Vendor-Löschung, Backups und Löschprotokolle sind nachvollziehbar.",
                "control_score": 52,
                "manual_review": false,
                "test_procedure": "Retention Schedule, Deletion Workflow und Evidence Requirements prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Legal\/Vendor Owner",
                "title": "Vendor Lifecycle und Drittanbieterakten steuern",
                "domain": "Vendor Risk",
                "source": "vendor_lifecycle_risk",
                "status": "lücke",
                "evidence": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen. Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
                "frequency": "quartalsweise",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "control_id": "PCF-11",
                "requirement": "Anbieterrollen, AVV\/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding sind prüfbar.",
                "control_score": 41,
                "manual_review": false,
                "test_procedure": "Vendor Scores, DPA\/TIA-Fragen, Lifecycle Steps und Evidence Requirements prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Product\/IT",
                "title": "DPIA\/DSFA und Data Map verbinden",
                "domain": "Privacy by Design",
                "source": "dpia_screening",
                "status": "lücke",
                "evidence": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch. Data Map mit 10 Knoten und 9 Datenfluss-Kanten; 3 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.",
                "frequency": "bei jedem Release",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "control_id": "PCF-12",
                "requirement": "Hohe Risiken, Verarbeitungstätigkeiten und Datenflüsse werden vor Go-live bewertet.",
                "control_score": 35,
                "manual_review": false,
                "test_procedure": "DPIA-Faktoren, RoPA-Aktivitäten und Datenfluss-Kanten prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Datenschutz\/Product\/Legal",
                "title": "AI-\/Profiling-\/Automated-Decisioning-Kontrollen",
                "domain": "AI Governance",
                "source": "ai_governance_readiness",
                "status": "lücke",
                "evidence": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
                "frequency": "quartalsweise",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "control_id": "PCF-13",
                "requirement": "AI-, Chat-, Profiling- und automatisierte Entscheidungs-Use-Cases sind inventarisiert und bewertet.",
                "control_score": 24,
                "manual_review": false,
                "test_procedure": "AI-Signale, Use Cases, Controls und Assessment Questions prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "IT\/Security\/DSB",
                "title": "Webschutz und Breach Readiness",
                "domain": "Security & Incident",
                "source": "incident_breach_readiness",
                "status": "lücke",
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden. Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "frequency": "monatlich",
                "guide_url": "\/guides\/security-header-setzen",
                "control_id": "PCF-14",
                "requirement": "Security-Header, Beweissicherung, Incident Owner, 72h-Prüfung und Meldeentscheidung sind vorbereitet.",
                "control_score": 34,
                "manual_review": false,
                "test_procedure": "Security-Header, Incident-Szenarien, Playbook, Notification Matrix und Evidence Checklist prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Compliance\/IT",
                "title": "Auditfähige Nachweise und Integrität sichern",
                "domain": "Audit Evidence",
                "source": "audit_receipt",
                "status": "wirksam",
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "frequency": "bei jedem Scan",
                "guide_url": "\/methodik",
                "control_id": "PCF-15",
                "requirement": "Prüfbeleg, Hash-Manifest, Exportpaket und Screenshot sind versioniert und reproduzierbar.",
                "control_score": 90,
                "manual_review": false,
                "test_procedure": "Audit Receipt, Evidence Manifest, ZIP, XLSX und Screenshot gegen Report-ID prüfen.",
                "acceptance_criterion": "Score >= 80 und keine kritischen offenen Nachweise."
            },
            {
                "owner": "Betreiber\/DSB",
                "title": "Interne Betreiber-Nachweise einsammeln",
                "domain": "Operator Evidence",
                "source": "operator_evidence",
                "status": "Betreiber-Nachweis",
                "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
                "frequency": "laufend",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "control_id": "PCF-16",
                "requirement": "Interne Systeme, Freigaben, Verträge, DSFA-Entscheidungen und Kontrolltests werden als Betreiberartefakte ergänzt.",
                "control_score": 35,
                "manual_review": true,
                "test_procedure": "Betreiberartefakte hochladen oder im Trust Center verlinken: AVV\/DPA, TOMs, DPIA, ROPA, Löschprotokolle, Consent Logs.",
                "acceptance_criterion": "Betreiber lädt Nachweis, Entscheidung und Freigabe hoch."
            }
        ],
        "status": "Kontrollsystem aufbauen",
        "domains": [
            {
                "domain": "Risk Management",
                "open_count": 1,
                "domain_score": 18,
                "control_count": 1
            },
            {
                "domain": "AI Governance",
                "open_count": 1,
                "domain_score": 24,
                "control_count": 1
            },
            {
                "domain": "Security & Incident",
                "open_count": 1,
                "domain_score": 34,
                "control_count": 1
            },
            {
                "domain": "Operator Evidence",
                "open_count": 1,
                "domain_score": 35,
                "control_count": 1
            },
            {
                "domain": "Privacy by Design",
                "open_count": 1,
                "domain_score": 35,
                "control_count": 1
            },
            {
                "domain": "DSAR",
                "open_count": 1,
                "domain_score": 40,
                "control_count": 1
            },
            {
                "domain": "Vendor Risk",
                "open_count": 1,
                "domain_score": 41,
                "control_count": 1
            },
            {
                "domain": "Consent & Preferences",
                "open_count": 2,
                "domain_score": 48,
                "control_count": 2
            },
            {
                "domain": "Retention",
                "open_count": 1,
                "domain_score": 52,
                "control_count": 1
            },
            {
                "domain": "Transparency",
                "open_count": 1,
                "domain_score": 53,
                "control_count": 1
            },
            {
                "domain": "Regulatory Watch",
                "open_count": 0,
                "domain_score": 58,
                "control_count": 1
            },
            {
                "domain": "Assessment Automation",
                "open_count": 0,
                "domain_score": 63,
                "control_count": 1
            },
            {
                "domain": "Data Governance",
                "open_count": 0,
                "domain_score": 69,
                "control_count": 1
            },
            {
                "domain": "Monitoring",
                "open_count": 0,
                "domain_score": 82,
                "control_count": 1
            },
            {
                "domain": "Audit Evidence",
                "open_count": 0,
                "domain_score": 90,
                "control_count": 1
            }
        ],
        "summary": "Privacy Controls Framework 49\/100; 2\/16 Kontrolle(n) wirksam, 11 offen oder Betreiber-Nachweis.",
        "available": true,
        "test_plan": [
            {
                "id": "release_gate",
                "test": "Consent, Scanprofil, neue Anbieter, neue Formulare, DPIA-Trigger und Risk Register vor Go-live prüfen.",
                "owner": "Website-Betrieb\/Datenschutz",
                "cadence": "bei jedem Release",
                "evidence": "Scan-ID, Ticket-Entscheidung, Exportpaket."
            },
            {
                "id": "monthly_review",
                "test": "Regulatory Watch, Disclosure-Gaps, Risk Register und Monitoring-Alerts reviewen.",
                "owner": "Datenschutz\/Legal",
                "cadence": "monatlich",
                "evidence": "Review-Protokoll, Quellenmatrix, offene Entscheidungen."
            },
            {
                "id": "quarterly_control_test",
                "test": "Kontrollkatalog gegen Trust Center, DSAR, Vendor, Retention und Incident Evidence testen.",
                "owner": "Programm-Owner",
                "cadence": "quartalsweise",
                "evidence": "Kontrolltest, Stichprobe, Abweichung, Maßnahme."
            }
        ],
        "disclaimer": "Automatisch aus SaferPage-Modulen abgeleiteter Kontrollkatalog. Er ersetzt kein internes Kontrollsystem, keine Rechtsberatung und keine unabhängige Auditbestätigung; Betreiber müssen Kontrolltests und Nachweise freigeben.",
        "open_count": 11,
        "domain_count": 15,
        "control_count": 16,
        "control_score": 49,
        "effective_count": 2,
        "priority_actions": [
            "Default-, Reject-, Accept- und GPC-Zustand gegen Cookies, Requests und Storage vergleichen.",
            "Preference-Center-Link, Reject-Pfad, Consent-Ledger und Downstream-Sync prüfen.",
            "Disclosure-Gaps, Versionen, Freigaben und Publikationscheckliste gegen Scan-Evidenz testen.",
            "Risk Register nach kritischen Zeilen, fälligen SLAs und offenen Managemententscheidungen prüfen.",
            "Intake-Felder, Anfragearten, Workflow-Schritte und Evidence Requirements prüfen."
        ],
        "source_artifacts": [
            "consent_audit",
            "preference_center_readiness",
            "notice_policy_lifecycle",
            "data_discovery_classification",
            "scan_configuration_readiness",
            "privacy_risk_register",
            "regulatory_watch_readiness",
            "dsar_workflow_readiness",
            "privacy_assessment_automation",
            "retention_deletion_readiness",
            "vendor_lifecycle_risk",
            "dpia_screening",
            "ai_governance_readiness",
            "incident_breach_readiness",
            "audit_receipt"
        ]
    },
    "scan_history_chain_digest": {
        "rows": [
            {
                "score": 0,
                "current": true,
                "scan_id": "",
                "verdict": "riskant",
                "link_hash": "d3b922787fa1b37ec8d54c0fc08776504087b744323884f54f76b2d2bbcf7a44",
                "root_hash": "3a9c0d2c99ce93531b42a80ca6fdc89010cd39111f2ab406da3d8d9cccffeab4",
                "created_at": "",
                "chain_index": 1,
                "finding_count": 160,
                "previous_link_hash": "",
                "integrity_available_hash_count": 9
            }
        ],
        "status": "einzelscan",
        "summary": "Scan-Historie mit 1 Link(s) per SHA-256 verkettet; 1 Link(s) enthalten ein Integritätsmanifest. Head-Hash d3b922787fa1b37e.",
        "algorithm": "sha256",
        "available": true,
        "head_hash": "d3b922787fa1b37ec8d54c0fc08776504087b744323884f54f76b2d2bbcf7a44",
        "limitations": [
            "Die Kette ist ein technischer Integritätsnachweis innerhalb der gespeicherten SaferPage-Historie.",
            "Sie ersetzt keine qualifizierte elektronische Signatur und keine externe Zeitstempelstelle."
        ],
        "chain_length": 1,
        "canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; jeder Link enthält Scan-ID, Zeitpunkt, Score, Root-Hash und vorherigen Link-Hash.",
        "current_root_hash": "3a9c0d2c99ce93531b42a80ca6fdc89010cd39111f2ab406da3d8d9cccffeab4",
        "verification_steps": [
            "Scan-Historie chronologisch von alt nach neu sortieren.",
            "Für jeden Scan den kanonischen Link-Datensatz hashen.",
            "Den vorherigen Link-Hash im nächsten Link mitführen und den finalen Head-Hash vergleichen.",
            "Root-Hash je Scan gegen das Integritätsmanifest des jeweiligen Reports prüfen."
        ],
        "complete_link_count": 1
    },
    "vendor_processor_register": {
        "color": "green",
        "items": [],
        "score": 100,
        "status": "unauffällig",
        "summary": "0 Empfänger-\/Anbieter-Eintrag\/Einträge aus Browserkontakten und Cookie-Inventar, 0 datenschutzrelevant, 0 mit AVV-\/Rollenprüfung.",
        "available": true,
        "disclaimer": "Automatisch aus technischen SaferPage-Signalen abgeleitet; Rollen, Verträge und Rechtsgrundlagen müssen Betreiber fachlich prüfen.",
        "total_count": 0,
        "priority_fixes": [],
        "dpa_check_count": 0,
        "high_priority_count": 0,
        "transfer_check_count": 0,
        "privacy_relevant_count": 0
    },
    "consent_banner_ux_analysis": {
        "rows": [
            {
                "id": "first_layer_reject_visible",
                "ok": true,
                "label": "Ablehnen auf erster Ebene sichtbar",
                "action": "Ablehnen im ersten Banner-Layer genauso leicht erreichbar machen wie Akzeptieren.",
                "status": "ok",
                "evidence": "Sichtbare Controls: Akzeptieren 0, Ablehnen 0, Einstellungen 0.",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "first_layer_settings_visible",
                "ok": true,
                "label": "Einstellungen sichtbar erreichbar",
                "action": "Cookie-Auswahl, Zwecke und Anbieter über eine gut sichtbare Einstellungen-Schaltfläche öffnen.",
                "status": "ok",
                "evidence": "Einstellungs-\/Auswahl-Controls im Banner: 0.",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "reject_accept_symmetry",
                "ok": true,
                "label": "Ablehnen und Akzeptieren wirken gleichwertig",
                "action": "Ablehnen mit vergleichbarer Größe, Farbe, Position und Textgewicht wie Akzeptieren darstellen.",
                "status": "ok",
                "evidence": "Größenverhältnis Ablehnen\/Akzeptieren: nicht messbar. Accept-Fläche 0, Reject-Fläche 0.",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "reject_clickable",
                "ok": true,
                "label": "Ablehnen technisch klickbar",
                "action": "Ablehnen als echten Button\/Link ohne Overlay-Hürden, Scrollzwang oder versteckte zweite Ebene umsetzen.",
                "status": "ok",
                "evidence": "Reject-Test: kein Button gefunden. Text: ",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "reject_effective",
                "ok": true,
                "label": "Ablehnen stoppt neue Tracking-Signale",
                "action": "Nach Ablehnen keine nicht notwendigen Cookies, Tracking-Storage-Keys oder Tracking-\/Werbekontakte auslösen.",
                "status": "ok",
                "evidence": "Nach Ablehnen: 0 neue Cookie(s), 0 Tracking-Storage-Hinweis(e), 0 neue Datenschutz-Domain(s).",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "accept_delta_documented",
                "ok": true,
                "label": "Akzeptieren-Wirkung nachvollziehbar",
                "action": "Nach Akzeptieren geladene Dienste, Cookies und Storage-Einträge in Cookie-Auswahl und Datenschutzerklärung abbilden.",
                "status": "ok",
                "evidence": "Accept-Test: nicht verfügbar; neue Cookies 0, neue Datenschutz-Domains 0.",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "gpc_respected",
                "ok": true,
                "label": "GPC-Aufruf ohne neue Tracking-Hinweise",
                "action": "Global Privacy Control als Opt-out-Signal berücksichtigen und Tracking-\/Sharing-Dienste begrenzen.",
                "status": "ok",
                "evidence": "GPC: Datenschutz-Domains 0, Drittanbieter-Cookies 0, Storage-Hinweise 0.",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            },
            {
                "id": "no_tracking_cookies_pre_consent",
                "ok": true,
                "label": "Keine Tracking-Cookies vor Einwilligung",
                "action": "Analytics-, Marketing- und Profiling-Cookies erst nach aktiver Einwilligung setzen.",
                "status": "ok",
                "evidence": "0 Tracking-Cookie(s) im Erstaufruf.",
                "severity": "niedrig",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            }
        ],
        "color": "green",
        "score": 100,
        "status": "unauffällig",
        "summary": "Consent-Banner-UX: 0 auffällige Prüfpunkt(e), davon 0 hoch. Keine klaren Dark-Pattern-Muster aus den Browserdaten abgeleitet.",
        "findings": [],
        "available": true,
        "disclaimer": "Automatisch aus sichtbaren Banner-Controls und Browser-Interaktionen abgeleitet; visuelle Details und Rechtmäßigkeit fachlich prüfen.",
        "high_count": 0,
        "medium_count": 0,
        "accept_clicked": false,
        "priority_fixes": [],
        "reject_clicked": false,
        "dark_pattern_count": 0,
        "dark_pattern_labels": [],
        "accept_control_count": 0,
        "reject_control_count": 0,
        "reject_less_prominent": false,
        "settings_control_count": 0,
        "reject_prominence_ratio": 0
    },
    "processing_activity_record": {
        "host": "gmturnier-berlin.de",
        "status": "Entwurf",
        "summary": "RoPA-Entwurf mit 2 Verarbeitungstätigkeit(en), 1 hohem Risikolevel und 6 offenen Betreiberfragen.",
        "available": true,
        "activities": [
            {
                "name": "Website-Formulare und Eingaben",
                "purpose": "Bearbeitung von Eingaben, Kontakt-, Newsletter- oder Konto-\/Service-Anfragen.",
                "evidence": "2 Formular(e), Datenarten Name\/personenbezogene Daten, Kontaktformular.",
                "transfer": "0 Drittanbieter für Transfer-\/Jurisdiktionsprüfung, 0 mit hohem Prüfbedarf, 0 unklar.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "confidence": 82,
                "recipients": [],
                "risk_level": "hoch",
                "activity_id": "website_forms",
                "data_subjects": [
                    "Website-Besucher"
                ],
                "dpia_relevance": "prüfen",
                "retention_hint": "Löschfrist je Anfrage-\/Newsletter-\/Konto-Prozess festlegen.",
                "controller_hint": "gmturnier-berlin.de",
                "data_categories": [
                    "Name\/personenbezogene Daten",
                    "Kontaktformular"
                ],
                "operator_action": "Zweck, Pflichtfelder, Empfänger, Speicherfrist, Rechtsgrundlage und Betroffenenrechte je Formular dokumentieren.",
                "legal_basis_hint": "Art. 6 Abs. 1 lit. b\/f DSGVO oder Einwilligung je Formularzweck prüfen.",
                "security_measures_hint": "HTTPS\/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.",
                "processor_or_recipient_count": 0
            },
            {
                "name": "Betroffenenrechte- und Datenschutzanfragen",
                "purpose": "Annahme, Prüfung und Beantwortung von Auskunfts-, Lösch-, Berichtigungs-, Widerspruchs- oder Portabilitätsanfragen.",
                "evidence": "Betroffenenrechte-Readiness: 46\/100 Punkte, 4 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.",
                "transfer": "Kein Drittlandtransfer ohne eingesetztes Ticket-\/Mail-\/Portal-System; Betreiber prüfen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "confidence": 74,
                "recipients": [
                    "interne Datenschutz-\/Legal-\/Fachbereichsteams"
                ],
                "risk_level": "mittel",
                "activity_id": "privacy_rights_requests",
                "data_subjects": [
                    "Website-Besucher"
                ],
                "dpia_relevance": "prüfen",
                "retention_hint": "Nach Abschluss nur erforderliche Nachweise und Fristenprotokoll aufbewahren.",
                "controller_hint": "gmturnier-berlin.de",
                "data_categories": [
                    "Identitätsbezug",
                    "Kontaktinformationen",
                    "Anfragetyp",
                    "Kommunikationsinhalte"
                ],
                "operator_action": "Intake-Kanal, Fristen, Identitätsprüfung, sichere Antwort und Löschkonzept dokumentieren.",
                "legal_basis_hint": "Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten.",
                "security_measures_hint": "HTTPS\/TLS, Zugriffsbeschränkung, datensparsame Logs, Consent-Gating und regelmäßiger SaferPage-Wiederholungsscan prüfen.",
                "processor_or_recipient_count": 1
            }
        ],
        "disclaimer": "Automatisch aus öffentlicher Website-Evidenz abgeleiteter RoPA-Entwurf. Interne Systeme, Fachprozesse und verbindliche Rechtsgrundlagen müssen Betreiber ergänzen.",
        "activity_count": 2,
        "open_questions": [
            "Wer ist rechtlich Verantwortlicher und wer sind interne Prozess-Owner je Aktivität?",
            "Welche konkrete Rechtsgrundlage gilt je Zweck und Datenkategorie?",
            "Welche Löschfrist ist fachlich\/rechtlich verbindlich?",
            "Welche Systeme speichern die Daten tatsächlich außerhalb der öffentlich sichtbaren Website?",
            "Welche Auftragsverarbeiter, Unterauftragsverarbeiter und Transferinstrumente sind vertraglich dokumentiert?",
            "Welche TOMs und Zugriffsbeschränkungen gelten je Verarbeitung?"
        ],
        "controller_hint": "gmturnier-berlin.de",
        "high_risk_count": 1,
        "priority_actions": [
            "RoPA-Entwurf mit Fachbereich, Datenschutz und IT gegen reale Systeme vervollständigen.",
            "Rechtsgrundlage, Löschfrist, Empfänger und TOMs je Aktivität verbindlich festlegen.",
            "RoPA nach jedem SaferPage-Wiederholungsscan und jeder Website-Änderung aktualisieren."
        ],
        "source_artifacts": [
            "privacy_notice_draft",
            "cookie_declaration_document",
            "vendor_processor_register",
            "privacy_rights_readiness",
            "dpia_screening",
            "browser_analysis"
        ],
        "open_question_count": 6
    },
    "regulatory_watch_readiness": {
        "rows": [
            {
                "id": "official_sources",
                "label": "Offizielle Quellen und Regulatorik-Links vorhanden",
                "owner": "Datenschutz\/Legal",
                "action": "Offizielle DACH-\/EU-Quellen je Prüfbereich pflegen und im Report verlinken.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "cadence": "monatlich",
                "evidence": "8 Quellen, 4 offiziell eingeordnet.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "dach_profile",
                "label": "DACH\/EU-Prüfprofil gesetzt",
                "owner": "Compliance",
                "action": "Betreiberregion, Zielregion, Website-Typ und Zielgruppe je Domain bestätigen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "cadence": "monatlich",
                "evidence": "Prüfprofil Deutschland -> DACH: Allgemeine Website, Zielgruppe Gemischte Zielgruppe. 4 Schwerpunkt(e) für Betreiber priorisiert.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "obligation_traceability",
                "label": "Befunde auf Pflichten und Guides rückverfolgbar",
                "owner": "Datenschutz\/IT",
                "action": "Jeden kritischen Befund mit Quelle, Pflicht, Evidence, Owner und Behebungs-Guide verbinden.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "cadence": "monatlich",
                "evidence": "3 Rechtsgrundlagenzeile(n), 8 Quellenzeile(n).",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "change_monitoring",
                "label": "Wiederholungsscans und Change-Alerts angebunden",
                "owner": "Compliance\/IT",
                "action": "Regulatorische Prüfpunkte bei neuen Cookies, Anbietern, Formularen, AI-\/Profiling-Use-Cases und Rechtsänderungen erneut bewerten.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "cadence": "laufend",
                "evidence": "Alerts 0, Change-Log-Zeilen 0.",
                "guide_url": "\/monitoring",
                "manual_review": false
            },
            {
                "id": "risk_prioritization",
                "label": "Regulatorische Risiken priorisiert",
                "owner": "Programm-Owner",
                "action": "Regulatorische Watchlist nach Risiko, Frist, Owner und Audit-Nachweis priorisieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "cadence": "monatlich",
                "evidence": "Top-Risiken 8, Risikolevel hoch.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "regulatory_owner",
                "label": "Owner und Review-Kadenz definiert",
                "owner": "DSB\/Legal",
                "action": "Legal\/DSB, Website-Betrieb, Marketing, Security und Product als feste Owner für regulatorische Änderungen benennen.",
                "passed": false,
                "status": "prüfen",
                "weight": 10,
                "cadence": "quartalsweise",
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": true
            },
            {
                "id": "source_freshness",
                "label": "Quellenstand und Auswirkungsbewertung versioniert",
                "owner": "Compliance",
                "action": "Quelle, Abrufdatum, betroffene Domains, geänderte Pflicht und Umsetzungsticket versionieren.",
                "passed": false,
                "status": "prüfen",
                "weight": 10,
                "cadence": "bei Änderung",
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": true
            },
            {
                "id": "authority_intake",
                "label": "Behörden-\/Rechtsprechungs-Intake für DACH\/EU",
                "owner": "Datenschutz\/Legal",
                "action": "DSK, BfDI\/Landesbehörden, EDPB, EUR-Lex, BSI und BFSG\/WCAG-Quellen als Watchlist führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "cadence": "monatlich",
                "evidence": "Offizielle Quellen 4; Schwerpunkt(e): BFSG\/WCAG, BSI\/Sicherheit, Barrierefreiheit, Consent, DDG\/Anbieterkennzeichnung, DSGVO Rechtsgrundlagen.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "management_digest",
                "label": "Management-Digest für regulatorische Änderungen",
                "owner": "Programm-Owner",
                "action": "Monatlichen Digest mit neuen Risiken, behobenen Befunden, offenen Rechtsfragen und nächsten Entscheidungen erzeugen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "cadence": "monatlich",
                "evidence": "Monitoring-Alert: start_warnung. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta n\/a.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            }
        ],
        "score": 58,
        "status": "ausbaufähig",
        "summary": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 4,
        "disclaimer": "Automatisch aus SaferPage-Quellenmatrix und Scan-Evidenz abgeleiteter Regulatory-Watch-Entwurf. Er ersetzt keine Rechtsberatung, kein kostenpflichtiges Rechtsmonitoring und keine verbindliche Behördenauslegung.",
        "check_count": 9,
        "obligations": [
            {
                "id": "dsk_digitale_dienste",
                "area": "TDDDG\/ePrivacy",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "relevance": "Einordnung von Cookies, ähnlichen Technologien, Einwilligung und Endgerätezugriff.",
                "source_url": "https:\/\/www.datenschutzkonferenz-online.de\/media\/oh\/OH_Digitale_Dienste.pdf",
                "source_name": "DSK Orientierungshilfe digitale Dienste",
                "review_cadence": "monatlich",
                "operator_action": "Nicht notwendige Cookies, Web Storage, Tags und Trackingkontakte vor Einwilligung blockieren und Ablehnen\/Widerruf nachweisen."
            },
            {
                "id": "gdpr_art6",
                "area": "DSGVO Rechtsgrundlagen",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "3 Einwilligungs-\/Rechtsgrundlagenzeile(n), 3 unklar\/prüfen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "relevance": "Rechtsgrundlage für jede Verarbeitung, insbesondere Tracking, Drittanbieter und Formulare.",
                "source_url": "https:\/\/eur-lex.europa.eu\/eli\/reg\/2016\/679\/oj",
                "source_name": "DSGVO Art. 6",
                "review_cadence": "monatlich",
                "operator_action": "Zwecke, Datenarten, Empfänger und Rechtsgrundlagen in Datenschutzerklärung und interner Dokumentation abgleichen."
            },
            {
                "id": "bsi_web_tls_headers",
                "area": "BSI\/Sicherheit",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "guide_url": "\/guides\/security-header-setzen",
                "relevance": "Transportverschlüsselung, Webserver-Härtung und Security-Header sind Datenschutz-Schutzmaßnahmen.",
                "source_url": "https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Mindeststandards\/Mindeststandard_BSI_TLS_Version_2_3.pdf",
                "source_name": "BSI TLS-Mindeststandard und IT-Grundschutz Webserver\/Webanwendungen",
                "review_cadence": "quartalsweise",
                "operator_action": "Fehlende Security-Header, CSP und TLS-\/HSTS-Konfiguration gemäß Betreiber-Guide nachziehen."
            },
            {
                "id": "wcag_eaa_bitv",
                "area": "Barrierefreiheit",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "5 WCAG-\/EAA-Prüfpunkt(e) auffällig, davon 2 mit hoher Auswirkung.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "relevance": "Barrierefreie Bedienung von Formularen, Cookie-Bannern, Navigation und Inhalten.",
                "source_url": "https:\/\/www.w3.org\/TR\/WCAG22\/",
                "source_name": "WCAG 2.2 \/ BFIT \/ European Accessibility Act",
                "review_cadence": "quartalsweise",
                "operator_action": "Alt-Texte, Labels, Button-Namen, Tastaturbedienung und Cookie-Banner-Barrierefreiheit prüfen."
            },
            {
                "id": "saferpage_bfsg_wcag",
                "area": "SaferPage Regelwerks-Scorecard",
                "owner": "Datenschutz\/Legal",
                "status": "hoher Prüfbedarf",
                "evidence": "Score 24 · 5 Befund(e).",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "relevance": "Barrierefreiheit, Tastatur-\/Screenreader-Nutzbarkeit, Formulare, Buttons und mobile Basis.",
                "source_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "source_name": "BFSG\/WCAG",
                "review_cadence": "quartalsweise",
                "operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
            },
            {
                "id": "saferpage_bsi_security",
                "area": "SaferPage Regelwerks-Scorecard",
                "owner": "Datenschutz\/Legal",
                "status": "hoher Prüfbedarf",
                "evidence": "Score 0 · 150 Befund(e).",
                "guide_url": "\/guides\/security-header-setzen",
                "relevance": "TLS, Security-Header, CSP, Patchstand, Referrer-Schutz und technische Härtung.",
                "source_url": "\/guides\/security-header-setzen",
                "source_name": "BSI\/Security",
                "review_cadence": "quartalsweise",
                "operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
            },
            {
                "id": "saferpage_gdpr",
                "area": "SaferPage Regelwerks-Scorecard",
                "owner": "Datenschutz\/Legal",
                "status": "hoher Prüfbedarf",
                "evidence": "Score 44 · 2 Befund(e).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "relevance": "Transparenz, Datenflüsse, Empfänger, Speicherdauer und technische Sicherheit personenbezogener Daten.",
                "source_url": "\/guides\/datenschutzerklaerung-verbessern",
                "source_name": "DSGVO",
                "review_cadence": "quartalsweise",
                "operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
            },
            {
                "id": "saferpage_tdddg_eprivacy",
                "area": "SaferPage Regelwerks-Scorecard",
                "owner": "Datenschutz\/Legal",
                "status": "keine priorisierten Hinweise",
                "evidence": "Score 100 · 0 Befund(e).",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "relevance": "Cookies, Endgerätezugriff, Tracking, Consent-Zustände, GPC und Widerruf.",
                "source_url": "\/guides\/tracking-und-consent-reparieren",
                "source_name": "TDDDG\/ePrivacy",
                "review_cadence": "quartalsweise",
                "operator_action": "Scorecard-Befunde über den verlinkten Betreiber-Guide abarbeiten und erneut scannen."
            }
        ],
        "watch_tasks": [
            {
                "id": "monthly_dach_review",
                "task": "DSK, EDPB, BfDI\/Landesbehörden, EUR-Lex und BSI-Quellen gegen offene SaferPage-Befunde prüfen.",
                "owner": "Datenschutz\/Legal",
                "cadence": "monatlich",
                "evidence": "Review-Protokoll mit Quellenlinks, betroffenen Domains und Entscheidung."
            },
            {
                "id": "release_gate",
                "task": "Neue Cookies, Anbieter, Formulare, AI-\/Profiling-Funktionen und Präferenzflüsse vor Go-live gegen Quellenmatrix prüfen.",
                "owner": "Website-Betrieb\/Marketing",
                "cadence": "bei jedem Website-Release",
                "evidence": "Release-Checkliste, Scan-ID, Exportpaket und Freigabe."
            },
            {
                "id": "quarterly_management_digest",
                "task": "Management-Digest mit Risikoänderungen, offenen Rechtsfragen, Umsetzungsstand und Entscheidungen erstellen.",
                "owner": "Programm-Owner",
                "cadence": "quartalsweise",
                "evidence": "Digest, Ticketliste, Maturity-Score und priorisierte Roadmap."
            }
        ],
        "passed_count": 5,
        "source_count": 8,
        "profile_status": "deutschland_eu",
        "obligation_count": 8,
        "priority_actions": [
            "Regulatorische Prüfpunkte bei neuen Cookies, Anbietern, Formularen, AI-\/Profiling-Use-Cases und Rechtsänderungen erneut bewerten.",
            "Legal\/DSB, Website-Betrieb, Marketing, Security und Product als feste Owner für regulatorische Änderungen benennen.",
            "Quelle, Abrufdatum, betroffene Domains, geänderte Pflicht und Umsetzungsticket versionieren.",
            "DSK, BfDI\/Landesbehörden, EDPB, EUR-Lex, BSI und BFSG\/WCAG-Quellen als Watchlist führen."
        ],
        "source_artifacts": [
            "regulatory_source_matrix",
            "compliance_profile",
            "legal_basis_matrix",
            "operator_risk_analysis",
            "monitoring_alert_digest",
            "change_log"
        ],
        "official_source_count": 4
    },
    "subject_rights_intake_pack": {
        "fields": [
            {
                "id": "request_type",
                "type": "select",
                "label": "Worum geht es?",
                "options": "Auskunft; Löschung; Berichtigung; Widerspruch\/Opt-out; Einschränkung; Datenübertragbarkeit",
                "required": true,
                "privacy_note": "Nur den passenden Betroffenenrechts-Typ auswählen; keine Freitextdaten nötig."
            },
            {
                "id": "contact_email",
                "type": "email",
                "label": "Kontakt für Rückfragen",
                "options": "",
                "required": true,
                "privacy_note": "E-Mail-Adresse nur zur Bearbeitung dieser Anfrage verwenden."
            },
            {
                "id": "identity_reference",
                "type": "text",
                "label": "Woran erkennen wir Sie?",
                "options": "",
                "required": false,
                "privacy_note": "Nur notwendige Referenz wie Konto, Kundennummer oder Newsletter-Adresse abfragen."
            },
            {
                "id": "scope",
                "type": "checkboxes",
                "label": "Welche Bereiche sollen geprüft werden?",
                "options": "Website-Formular; Newsletter; Kundenkonto; Tracking\/Marketing; Supportkontakt; Sonstiger Zeitraum",
                "required": false,
                "privacy_note": "Scope begrenzen, damit keine unnötigen Systeme durchsucht werden."
            },
            {
                "id": "message",
                "type": "textarea",
                "label": "Zusätzliche Angaben",
                "options": "",
                "required": false,
                "privacy_note": "Freitext klar als optional kennzeichnen und vor sensiblen Angaben warnen."
            },
            {
                "id": "secure_reply",
                "type": "select",
                "label": "Sicherer Antwortweg",
                "options": "Sicheres Portal; verschlüsselte Datei; postalisch; Rückfrage erforderlich",
                "required": true,
                "privacy_note": "Antwortpakete nicht unverschlüsselt als offene Datei versenden."
            }
        ],
        "status": "vorbereiten",
        "routing": [
            {
                "id": "support_intake",
                "sla": "Tag 0-1",
                "owner": "Support\/Datenschutz",
                "stage": "Intake",
                "action": "Anfrage erfassen, Typ wählen, Frist starten und Eingangsbestätigung senden.",
                "evidence": "Ticket-ID, Eingang, Anfragetyp, Friststart."
            },
            {
                "id": "identity_check",
                "sla": "Tag 1-7",
                "owner": "Support\/Legal",
                "stage": "Identität",
                "action": "Identität risikobasiert prüfen; nur notwendige Zusatzangaben anfordern.",
                "evidence": "Verifikationsstatus, Rückfrage, Entscheidung."
            },
            {
                "id": "data_search",
                "sla": "Tag 3-14",
                "owner": "IT\/Fachbereich\/Vendor Owner",
                "stage": "Suche",
                "action": "Data Map, RoPA, Vendor-Akten und relevante Systeme durchsuchen.",
                "evidence": "Suchmanifest, Systemantworten, Vendor-Rückmeldungen."
            },
            {
                "id": "legal_review",
                "sla": "Tag 10-24",
                "owner": "Datenschutz\/Legal",
                "stage": "Prüfung",
                "action": "Drittdaten, Ausnahmen, Aufbewahrungspflichten und Redaction prüfen.",
                "evidence": "Redaction-Log, Ausnahmenbegründung, Freigabe."
            },
            {
                "id": "secure_response",
                "sla": "bis Tag 30",
                "owner": "Datenschutz\/Support",
                "stage": "Antwort",
                "action": "Antwort sicher zustellen, Ticket schließen und Kennzahlen aktualisieren.",
                "evidence": "Zustellnachweis, Abschlussnotiz, Friststatus."
            }
        ],
        "summary": "Betroffenenrechte-Intake-Paket: 50\/100. Formular-Blueprint, Textbausteine, Routing, Nachweise und offene Betreiberentscheidungen sind aus dem Scan vorbereitet.",
        "available": true,
        "disclaimer": "Blueprint für ein Betreiber-DSAR-\/Betroffenenrechte-Portal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte.",
        "field_count": 6,
        "request_types": [
            {
                "id": "access",
                "label": "Auskunft",
                "owner": "Datenschutz\/IT",
                "deadline": "1 Monat",
                "evidence": "Suchprotokoll, Export, Redaction-Log, Antwortnachweis.",
                "fulfillment": "Datenquellen durchsuchen, Drittdaten redigieren, Antwortpaket sicher zustellen.",
                "intake_fields": "Identität, Suchumfang, relevante Dienste, Antwortkanal"
            },
            {
                "id": "erasure",
                "label": "Löschung",
                "owner": "Fachbereich\/IT\/Vendor Owner",
                "deadline": "1 Monat",
                "evidence": "Löschprotokoll, Sperrvermerk, Ausnahmenbegründung.",
                "fulfillment": "Löschfähigkeit je System prüfen, Aufbewahrung\/Legal Hold ausnehmen, Vendor-Aufgaben auslösen.",
                "intake_fields": "Betroffene Dienste, Konto\/E-Mail, Rechtsgrund der Löschung"
            },
            {
                "id": "rectification",
                "label": "Berichtigung",
                "owner": "Support\/Fachbereich",
                "deadline": "1 Monat",
                "evidence": "Änderungsprotokoll und Bestätigung.",
                "fulfillment": "System-Owner-Aufgaben erstellen, Änderungen bestätigen, Downstream-Sync prüfen.",
                "intake_fields": "Korrekturwert, Nachweis, betroffene Systeme"
            },
            {
                "id": "objection_optout",
                "label": "Widerspruch \/ Opt-out",
                "owner": "Marketing\/Datenschutz",
                "deadline": "1 Monat",
                "evidence": "Preference-Log, Suppression-List, Consent-State-Test.",
                "fulfillment": "Preference Center, CRM, Tagging und Vendor-Systeme aktualisieren.",
                "intake_fields": "Zweck, Kanal, Profiling\/Marketing\/Tracking-Bezug"
            },
            {
                "id": "portability",
                "label": "Datenübertragbarkeit",
                "owner": "Datenschutz\/IT",
                "deadline": "1 Monat",
                "evidence": "Exportdatei, Formatbeschreibung, Zustellnachweis.",
                "fulfillment": "Maschinenlesbaren Export vorbereiten, nur einschlägige Daten bereitstellen.",
                "intake_fields": "Datenbereich, Ziel, Format"
            }
        ],
        "copy_templates": [
            {
                "id": "portal_intro",
                "text": "Über dieses Formular können Sie Datenschutzrechte zu gmturnier-berlin.de geltend machen. Bitte geben Sie nur die Informationen an, die wir zur Zuordnung Ihrer Anfrage benötigen.",
                "when": "oberhalb des Formulars",
                "title": "Introtext für das Anfrageformular",
                "audience": "Website-Besucher"
            },
            {
                "id": "data_minimization_notice",
                "text": "Bitte senden Sie keine besonderen Kategorien personenbezogener Daten, Ausweiskopien oder vertraulichen Inhalte, solange wir diese nicht ausdrücklich für die Identitätsprüfung anfordern.",
                "when": "direkt beim Freitextfeld",
                "title": "Datensparsamkeits-Hinweis",
                "audience": "Website-Besucher"
            },
            {
                "id": "receipt_response",
                "text": "Wir haben Ihre Datenschutzanfrage erhalten, prüfen sie und melden uns bei Rückfragen zur Identität oder zum Umfang. Die gesetzliche Frist beginnt mit Eingang Ihrer Anfrage.",
                "when": "nach Formularversand",
                "title": "Eingangsbestätigung",
                "audience": "Anfragende Person"
            },
            {
                "id": "secure_delivery_notice",
                "text": "Wenn Ihre Antwort personenbezogene Daten enthält, stellen wir sie über einen sicheren Kanal bereit oder klären vorab einen geeigneten Zustellweg.",
                "when": "vor Versand des Antwortpakets",
                "title": "Sichere Antwort",
                "audience": "Anfragende Person"
            }
        ],
        "open_decisions": [
            {
                "id": "real_storage",
                "owner": "IT\/Datenschutz",
                "decision": "Wo werden echte Anfragen gespeichert?",
                "recommendation": "Nicht in SaferPage speichern; internes Ticket-\/DSAR-System mit Zugriffsbeschränkung nutzen."
            },
            {
                "id": "identity_policy",
                "owner": "Legal\/Support",
                "decision": "Wann ist zusätzliche Identitätsprüfung nötig?",
                "recommendation": "Risikobasierte Kriterien definieren und keine unnötigen Ausweiskopien speichern."
            },
            {
                "id": "secure_channel",
                "owner": "IT\/Support",
                "decision": "Welcher sichere Antwortkanal wird angeboten?",
                "recommendation": "Portal oder verschlüsseltes Paket mit getrenntem Passwortkanal festlegen."
            }
        ],
        "template_count": 4,
        "automation_score": 50,
        "source_artifacts": [
            "privacy_rights_readiness",
            "dsar_workflow_readiness",
            "data_discovery_classification",
            "vendor_due_diligence",
            "preference_center_readiness"
        ],
        "request_type_count": 5,
        "routing_step_count": 5,
        "implementation_notes": [
            "Formular im Betreiber-System hosten, nicht in SaferPage.",
            "Freitext minimieren und vor sensiblen Angaben warnen.",
            "Frist, Identitätsstatus und Suchscope im internen Ticket abbilden.",
            "Nach Livegang Datenschutzseite, Impressum und Trust-Center verlinken und erneut scannen."
        ],
        "evidence_requirements": [
            {
                "id": "form_version",
                "label": "Formularversion",
                "owner": "Datenschutz\/Content",
                "expected_evidence": "Version, Veröffentlichungsdatum, Verantwortlicher, Freigabe."
            },
            {
                "id": "request_log",
                "label": "Anfragelog",
                "owner": "Compliance\/Support",
                "expected_evidence": "Ticket-ID, Eingang, Frist, Status, Owner, Abschlussdatum."
            },
            {
                "id": "search_manifest",
                "label": "Suchmanifest",
                "owner": "IT\/Datenschutz",
                "expected_evidence": "Systeme, Datenklassen, Suchbegriffe, negative Suchergebnisse und Vendor-Antworten."
            },
            {
                "id": "response_package",
                "label": "Antwortpaket",
                "owner": "Datenschutz\/Legal",
                "expected_evidence": "Antworttext, Datenexport, Redaction-Log, Ausnahmenbegründung, Zustellnachweis."
            }
        ]
    },
    "cookie_declaration_document": {
        "host": "gmturnier-berlin.de",
        "rows": [],
        "color": "green",
        "score": 100,
        "status": "unauffällig",
        "summary": "Cookie-Erklärung mit 0 Eintrag\/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 0 unklassifiziert.",
        "available": false,
        "row_count": 0,
        "disclaimer": "Automatisch aus SaferPage-Cookie- und Web-Storage-Signalen abgeleitet; Kategorien und Zwecke vor Veröffentlichung fachlich prüfen.",
        "cookie_count": 0,
        "generated_at": "2026-06-11T09:06:35+00:00",
        "storage_count": 0,
        "unknown_count": 0,
        "priority_fixes": [],
        "category_sections": [],
        "consent_required_count": 0,
        "pre_consent_required_count": 0
    },
    "evidence_integrity_manifest": {
        "host": "gmturnier-berlin.de",
        "status": "verfügbar",
        "summary": "Integritätsmanifest für gmturnier-berlin.de: 9\/9 Nachweisbereich(e) mit SHA-256-Hash dokumentiert.",
        "sections": [
            {
                "id": "audit_receipt",
                "hash": "e42f8ce9f114601c56c08dbe3613b54e7e449ada3351fcbc026b77f94ff2d120",
                "count": 18,
                "label": "Prüfbeleg",
                "detail": "Kanonischer JSON-Hash des kompakten Prüfbelegs.",
                "status": "verfügbar"
            },
            {
                "id": "protocol",
                "hash": "61741446de1b237de9bc2d5f1834d946a2fc8a9861cb3c79fc9010e044650587",
                "count": 15,
                "label": "Scan-Protokoll",
                "detail": "URL, Endziel, User-Agent, Zeitstempel, HTTP\/DNS\/TLS und Renderer.",
                "status": "verfügbar"
            },
            {
                "id": "checkpoints",
                "hash": "eb0b47231b389ebe43773618f8104c10b2ff4d4012bd0752684d098aafa894a9",
                "count": 6,
                "label": "Prüfschritte",
                "detail": "Kanonischer JSON-Hash der dokumentierten Prüfstationen.",
                "status": "verfügbar"
            },
            {
                "id": "consent_states",
                "hash": "4c6fd8288209437d4d29b7db6ad596252434052f1571b72aba7b0bcdb0aed8a7",
                "count": 4,
                "label": "Consent-Zustände",
                "detail": "Default-, Ablehnen-, Akzeptieren- und GPC-Nachweise soweit verfügbar.",
                "status": "verfügbar"
            },
            {
                "id": "third_party_evidence",
                "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
                "count": 0,
                "label": "Drittanbieter-Auszug",
                "detail": "Sanitisierte Anbieter-, Kategorie-, Transfer- und Request-Zählwerte.",
                "status": "leer"
            },
            {
                "id": "cookie_evidence",
                "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
                "count": 0,
                "label": "Cookie-Auszug",
                "detail": "Sanitisierte Cookie-Metadaten ohne Cookie-Werte.",
                "status": "leer"
            },
            {
                "id": "request_samples",
                "hash": "4f53cda18c2baa0c0354bb5f9a3ecbe5ed12ab4d8e11ba873c2f11161202b945",
                "count": 0,
                "label": "Request-Samples",
                "detail": "Sanitisierte Drittanbieter-Samples ohne vollständige Request-URLs.",
                "status": "leer"
            },
            {
                "id": "checked_pages",
                "hash": "5d9be7d7ba8ad12aeeb005ccabe9dcb2e7ebed840e1c177516ca37020bb781bc",
                "count": 2,
                "label": "Geprüfte Unterseiten",
                "detail": "Priorisierte Pfade aus Sitemap, Pflichtseiten und interner Linkstruktur.",
                "status": "verfügbar"
            },
            {
                "id": "screenshot_file",
                "hash": "9024ee845706daffc373a62be499b599b1756c306ba61bea70c32fe624a1606f",
                "count": 10353,
                "label": "160x150 Seitenvorschau-Datei",
                "detail": "\/cache\/screenshots\/gmturnier-berlin.de-160x150-1a7d1b5dd335f54b3c.png",
                "status": "verfügbar"
            }
        ],
        "algorithm": "sha256",
        "available": true,
        "root_hash": "3a9c0d2c99ce93531b42a80ca6fdc89010cd39111f2ab406da3d8d9cccffeab4",
        "checked_at": "2026-06-11T09:06:38+00:00",
        "limitations": [
            "Das Manifest schützt die im Report veröffentlichten\/sanitisierten Nachweise, nicht verdeckte Cookie-Werte oder vollständige Request-URLs.",
            "Ohne externe qualifizierte Zeitstempelung beweist der Hash Integrität des exportierten Artefakts, aber keine amtliche Zustellung."
        ],
        "section_count": 9,
        "canonicalization": "JSON UTF-8, sort_keys=true, kompakte Separatoren; Screenshot als rohe Datei-Bytes.",
        "verification_steps": [
            "JSON-Export speichern und den jeweiligen Abschnitt kanonisch mit sortierten Schlüsseln serialisieren.",
            "SHA-256 des kanonischen Abschnitts bilden und mit dem Manifest vergleichen.",
            "Screenshot-Datei separat als rohe Datei-Bytes hashen, falls ein Screenshot-Artefakt vorhanden ist.",
            "Bei einem Wiederholungsscan Root-Hash, Zeitstempel und Abschnitts-Hashes getrennt vergleichen."
        ],
        "available_hash_count": 9
    },
    "preference_center_readiness": {
        "rows": [
            {
                "id": "preference_entrypoint",
                "label": "Präferenz-\/Einstellungszugang sichtbar",
                "owner": "UX\/Marketing",
                "action": "Cookie-\/Privacy-Einstellungen dauerhaft auffindbar machen, nicht nur im Erstbanner.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "Einstellungen-Controls 0, Datenschutzhinweis-Link ja.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "reject_and_withdraw",
                "label": "Ablehnen und Widerruf gleichwertig erreichbar",
                "owner": "Marketing\/IT",
                "action": "Ablehnen- und Widerrufspfad technisch testen; nach Ablehnen dürfen keine neuen nicht notwendigen Kontakte\/Cookies entstehen.",
                "passed": false,
                "status": "fehlt",
                "weight": 16,
                "evidence": "Ablehnen verfügbar nein, geklickt nein, neue Cookies 0, neue Datenschutz-Domains 0.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "purpose_granularity",
                "label": "Zwecke und Kategorien granular steuerbar",
                "owner": "Datenschutz\/Marketing",
                "action": "Präferenzen nach notwendigen, Statistik-, Marketing-, externen Medien-, Profiling- und Kommunikationszwecken trennen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Kategorien 0, TCF-Zwecksignale 0, Einstellungen 0.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "consent_evidence_log",
                "label": "Auditfähige Consent-Zustände und Nachweise",
                "owner": "Compliance\/IT",
                "action": "Consent-ID, Zeitpunkt, Version, Zwecke, Quelle, Region und Widerruf als Nachweis im Betreiber-System protokollieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "Consent-State-Zeilen 4, Prüfbeleg ja.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "gpc_optout",
                "label": "GPC\/Do-not-sell-or-share\/Opt-out berücksichtigt",
                "owner": "Datenschutz\/Marketing",
                "action": "GPC und Opt-out-Signale in CMP\/Tags respektieren und als eigenen Nachweiszustand speichern.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "GPC-Test aktiv, Datenschutz-Domains 0.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "cookie_declaration_link",
                "label": "Cookie-\/Storage-Erklärung mit Consent-Erfordernis",
                "owner": "Datenschutz\/Content",
                "action": "Jede Präferenz mit Zweck, Anbieter, Laufzeit, Rechtsgrundlage und Widerrufspfad in Cookie-\/Privacy-Hinweisen spiegeln.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "0 Cookie-\/Storage-Zeile(n), 3 einwilligungsbezogene Verarbeitung(en).",
                "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
                "manual_review": false
            },
            {
                "id": "cross_channel_preferences",
                "label": "Kommunikations- und First-Party-Präferenzen abbilden",
                "owner": "CRM\/Marketing\/Datenschutz",
                "action": "Newsletter, Kontakt, Kundenkonto, Produktinteressen, sensible Daten und Marketingkanäle im Preference Center als getrennte Optionen abbilden.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Formulare ja, Widerruf\/Widerspruch im Hinweis ja.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "downstream_sync",
                "label": "Downstream-Sync in CRM, Tags und Anbieter-Systeme",
                "owner": "IT\/CRM",
                "action": "Präferenzänderungen in Echtzeit an Tag Manager, CRM, E-Mail\/SMS, Support und Vendor-Systeme synchronisieren und Fehler queue-basiert nacharbeiten.",
                "passed": false,
                "status": "prüfen",
                "weight": 8,
                "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": true
            },
            {
                "id": "versioning_localization",
                "label": "Versionierung, Region und Sprache je Präferenz",
                "owner": "Compliance\/IT",
                "action": "Preference-Center-Konfigurationen mit Version, Sprache, Region, Rechtsraum und Änderungsdatum verwalten.",
                "passed": false,
                "status": "fehlt",
                "weight": 6,
                "evidence": "CMP erkannt nein, Prüfbeleg ja.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            }
        ],
        "score": 48,
        "status": "Preference Center aufbauen",
        "summary": "Preference-Center-Readiness 48\/100; 4\/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 5,
        "disclaimer": "Aus Website- und Browser-Evidenz abgeleitete Preference-Center-Readiness. Interne Consent-Logs, CRM-Syncs und Nutzerkonten kann SaferPage nur als Betreiber-Nachweis anfordern, nicht öffentlich beweisen.",
        "check_count": 9,
        "topic_count": 4,
        "cmp_detected": false,
        "passed_count": 4,
        "priority_actions": [
            "Ablehnen- und Widerrufspfad technisch testen; nach Ablehnen dürfen keine neuen nicht notwendigen Kontakte\/Cookies entstehen.",
            "Präferenzen nach notwendigen, Statistik-, Marketing-, externen Medien-, Profiling- und Kommunikationszwecken trennen.",
            "Jede Präferenz mit Zweck, Anbieter, Laufzeit, Rechtsgrundlage und Widerrufspfad in Cookie-\/Privacy-Hinweisen spiegeln.",
            "Präferenzänderungen in Echtzeit an Tag Manager, CRM, E-Mail\/SMS, Support und Vendor-Systeme synchronisieren und Fehler queue-basiert nacharbeiten.",
            "Preference-Center-Konfigurationen mit Version, Sprache, Region, Rechtsraum und Änderungsdatum verwalten."
        ],
        "reject_effective": false,
        "source_artifacts": [
            "consent_audit",
            "consent_banner_ux_analysis",
            "browser_analysis",
            "cookie_declaration_document",
            "legal_basis_matrix",
            "audit_receipt"
        ],
        "preference_topics": [
            {
                "id": "cookies_tracking",
                "label": "Cookies, Tracker und Gerätezugriff",
                "owner": "Marketing\/IT",
                "scope": "Cookie-Banner, CMP, Tag Manager, externe Skripte",
                "status": "aufbauen",
                "evidence": "CMP nein, Einstellungen 0, Cookie-Zeilen 0.",
                "withdrawal_path": "Dauerhafter Cookie-Einstellungslink und Reject-Test.",
                "legal_basis_hint": "Einwilligung für nicht notwendige Zwecke; technisch notwendige Zwecke dokumentieren."
            },
            {
                "id": "communications",
                "label": "Newsletter, Kontakt und Kommunikationspräferenzen",
                "owner": "CRM\/Support",
                "scope": "Newsletter, Kontaktformular, Support, Kundenkonto",
                "status": "prüfen",
                "evidence": "Formulare 2, Datenschutzkontext nein.",
                "withdrawal_path": "Abmelden, Widerspruch, Kanal-\/Themenauswahl und Sperrliste.",
                "legal_basis_hint": "Einwilligung, Vertrag oder berechtigtes Interesse je Kanal\/Zweck trennen."
            },
            {
                "id": "profiling_ai_ads",
                "label": "Personalisierung, Profiling, Ads und AI-Training",
                "owner": "Marketing\/Product\/Legal",
                "scope": "Werbung, Analytics, Profiling, AI-\/Model-Training, Lookalike Audiences",
                "status": "prüfen",
                "evidence": "Consent-Bezug 3, TCF-Vendors 0.",
                "withdrawal_path": "Profiling-\/Ads-\/AI-Nutzung getrennt steuerbar machen.",
                "legal_basis_hint": "Einwilligung\/Opt-out, Art.-22-\/AI-Bezug und Zweckbindung prüfen."
            },
            {
                "id": "sensitive_data",
                "label": "Sensible Daten und besondere Zwecke",
                "owner": "Datenschutz\/Fachbereich",
                "scope": "Gesundheit, Bewerbungen, Kinder, Finanzdaten, genaue Standortdaten",
                "status": "Betreiber prüfen",
                "evidence": "Öffentlicher Scan kann interne besondere Datenkategorien nur begrenzt erkennen.",
                "withdrawal_path": "Spezifische Einwilligung, Widerruf und Lösch-\/Sperrprozess.",
                "legal_basis_hint": "Ausdrückliche Einwilligung oder besondere Rechtsgrundlage; Datenminimierung."
            }
        ],
        "consent_state_count": 4,
        "evidence_requirements": [
            {
                "id": "consent_record",
                "why": "Auditfähigkeit braucht mehr als ein Banner: Zeitpunkt, Zweck, Version, Quelle, Region und Widerruf müssen nachvollziehbar sein.",
                "label": "Consent-\/Preference-Datensatz",
                "owner": "Compliance\/IT",
                "status": "teilweise",
                "expected_evidence": "Consent-ID, gehashter Nutzerbezug, Zweckliste, Banner-\/Notice-Version, Timestamp, Region, Quelle, Widerrufszeitpunkt."
            },
            {
                "id": "sync_log",
                "why": "Präferenzen müssen in CRM, E-Mail, Tagging, Support und Vendor-Systemen tatsächlich wirken.",
                "label": "Downstream-Sync-Protokoll",
                "owner": "IT\/CRM",
                "status": "manuell prüfen",
                "expected_evidence": "Sync-Zielsysteme, letzte erfolgreiche Übertragung, Fehlerqueue, Retry-Log und manuelle Korrektur."
            },
            {
                "id": "withdrawal_test",
                "why": "Widerruf muss so einfach wirken wie Erteilung und technisch belegbar sein.",
                "label": "Widerrufs- und Reject-Test",
                "owner": "Marketing\/IT",
                "status": "fehlt",
                "expected_evidence": "Browser-Test Default\/Ablehnen\/Akzeptieren\/GPC, Tag-Diff, Cookie-Diff und Screenshot des Einstellungswegs."
            }
        ],
        "settings_control_count": 0,
        "evidence_requirement_count": 3
    },
    "trust_audit_response_center": {
        "rows": [
            {
                "id": "TAR-01",
                "owner": "Programm-Owner\/DSB",
                "source": "privacy_control_framework",
                "category": "Privacy Program",
                "evidence": "Privacy Controls Framework 49\/100; 2\/16 Kontrolle(n) wirksam, 11 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "answer_score": 49,
                "short_answer": "Teilweise aus SaferPage-Kontrollen, Risk Register und Trust-Bausteinen ableitbar; interne Rollen müssen Betreiber bestätigen.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Zusammenfassung ja, interne Rollen nur nach Freigabe.",
                "requester_question": "Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?"
            },
            {
                "id": "TAR-02",
                "owner": "Marketing\/IT",
                "source": "consent_audit",
                "category": "Consent",
                "evidence": "Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "answer_score": 48,
                "short_answer": "SaferPage prüft Default, Ablehnen, Akzeptieren, GPC, Cookies, Storage und Drittanbieter soweit öffentlich sichtbar.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Technische Zusammenfassung und sanitisierte Tabellen teilbar.",
                "requester_question": "Wie werden Cookies, Tracker und Einwilligungen kontrolliert?"
            },
            {
                "id": "TAR-03",
                "owner": "Datenschutz\/Content",
                "source": "privacy_notice_draft,cookie_declaration_document",
                "category": "Transparency",
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s). Cookie-Erklärung mit 0 Eintrag\/Einträgen aus Cookies und Web Storage: 0 einwilligungspflichtig, 0 unklassifiziert.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "answer_score": 100,
                "short_answer": "Datenschutzhinweis, Cookie-\/Storage-Erklärung und Anbieterregister werden aus Scan-Evidenz abgeleitet und mit Lücken markiert.",
                "answer_status": "antwortbereit",
                "manual_review": false,
                "external_share": "Öffentliche Reportabschnitte teilbar.",
                "requester_question": "Sind Datenschutzhinweise, Cookies und Anbieter dokumentiert?"
            },
            {
                "id": "TAR-04",
                "owner": "Legal\/Vendor Owner",
                "source": "vendor_due_diligence",
                "category": "Vendor Risk",
                "evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "answer_score": 100,
                "short_answer": "Vendor Due Diligence priorisiert Anbieter, AVV\/DPA, Transfer und erwartete Betreiber-Nachweise.",
                "answer_status": "antwortbereit",
                "manual_review": false,
                "external_share": "Anbieterlisten nur sanitisiert teilen; Verträge nach Betreiberfreigabe.",
                "requester_question": "Wie werden Subprozessoren, Drittanbieter und Transfers geprüft?"
            },
            {
                "id": "TAR-05",
                "owner": "Datenschutz\/Support",
                "source": "dsar_workflow_readiness",
                "category": "DSAR",
                "evidence": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "answer_score": 40,
                "short_answer": "DSAR-Workflow umfasst Intake, Fristen, Identitätsprüfung, Data Discovery, Redaction, Vendor-Tasking und Antwortpakete.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Prozessantwort teilbar; echte Tickets intern.",
                "requester_question": "Wie werden Betroffenenanfragen bearbeitet?"
            },
            {
                "id": "TAR-06",
                "owner": "IT\/Security",
                "source": "security_header_analysis",
                "category": "Security",
                "evidence": "0 von 9 wichtigen Security-Headern vorhanden, 0 korrekt bewertet. Keine Content-Security-Policy gefunden.",
                "guide_url": "\/guides\/security-header-setzen",
                "answer_score": 34,
                "short_answer": "Security-Header, TLS-\/HTTP-Signale, Cookie-Attribute und Webschutzbefunde werden öffentlich aus dem Kurzcheck abgeleitet.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Technische Zusammenfassung teilbar; interne Architektur separat freigeben.",
                "requester_question": "Welche technischen Webschutzmaßnahmen sind sichtbar?"
            },
            {
                "id": "TAR-07",
                "owner": "DSB\/Legal\/IT",
                "source": "incident_breach_readiness",
                "category": "Incident Response",
                "evidence": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "guide_url": "\/guides\/security-header-setzen",
                "answer_score": 50,
                "short_answer": "Incident Readiness enthält Szenarien, Evidence Checklist, Playbook und Meldefrist-Matrix als Betreiberentwurf.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Prozessbeschreibung teilbar; Vorfalldetails intern.",
                "requester_question": "Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess?"
            },
            {
                "id": "TAR-08",
                "owner": "Programm-Owner",
                "source": "privacy_risk_register",
                "category": "Risk Posture",
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "guide_url": "\/methodik",
                "answer_score": 18,
                "short_answer": "Das Risk Register konsolidiert Top-Risiken mit Owner, SLA, Entscheidung und Nachweisquelle.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Executive Summary teilbar; Detailrisiken nach Freigabe.",
                "requester_question": "Welche offenen Datenschutzrisiken bestehen aktuell?"
            },
            {
                "id": "TAR-09",
                "owner": "Compliance\/IT",
                "source": "audit_receipt,evidence_integrity_manifest",
                "category": "Audit Evidence",
                "evidence": "Scan-ID fehlt, Prüfbeleg ja, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "answer_score": 50,
                "short_answer": "JSON, CSV, XLSX, ZIP, Audit Receipt, Hash-Manifest und 160x150-Seitenvorschau sind exportierbar, sofern Scan gespeichert ist.",
                "answer_status": "offen",
                "manual_review": false,
                "external_share": "Sanitisierte Nachweispakete teilbar.",
                "requester_question": "Welche Nachweise können exportiert werden?"
            },
            {
                "id": "TAR-10",
                "owner": "Betreiber\/DSB",
                "source": "operator_evidence",
                "category": "Internal Evidence",
                "evidence": "Interne Betreiberartefakte nicht öffentlich abrufbar.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "answer_score": 35,
                "short_answer": "Aus öffentlichem Scan nicht beweisbar; SaferPage markiert benötigte Betreiberartefakte als Nachreichliste.",
                "answer_status": "Betreiber-Nachweis",
                "manual_review": true,
                "external_share": "Nur nach Betreiberfreigabe.",
                "requester_question": "Können interne Policies, Verträge, TOMs, DPIAs und Logs bereitgestellt werden?"
            }
        ],
        "status": "Antwortpaket aufbauen",
        "summary": "Trust-\/Audit-Response-Center 52\/100; 2 antwortbereit, 0 teilweise, 8 offen oder Betreiber-Nachweis.",
        "available": true,
        "disclaimer": "Automatisch aus SaferPage-Nachweisen generiertes Antwortpaket. Externe Freigabe, Vertraulichkeit, Rechtsprüfung und interne Nachweise müssen Betreiber vor Weitergabe bestätigen.",
        "open_count": 8,
        "share_pack": [
            {
                "id": "public_report",
                "url": "https:\/\/saferpage.de\/gmturnier-berlin.de",
                "label": "Öffentlicher Kurzreport",
                "share_level": "öffentlich"
            },
            {
                "id": "methodology",
                "url": "https:\/\/saferpage.de\/methodik",
                "label": "Methodik",
                "share_level": "öffentlich"
            },
            {
                "id": "evidence_zip",
                "url": "",
                "label": "ZIP-Nachweispaket",
                "share_level": "sanitisiert"
            },
            {
                "id": "xlsx_tables",
                "url": "",
                "label": "Excel-Audit-Tabellen",
                "share_level": "sanitisiert"
            }
        ],
        "ready_count": 2,
        "partial_count": 0,
        "response_count": 10,
        "response_score": 52,
        "priority_actions": [
            "Gibt es ein strukturiertes Datenschutzprogramm mit Verantwortlichkeiten?",
            "Wie werden Cookies, Tracker und Einwilligungen kontrolliert?",
            "Wie werden Betroffenenanfragen bearbeitet?",
            "Welche technischen Webschutzmaßnahmen sind sichtbar?",
            "Gibt es einen Datenschutzvorfall- und 72h-Meldeprozess?"
        ],
        "share_pack_count": 4,
        "source_artifacts": [
            "privacy_control_framework",
            "privacy_risk_register",
            "consent_audit",
            "privacy_notice_draft",
            "cookie_declaration_document",
            "vendor_due_diligence",
            "dsar_workflow_readiness",
            "incident_breach_readiness",
            "audit_receipt",
            "evidence_integrity_manifest",
            "audit_evidence_pack"
        ],
        "evidence_requests": [
            {
                "id": "internal_roles",
                "label": "Interne Rollen und DSB\/Privacy Owner",
                "owner": "Betreiber\/DSB",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "RACI, Rollenbeschreibung, Eskalationsweg, Freigabedatum."
            },
            {
                "id": "contracts",
                "label": "AVV\/DPA, TOMs, Subprozessoren",
                "owner": "Legal\/Vendor Owner",
                "status": "nach Bedarf",
                "expected_evidence": "Vertragsakte, Transferbewertung, TOM-Anlage, Subprozessorenliste."
            },
            {
                "id": "control_tests",
                "label": "Kontrolltest-Protokolle",
                "owner": "Compliance",
                "status": "teilweise",
                "expected_evidence": "Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test."
            },
            {
                "id": "dsar_logs",
                "label": "DSAR-\/Betroffenenrechte-Logs",
                "owner": "Datenschutz\/Support",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Anfrage-ID, Frist, Identitätsprüfung, Suchscope, Antwortdatum, sichere Zustellung."
            }
        ],
        "evidence_request_count": 4
    },
    "trust_documentation_library": {
        "rows": [
            {
                "id": "DOC-01",
                "url": "https:\/\/saferpage.de\/gmturnier-berlin.de",
                "owner": "Marketing\/Datenschutz",
                "score": 90,
                "title": "Öffentlicher Domain-Report",
                "source": "report",
                "status": "veröffentlicht",
                "category": "Public Trust",
                "evidence": "Kurz-URL https:\/\/saferpage.de\/gmturnier-berlin.de; Scan-ID fehlt.",
                "guide_url": "\/methodik",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "bei jedem Scan"
            },
            {
                "id": "DOC-02",
                "url": "https:\/\/saferpage.de\/methodik",
                "owner": "Compliance",
                "score": 90,
                "title": "Methodik und Prüfgrenzen",
                "source": "methodik",
                "status": "veröffentlicht",
                "category": "Public Trust",
                "evidence": "Methodik, Bot-Transparenz und sanitisierte Nachweislogik sind öffentlich verlinkbar.",
                "guide_url": "\/methodik",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "quartalsweise"
            },
            {
                "id": "DOC-03",
                "url": "https:\/\/saferpage.de\/bot",
                "owner": "IT\/Compliance",
                "score": 82,
                "title": "Crawler- und User-Agent-Transparenz",
                "source": "scan_configuration_readiness",
                "status": "veröffentlicht",
                "category": "Public Trust",
                "evidence": "Scan-Configuration-\/Monitoring-Readiness 82\/100; 9\/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder Betreiber-Nachweise offen.",
                "guide_url": "\/methodik",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "monatlich"
            },
            {
                "id": "DOC-04",
                "url": "https:\/\/saferpage.de\/monitoring\/gmturnier-berlin.de",
                "owner": "IT\/Compliance",
                "score": 80,
                "title": "Monitoring- und letzte-Checks-Übersicht",
                "source": "monitoring_alert_digest,checked_pages",
                "status": "veröffentlicht",
                "category": "Public Trust",
                "evidence": "Monitoring, Kurz-URL und zuletzt geprüfte Seiten bleiben als Betreiber- und Nutzerkontext auffindbar.",
                "guide_url": "\/methodik",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "laufend"
            },
            {
                "id": "DOC-05",
                "url": "\/gmturnier-berlin.de#datenschutzerklaerung",
                "owner": "Datenschutz\/Content",
                "score": 85,
                "title": "Datenschutzhinweis-Draft",
                "source": "privacy_notice_draft",
                "status": "veröffentlicht",
                "category": "Transparenz",
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "bei Technikänderung"
            },
            {
                "id": "DOC-06",
                "url": "\/gmturnier-berlin.de#cookies",
                "owner": "Marketing\/IT",
                "score": 45,
                "title": "Cookie- und Storage-Erklärung",
                "source": "cookie_declaration_document",
                "status": "teilweise",
                "category": "Transparenz",
                "evidence": "0 Cookie-\/Storage-Zeile(n) dokumentiert.",
                "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "bei Tag-Änderung"
            },
            {
                "id": "DOC-07",
                "url": "\/gmturnier-berlin.de#drittanbieter",
                "owner": "Legal\/Vendor Owner",
                "score": 45,
                "title": "Drittanbieter- und Processor-Register",
                "source": "vendor_processor_register",
                "status": "teilweise",
                "category": "Transparenz",
                "evidence": "0 Anbieter-\/Processor-Eintrag(e) dokumentiert.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "monatlich"
            },
            {
                "id": "DOC-08",
                "url": "\/gmturnier-berlin.de#control-framework",
                "owner": "Compliance",
                "score": 49,
                "title": "Privacy Controls Framework",
                "source": "privacy_control_framework",
                "status": "teilweise",
                "category": "Audit Evidence",
                "evidence": "Privacy Controls Framework 49\/100; 2\/16 Kontrolle(n) wirksam, 11 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "quartalsweise"
            },
            {
                "id": "DOC-09",
                "url": "\/gmturnier-berlin.de#risk-register",
                "owner": "Programm-Owner",
                "score": 18,
                "title": "Privacy Risk Register Executive View",
                "source": "privacy_risk_register",
                "status": "aufbauen",
                "category": "Audit Evidence",
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "guide_url": "\/methodik",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "monatlich"
            },
            {
                "id": "DOC-10",
                "url": "\/gmturnier-berlin.de#audit-response",
                "owner": "Sales\/Legal\/Compliance",
                "score": 52,
                "title": "Trust-\/Audit-Response-Katalog",
                "source": "trust_audit_response_center",
                "status": "teilweise",
                "category": "Audit Evidence",
                "evidence": "Trust-\/Audit-Response-Center 52\/100; 2 antwortbereit, 0 teilweise, 8 offen oder Betreiber-Nachweis.",
                "guide_url": "\/methodik",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "bei Anfrage"
            },
            {
                "id": "DOC-11",
                "url": "",
                "owner": "Compliance\/IT",
                "score": 45,
                "title": "ZIP-Nachweispaket",
                "source": "evidence_bundle_zip",
                "status": "teilweise",
                "category": "Evidence Package",
                "evidence": "Sanitisierte JSON\/CSV-Nachweise, Tabellen und Belege exportierbar.",
                "guide_url": "\/methodik",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "bei jedem Scan"
            },
            {
                "id": "DOC-12",
                "url": "",
                "owner": "Compliance\/IT",
                "score": 45,
                "title": "Excel-Audit-Tabellen",
                "source": "excel_workbook_export",
                "status": "teilweise",
                "category": "Evidence Package",
                "evidence": "Audit-Tabellen als XLSX für Betreiber, Kundenfragebögen und interne Reviews exportierbar.",
                "guide_url": "\/methodik",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "bei jedem Scan"
            },
            {
                "id": "DOC-13",
                "url": "\/gmturnier-berlin.de#nachweise",
                "owner": "Compliance\/IT",
                "score": 90,
                "title": "Prüfbeleg und Integritätsmanifest",
                "source": "audit_receipt,evidence_integrity_manifest",
                "status": "veröffentlicht",
                "category": "Evidence Package",
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "bei jedem Scan"
            },
            {
                "id": "DOC-14",
                "url": "\/gmturnier-berlin.de#regulatory-watch",
                "owner": "Datenschutz\/Legal",
                "score": 58,
                "title": "Regulatory-Watch-Quellenmappe",
                "source": "regulatory_watch_readiness",
                "status": "teilweise",
                "category": "Governance",
                "evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "monatlich"
            },
            {
                "id": "DOC-15",
                "url": "\/gmturnier-berlin.de#dsar-workflow",
                "owner": "Datenschutz\/Support",
                "score": 40,
                "title": "DSAR-\/Betroffenenrechte-Prozess",
                "source": "dsar_workflow_readiness",
                "status": "teilweise",
                "category": "Governance",
                "evidence": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "share_level": "sanitisiert",
                "last_updated": "",
                "review_cadence": "quartalsweise"
            },
            {
                "id": "DOC-16",
                "url": "\/gmturnier-berlin.de#incident-breach",
                "owner": "DSB\/Legal\/IT",
                "score": 50,
                "title": "Incident-\/Breach-Playbook",
                "source": "incident_breach_readiness",
                "status": "Betreiber-Nachweis",
                "category": "Governance",
                "evidence": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "guide_url": "\/guides\/security-header-setzen",
                "share_level": "Betreiber-Nachweis",
                "last_updated": "",
                "review_cadence": "halbjährlich"
            },
            {
                "id": "DOC-17",
                "url": "\/gmturnier-berlin.de#barrierefreiheit",
                "owner": "Content\/UX",
                "score": 80,
                "title": "Barrierefreiheits- und UX-Erklärung",
                "source": "accessibility_statement_draft",
                "status": "veröffentlicht",
                "category": "Transparenz",
                "evidence": "Entwurf mit 5 bekannten Barrierefreiheits-Punkt(en) aus dem Scan.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "share_level": "öffentlich",
                "last_updated": "",
                "review_cadence": "jährlich"
            },
            {
                "id": "DOC-18",
                "url": "",
                "owner": "Legal\/Vendor Owner",
                "score": 35,
                "title": "AVV\/DPA, TOMs und Transferunterlagen",
                "source": "operator_evidence",
                "status": "Betreiber-Nachweis",
                "category": "Operator Evidence",
                "evidence": "Verträge, TOM-Anlagen und Transferbewertungen sind aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "share_level": "Betreiber-Nachweis",
                "last_updated": "",
                "review_cadence": "bei Vendor-Änderung"
            },
            {
                "id": "DOC-19",
                "url": "",
                "owner": "Datenschutz\/Product\/Compliance",
                "score": 35,
                "title": "RoPA, DPIA\/DSFA und interne Entscheidungslogs",
                "source": "operator_evidence",
                "status": "Betreiber-Nachweis",
                "category": "Operator Evidence",
                "evidence": "Interne Verzeichnisse, DPIA-Entscheidungen, Freigaben und Kontrolltests muss der Betreiber nachreichen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "share_level": "Betreiber-Nachweis",
                "last_updated": "",
                "review_cadence": "bei Release oder Verarbeitung"
            }
        ],
        "status": "ausbaufähig",
        "summary": "Trust Documentation Library 59\/100; 7\/19 Dokument(e) veröffentlichbar oder exportierbar, 4 offen oder Betreiber-Nachweis.",
        "available": true,
        "categories": [
            {
                "category": "Operator Evidence",
                "open_count": 2,
                "ready_count": 0,
                "category_score": 35,
                "document_count": 2
            },
            {
                "category": "Audit Evidence",
                "open_count": 3,
                "ready_count": 0,
                "category_score": 40,
                "document_count": 3
            },
            {
                "category": "Governance",
                "open_count": 3,
                "ready_count": 0,
                "category_score": 49,
                "document_count": 3
            },
            {
                "category": "Evidence Package",
                "open_count": 2,
                "ready_count": 1,
                "category_score": 60,
                "document_count": 3
            },
            {
                "category": "Transparenz",
                "open_count": 2,
                "ready_count": 2,
                "category_score": 64,
                "document_count": 4
            },
            {
                "category": "Public Trust",
                "open_count": 0,
                "ready_count": 4,
                "category_score": 86,
                "document_count": 4
            }
        ],
        "disclaimer": "Automatisch aus SaferPage-Nachweisen aufgebaute Dokumentationsbibliothek. Öffentliche, sanitisierte und interne Betreiber-Nachweise müssen vor externer Weitergabe redaktionell, rechtlich und fachlich freigegeben werden.",
        "public_count": 7,
        "category_count": 6,
        "document_count": 19,
        "sanitized_count": 9,
        "priority_actions": [
            "Privacy Risk Register Executive View",
            "Incident-\/Breach-Playbook",
            "AVV\/DPA, TOMs und Transferunterlagen",
            "RoPA, DPIA\/DSFA und interne Entscheidungslogs"
        ],
        "publication_plan": [
            {
                "id": "publish_public_report",
                "step": "Kurzreport, Methodik, Bot-Seite und Monitoring öffentlich verlinken.",
                "owner": "Marketing\/Datenschutz",
                "status": "bereit",
                "evidence": "https:\/\/saferpage.de\/gmturnier-berlin.de"
            },
            {
                "id": "sanitize_audit_pack",
                "step": "ZIP\/XLSX\/JSON-Exporte vor externer Weitergabe auf Vertraulichkeit prüfen.",
                "owner": "Compliance\/IT",
                "status": "aufbauen",
                "evidence": "Scan-ID fehlt"
            },
            {
                "id": "operator_approval",
                "step": "Betreiber-Nachweise, Vertragsakten, TOMs, DPIA und RoPA nur nach Freigabe teilen.",
                "owner": "Legal\/DSB",
                "status": "Betreiber-Nachweis",
                "evidence": "Interne Freigabe erforderlich"
            },
            {
                "id": "review_cadence",
                "step": "Dokumente mit Review-Kadenz, Owner und letztem Aktualisierungsdatum führen.",
                "owner": "Programm-Owner",
                "status": "teilweise",
                "evidence": "Scanzeit fehlt"
            }
        ],
        "source_artifacts": [
            "privacy_notice_draft",
            "cookie_declaration_document",
            "vendor_processor_register",
            "scan_configuration_readiness",
            "privacy_risk_register",
            "privacy_control_framework",
            "trust_audit_response_center",
            "regulatory_watch_readiness",
            "dsar_workflow_readiness",
            "incident_breach_readiness",
            "audit_receipt",
            "evidence_integrity_manifest"
        ],
        "evidence_requests": [
            {
                "id": "contracts_toms",
                "label": "AVV\/DPA, TOMs und Transfer Impact Assessments",
                "owner": "Legal\/Vendor Owner",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Vertragsakte, TOM-Anlage, Transferbewertung, Subprozessorenliste."
            },
            {
                "id": "ropa_dpia",
                "label": "RoPA, DPIA\/DSFA und Privacy-by-Design-Entscheidungen",
                "owner": "Datenschutz\/Product",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Verarbeitungstätigkeit, Risikobewertung, Schutzmaßnahmen, Freigabe."
            },
            {
                "id": "control_tests",
                "label": "Kontrolltest-Protokolle und Abnahmen",
                "owner": "Compliance",
                "status": "teilweise",
                "expected_evidence": "Kontroll-ID, Testdatum, Tester, Ergebnis, Abweichung, Re-Test."
            },
            {
                "id": "change_approvals",
                "label": "Release-, Cookie-, Tag- und Vendor-Freigaben",
                "owner": "IT\/Marketing\/Datenschutz",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Ticket, Änderung, Datenschutzprüfung, Freigabedatum, Re-Scan."
            }
        ],
        "documentation_score": 59,
        "stale_or_missing_count": 4,
        "operator_evidence_count": 3
    },
    "retention_deletion_readiness": {
        "rows": [
            {
                "id": "retention_notice",
                "label": "Speicherfristen und Löschung im Datenschutzhinweis",
                "owner": "Datenschutz\/Content",
                "action": "Speicherfristen, Löschkriterien, Rechtsgrundlagen und Betroffenenrechte je Datenkategorie verständlich ergänzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "cookie_retention",
                "label": "Cookie-\/Storage-Laufzeiten bewertet",
                "owner": "Marketing\/IT",
                "action": "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Cookies 0, fehlende Laufzeit 0, Retention-Risiken 0, langlebige Hinweise 0.",
                "guide_url": "\/guides\/cookie-laufzeiten-und-zwecke-pruefen",
                "manual_review": false
            },
            {
                "id": "data_inventory_retention",
                "label": "Dateninventar mit Datenarten und Systemen",
                "owner": "Datenschutz\/IT",
                "action": "Je Datenart Quelle, System, Speicherfrist, Löschtrigger und Fachbereich im RoPA\/Data Map ergänzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "2 Verarbeitungstätigkeit(en), 10 Data-Map-Knoten, 2 Datenart(en).",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "legal_basis_retention",
                "label": "Rechtsgrundlage, Zweck und Aufbewahrung verknüpft",
                "owner": "Datenschutz\/Legal",
                "action": "Retention je Zweck\/Rechtsgrundlage dokumentieren: Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Aufbewahrung, Verjährung.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "3 Rechtsgrundlagenzeile(n) im Report.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "erasure_workflow",
                "label": "Löschanfragen mit DSAR-Workflow verbunden",
                "owner": "Datenschutz\/Support\/IT",
                "action": "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "vendor_deletion",
                "label": "Vendor-\/Processor-Löschung und Rückgabe steuerbar",
                "owner": "Legal\/Vendor Owner",
                "action": "AVV\/DPA, Rückgabe\/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "backup_legal_hold",
                "label": "Backups, Legal Hold und Ausnahmen geregelt",
                "owner": "Legal\/IT",
                "action": "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.",
                "passed": false,
                "status": "prüfen",
                "weight": 8,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": true
            },
            {
                "id": "minimization_trigger",
                "label": "Datenminimierung und Löschtrigger bei Formularen",
                "owner": "Fachbereich\/Datenschutz",
                "action": "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-\/Support-Weitergabe prüfen.",
                "passed": false,
                "status": "fehlt",
                "weight": 8,
                "evidence": "Formulare 2, Datenschutzkontext nein.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "manual_review": false
            },
            {
                "id": "deletion_evidence",
                "label": "Löschprotokoll und Integritätsnachweis",
                "owner": "Compliance\/IT",
                "action": "Löschläufe, Negativsuche, Ausnahmen, Vendor-Rückmeldungen und Abschluss mit Hash-\/Audit-Nachweis protokollieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "change_monitoring",
                "label": "Change Trigger für Retention-Risiken",
                "owner": "Datenschutz\/IT",
                "action": "Neue Cookies, Formulare, Anbieter, Datenflüsse und Rechtsänderungen als Retention-Review auslösen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Alerts 0, Regulatory-Pflichten 8.",
                "guide_url": "\/monitoring",
                "manual_review": false
            }
        ],
        "score": 52,
        "status": "Retention aufbauen",
        "summary": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 5,
        "disclaimer": "Automatisch aus öffentlicher Website-Evidenz und SaferPage-Artefakten abgeleitete Retention-\/Deletion-Readiness. Interne Systeme, Backups, gesetzliche Aufbewahrung und tatsächliche Löschläufe muss der Betreiber fachlich ergänzen.",
        "check_count": 10,
        "cookie_count": 0,
        "passed_count": 5,
        "schedule_count": 4,
        "priority_actions": [
            "Cookie-Laufzeiten auf Zweckbindung prüfen, unnötig lange Laufzeiten kürzen und Cookie-Erklärung aktualisieren.",
            "Art.-17-Löschung, Einschränkung, Widerspruch, Vendor-Tasking und Abschlussnachweis im DSAR-Workflow verbinden.",
            "AVV\/DPA, Rückgabe\/Löschung, Unterauftragsverarbeiter, Backup-Fristen und Nachweis je Anbieter prüfen.",
            "Backup-Retention, gesetzliche Aufbewahrung, Legal Hold, Sperrvermerk und Löschaufschub als Betreiberregel dokumentieren.",
            "Formulare auf Pflichtfelder, Zweckbindung, Double-Opt-in, Löschfrist und CRM-\/Support-Weitergabe prüfen."
        ],
        "source_artifacts": [
            "cookie_inventory",
            "cookie_declaration_document",
            "privacy_notice_draft",
            "processing_activity_record",
            "data_flow_map",
            "vendor_due_diligence",
            "dsar_workflow_readiness",
            "legal_basis_matrix",
            "monitoring_alert_digest"
        ],
        "deletion_workflow": [
            {
                "id": "identify",
                "owner": "Datenschutz\/Support",
                "phase": "Identifizieren",
                "action": "Datenart, Zweck, Systeme, Anbieter und Rechtsgrundlage bestimmen.",
                "timebox": "Tag 0-3",
                "evidence": "DSAR-Ticket, RoPA\/Data Map, Vendor Register."
            },
            {
                "id": "hold_check",
                "owner": "Legal\/Fachbereich",
                "phase": "Legal Hold & Aufbewahrung",
                "action": "Gesetzliche Aufbewahrung, Verjährung, Betrugsprävention und Sperrung statt Löschung prüfen.",
                "timebox": "Tag 3-7",
                "evidence": "Hold-Entscheidung, Rechtsgrund, Sperrvermerk."
            },
            {
                "id": "execute",
                "owner": "IT\/Vendor Owner",
                "phase": "Löschung \/ Sperrung",
                "action": "System- und Vendor-Aufgaben ausführen, Backups\/Archive nach Retention-Regel behandeln.",
                "timebox": "Tag 7-21",
                "evidence": "Löschlauf, Vendor-Bestätigung, technische Logs."
            },
            {
                "id": "verify",
                "owner": "Datenschutz\/Compliance",
                "phase": "Nachweis & Antwort",
                "action": "Negativsuche, Ausnahmen und Abschlussantwort dokumentieren.",
                "timebox": "bis Tag 30",
                "evidence": "Deletion-Log, Abschlussnotiz, Antwortkopie."
            }
        ],
        "retention_schedule": [
            {
                "id": "cookies_storage",
                "owner": "Marketing\/IT",
                "source": "Browser-\/Cookie-Inventar",
                "evidence": "0 Cookie-\/Storage-Eintrag\/Einträge; Retention-Risiken 0.",
                "data_category": "Cookies, LocalStorage und SessionStorage",
                "deletion_trigger": "Ablauf, Widerruf, Zweckende, technische Bereinigung",
                "default_retention": "Session bis 13 Monate je Zweck prüfen"
            },
            {
                "id": "contact_forms",
                "owner": "Fachbereich\/Datenschutz",
                "source": "Formular- und Datenartenanalyse",
                "evidence": "Formulare 2, Datenarten 2.",
                "data_category": "Kontakt-, Newsletter- und Formularangaben",
                "deletion_trigger": "Anfrage erledigt, Abmeldung, Zweckende, Löschanfrage",
                "default_retention": "Zweckende plus notwendige Nachweis-\/Verjährungsfrist"
            },
            {
                "id": "vendor_logs",
                "owner": "Vendor Owner\/Legal",
                "source": "Vendor Register \/ Data Map",
                "evidence": "0 Anbieter, 0 DPA-Prüfungen.",
                "data_category": "Drittanbieter-, Tracking- und Supportdaten",
                "deletion_trigger": "Vendor-Offboarding, Zweckende, DSAR-Löschung, Vertragsende",
                "default_retention": "Nach Anbieterzweck, AVV\/DPA und Transferprüfung"
            },
            {
                "id": "security_audit_logs",
                "owner": "Compliance\/IT",
                "source": "Audit Receipt \/ Evidence Pack",
                "evidence": "Prüfbeleg und Hash-Manifest als Nachweisquelle.",
                "data_category": "Security-, Consent- und Audit-Nachweise",
                "deletion_trigger": "Fristablauf, Zweckende, Archivierung oder Rechtsgrund entfällt",
                "default_retention": "Nachweispflicht und Sicherheitsbedarf fachlich festlegen"
            }
        ],
        "workflow_step_count": 4,
        "retention_risk_count": 0,
        "evidence_requirements": [
            {
                "id": "retention_matrix",
                "label": "Retention Matrix",
                "owner": "Datenschutz\/Legal",
                "status": "vorbereitet",
                "expected_evidence": "Datenkategorie, Zweck, Rechtsgrundlage, Speicherfrist, Löschtrigger, Owner."
            },
            {
                "id": "deletion_log",
                "label": "Deletion Log",
                "owner": "Compliance\/IT",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Ticket, Suchlauf, Lösch-\/Sperraktion, Ausnahmen, Vendor-Antworten, Abschluss."
            },
            {
                "id": "vendor_certificate",
                "label": "Vendor-Löschbestätigung",
                "owner": "Vendor Owner\/Legal",
                "status": "nicht einschlägig",
                "expected_evidence": "AVV\/DPA-Klausel, Löschbestätigung, Subprozessor-Rückmeldung, Backup-Frist."
            },
            {
                "id": "backup_policy",
                "label": "Backup-\/Archiv-Regel",
                "owner": "IT\/Legal",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Backup-Retention, Restore-Sperre, Legal Hold, endgültige Löschung nach Fristablauf."
            }
        ]
    },
    "scan_configuration_readiness": {
        "rows": [
            {
                "id": "transparent_user_agent",
                "label": "Crawler\/User-Agent transparent",
                "owner": "IT\/Compliance",
                "action": "User-Agent mit Kontakt-\/Bot-URL beibehalten und in Betreiberhinweisen erklären.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "User-Agent: SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests); Bot-Seite https:\/\/saferpage.de\/bot.",
                "guide_url": "\/bot",
                "manual_review": false
            },
            {
                "id": "headless_chromium",
                "label": "Headless-Chromium-Browserlauf dokumentiert",
                "owner": "IT",
                "action": "Browserlauf, Screenshot und Netzwerkbelege als Standardnachweis weiterführen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Renderer playwright-chromium, Browser-Requests 14.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "sitemap_scope",
                "label": "Sitemap und interne Linkziele im Scope",
                "owner": "Website-Betrieb",
                "action": "Sitemap, Footer, Datenschutz, Impressum, Kontakt und Formularseiten als Crawl-Scope pflegen.",
                "passed": false,
                "status": "fehlt",
                "weight": 12,
                "evidence": "Sitemap-URLs 0, Sitemap-Quellen 0, interne Linkziele 2.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "prioritized_page_sampling",
                "label": "Priorisierte Unterseiten werden geprüft",
                "owner": "Datenschutz\/IT",
                "action": "Pflichtseiten, Formularseiten und Cookie-\/Datenschutzseiten regelmäßig als priorisierte Stichprobe prüfen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "2 Unterseite(n) abgerufen, 2 im Nachweispack, Sample-Limit 4.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "consent_state_simulation",
                "label": "Consent-Zustände und GPC im Scanprofil",
                "owner": "Marketing\/IT",
                "action": "Default, Ablehnen, Akzeptieren und GPC weiter als getrennte Zustände gegen Cookies\/Requests vergleichen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "4 Consent-Zustand\/Zustände im Evidence Pack.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "sanitized_request_samples",
                "label": "Sanitisierte Request-Samples statt Rohdaten",
                "owner": "Security\/Datenschutz",
                "action": "Sanitisierung beibehalten: keine Cookie-Werte, keine vollständigen Request-URLs, aber genug Beleg für Betreiberentscheidungen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "0 Request-Sample(s); Nachweise enthalten keine vollständigen Request-URLs.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "recrawl_monitoring",
                "label": "Wiederholungsscans und Monitoring-Alerts angebunden",
                "owner": "Compliance\/IT",
                "action": "Wiederholungsscans mit Alert-Routing und Historie als festen Betriebsprozess nutzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Alerts 0, Historie 1, Hash-Chain-Zeilen 1.",
                "guide_url": "\/monitoring",
                "manual_review": false
            },
            {
                "id": "dach_crawler_queue",
                "label": "DACH-\/Deutschraum-Crawler operationalisiert",
                "owner": "IT\/Redaktion",
                "action": "Deutschsprachige Seed-Listen, Refresh-Grenzen, Parallelität und Fehlerquote überwachen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Queue 767, deutschsprachige Checks 989, besucht 1284, refreshed 0\/0.",
                "guide_url": "\/tests",
                "manual_review": false
            },
            {
                "id": "crawl_performance_guardrails",
                "label": "Performance-Grenzen für schonende Scans",
                "owner": "IT",
                "action": "Concurrency, Timeout, Delay und Sample-Limits je Zielgruppe dokumentieren und bei großen Crawls vorsichtig erhöhen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Sample-Limit 4, Evidence-Pages 2, Crawler-UA SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests).",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "evidence_exportability",
                "label": "Scan-Konfiguration exportierbar",
                "owner": "Compliance\/IT",
                "action": "Scanprofil, Scope, User-Agent, Renderer, Limitierungen und Exportpaket für Audits versioniert speichern.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Prüfbeleg vorhanden, Evidence Pack vorhanden.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "custom_header_allowlist",
                "label": "Allowlist-\/Custom-Header-Prozess für Betreiber",
                "owner": "IT\/Security",
                "action": "Optionalen Betreiber-Header für Whitelisting, Staging-Scans und Login-\/Sonderbereiche als kontrollierten Prozess definieren.",
                "passed": false,
                "status": "prüfen",
                "weight": 8,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/methodik",
                "manual_review": true
            }
        ],
        "score": 82,
        "status": "scan-ready",
        "summary": "Scan-Configuration-\/Monitoring-Readiness 82\/100; 9\/11 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder Betreiber-Nachweise offen.",
        "available": true,
        "gap_count": 2,
        "disclaimer": "Automatisch aus Scan-Evidenz und Crawler-Status abgeleitete Scan-Konfigurations-Readiness. Tiefe Scans, Login-Bereiche, Allowlisting und Custom Header brauchen eine ausdrückliche Betreiberfreigabe.",
        "check_count": 11,
        "crawl_scope": [
            {
                "id": "homepage",
                "source": "Startseite",
                "coverage": "geprüft",
                "evidence": "https:\/\/www.gmturnier-berlin.de\/",
                "next_step": "Startseite als Eintrittspunkt stabil halten."
            },
            {
                "id": "sitemap",
                "source": "Sitemap",
                "coverage": "nicht erkannt",
                "evidence": "0 URL(s), Quellen 0.",
                "next_step": "Sitemap aktuell halten und wichtige Datenschutz-\/Formularseiten aufnehmen."
            },
            {
                "id": "internal_links",
                "source": "Interne Linkstruktur",
                "coverage": "vorhanden",
                "evidence": "2 Linkziel(e), 2 abgerufen.",
                "next_step": "Pflichtseiten und Nutzerpfade sichtbar verlinken."
            },
            {
                "id": "consent_paths",
                "source": "Consent-Pfade",
                "coverage": "geprüft",
                "evidence": "4 Zustand\/Zustände.",
                "next_step": "Ablehnen, Akzeptieren, Einstellungen und GPC je Release testen."
            }
        ],
        "scope_count": 4,
        "passed_count": 9,
        "profile_count": 3,
        "config_profiles": [
            {
                "id": "manual_public",
                "label": "Manueller öffentlicher Website-Check",
                "owner": "Betreiber\/Prüfer",
                "scope": "Startseite, HTTP\/DNS\/TLS, Headless Chromium, Consent-Zustände, Screenshot, priorisierte Unterseiten.",
                "status": "aktiv",
                "cadence": "bei Bedarf",
                "user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)"
            },
            {
                "id": "dach_recrawl",
                "label": "Deutschsprachiger Wiederholungscrawler",
                "owner": "SaferPage IT",
                "scope": "Gespeicherte DACH-\/DE-Seiten, Refresh-Kandidaten, Queue und Monitoring.",
                "status": "aktiv",
                "cadence": "systemd timer \/ refresh-days",
                "user_agent": "SaferPageCrawler\/0.3 (+https:\/\/saferpage.de\/bot; schedules passive DACH website checks; report examples: https:\/\/saferpage.de\/tests)"
            },
            {
                "id": "operator_deep_scan",
                "label": "Betreiber-Deep-Scan mit Freigabe",
                "owner": "Betreiber IT\/Security",
                "scope": "Staging, Login-Bereiche, Custom Header, Whitelist, höhere Tiefe.",
                "status": "Betreiber-Nachweis",
                "cadence": "vor Go-live und nach Releases",
                "user_agent": "SaferPageBot\/0.2 (+https:\/\/saferpage.de\/bot; passive website safety check; no attack tests)"
            }
        ],
        "priority_actions": [
            "Sitemap, Footer, Datenschutz, Impressum, Kontakt und Formularseiten als Crawl-Scope pflegen.",
            "Optionalen Betreiber-Header für Whitelisting, Staging-Scans und Login-\/Sonderbereiche als kontrollierten Prozess definieren."
        ],
        "source_artifacts": [
            "audit_evidence_pack",
            "site_coverage_analysis",
            "monitoring_alert_digest",
            "scan_history_analysis",
            "scan_history_chain_digest",
            "audit_receipt",
            "crawler_status"
        ],
        "crawler_queue_count": 767,
        "monitoring_controls": [
            {
                "id": "refresh_policy",
                "label": "Refresh-Policy",
                "owner": "IT",
                "status": "prüfen",
                "evidence": "0 Refresh-Scan(s), 0 Kandidat(en)."
            },
            {
                "id": "queue_health",
                "label": "Queue Health",
                "owner": "IT",
                "status": "aktiv",
                "evidence": "Queue 767, Fehler 25."
            },
            {
                "id": "alert_routing",
                "label": "Alert Routing",
                "owner": "Compliance\/IT",
                "status": "aufbauen",
                "evidence": "0 Monitoring-Alert(s)."
            },
            {
                "id": "public_feeds",
                "label": "Öffentliche Monitoring-Feeds",
                "owner": "SaferPage",
                "status": "vorhanden",
                "evidence": "\/monitoring\/feed.json und \/monitoring\/feed.xml."
            }
        ],
        "crawler_german_count": 989,
        "evidence_requirements": [
            {
                "id": "scan_profile",
                "label": "Scanprofil",
                "owner": "IT\/Compliance",
                "status": "vorhanden",
                "expected_evidence": "User-Agent, Renderer, Kontext, Bot-URL, Zeitstempel und Ziel-URL."
            },
            {
                "id": "crawl_scope_manifest",
                "label": "Crawl-Scope-Manifest",
                "owner": "Website-Betrieb",
                "status": "teilweise",
                "expected_evidence": "Startseite, Sitemap-Quellen, priorisierte Unterseiten, Ausschlüsse und Sampling-Grenzen."
            },
            {
                "id": "recrawl_log",
                "label": "Recrawl-\/Monitoring-Log",
                "owner": "Compliance\/IT",
                "status": "teilweise",
                "expected_evidence": "Scan-Historie, Score-Deltas, Alerts, Queue, Fehler und Refresh-Kandidaten."
            },
            {
                "id": "operator_authorization",
                "label": "Betreiberfreigabe für Deep-Scans",
                "owner": "Betreiber IT\/Security",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Freigabe, Allowlist-Header, erlaubte Tiefe, Login-\/Staging-Scope und Rate Limits."
            }
        ],
        "monitoring_control_count": 4
    },
    "accessibility_statement_draft": {
        "url": "https:\/\/www.gmturnier-berlin.de\/",
        "host": "gmturnier-berlin.de",
        "score": 56,
        "status": "Nicht vollständig konform im automatischen Basischeck",
        "summary": "Entwurf mit 5 bekannten Barrierefreiheits-Punkt(en) aus dem Scan.",
        "standard": "WCAG 2.2 orientierter Basischeck \/ BFSG-Betreiberentwurf",
        "available": true,
        "disclaimer": "Automatisch aus SaferPage-HTML- und Browser-Signalen abgeleitet; ersetzt keine vollständige BITV-\/WCAG-Prüfung und keine Rechtsberatung.",
        "text_blocks": [
            {
                "text": "Die Website gmturnier-berlin.de (https:\/\/www.gmturnier-berlin.de\/) wurde mit einem automatisierten SaferPage-Basischeck geprüft. Ergebnis: Nicht vollständig konform im automatischen Basischeck. Der Check orientiert sich an WCAG 2.2-Basissignalen und typischen BFSG\/EAA-Betreiberpflichten.",
                "title": "Stand der Vereinbarkeit"
            },
            {
                "text": "Im automatischen Basischeck wurden folgende Punkte als nicht vollständig belegt markiert: Alternativtexte für Bilder (WCAG 1.1.1 Non-text Content); Formularfelder beschriften (WCAG 1.3.1 Info and Relationships \/ 3.3.2 Labels or Instructions); Buttons mit Namen versehen (WCAG 4.1.2 Name, Role, Value); Seitensprache auszeichnen (WCAG 3.1.1 Language of Page); Mobile Viewport-Basis (WCAG 1.4.10 Reflow).",
                "title": "Nicht barrierefreie Inhalte"
            },
            {
                "text": "Diese Entwurfsfassung wurde aus einem automatisierten technischen Kurzcheck erstellt. Vor Veröffentlichung sollten Tastaturbedienung, Screenreader-Nutzung, Kontraste, Fokusführung, PDFs und eingebundene Dienste manuell geprüft werden.",
                "title": "Erstellung dieser Erklärung"
            },
            {
                "text": "Bitte ergänzen Sie eine barrierefreie Kontaktmöglichkeit, über die Nutzer Barrieren melden und Informationen in zugänglicher Form anfordern können.",
                "title": "Feedback und Kontakt"
            },
            {
                "text": "Bitte ergänzen Sie die zuständige Durchsetzungs-, Marktüberwachungs- oder Schlichtungsstelle für Ihr Angebot und Ihren Sitz.",
                "title": "Durchsetzungsverfahren"
            }
        ],
        "generated_at": "2026-06-11T09:06:35+00:00",
        "known_issues": [
            {
                "fix": "Inhaltliche Bilder mit aussagekräftigem alt-Text versehen; dekorative Bilder mit leerem alt oder aria-hidden kennzeichnen.",
                "wcag": "WCAG 1.1.1 Non-text Content",
                "title": "Alternativtexte für Bilder",
                "impact": "mittel",
                "evidence": "2 von 6 Bild(er) ohne alt-Text im HTML-Sample.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
            },
            {
                "fix": "Jedes Eingabefeld mit sichtbarem label, aria-label oder aria-labelledby verbinden.",
                "wcag": "WCAG 1.3.1 Info and Relationships \/ 3.3.2 Labels or Instructions",
                "title": "Formularfelder beschriften",
                "impact": "hoch",
                "evidence": "1 von 1 Formularfeld(er) ohne erkennbare Beschriftung.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
            },
            {
                "fix": "Buttons mit sichtbarem Text, aria-label oder eindeutigem value auszeichnen.",
                "wcag": "WCAG 4.1.2 Name, Role, Value",
                "title": "Buttons mit Namen versehen",
                "impact": "hoch",
                "evidence": "1 von 1 Button(s) ohne erkennbaren Namen.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
            },
            {
                "fix": "Am html-Element die passende Sprache setzen, zum Beispiel lang=\"de\".",
                "wcag": "WCAG 3.1.1 Language of Page",
                "title": "Seitensprache auszeichnen",
                "impact": "mittel",
                "evidence": "Kein lang-Attribut am html-Element im HTML-Sample erkannt.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
            },
            {
                "fix": "meta name=\"viewport\" setzen und Layout auf mobile Reflow-Fähigkeit prüfen.",
                "wcag": "WCAG 1.4.10 Reflow",
                "title": "Mobile Viewport-Basis",
                "impact": "mittel",
                "evidence": "Kein Viewport-Meta-Tag im HTML-Sample erkannt.",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare"
            }
        ],
        "high_impact_count": 2,
        "known_issue_count": 5,
        "recommended_next_steps": [
            "Kontakt- und Durchsetzungsstelle mit echten Betreiberangaben ergänzen.",
            "Alle markierten WCAG-Punkte technisch beheben und danach erneut prüfen.",
            "Manuelle Tastatur-, Screenreader-, Kontrast- und PDF-Prüfung dokumentieren.",
            "Erklärung nach Änderungen an Website, CMP oder Templates aktualisieren."
        ]
    },
    "data_discovery_classification": {
        "rows": [
            {
                "id": "personal_data_inventory",
                "label": "Personenbezogene Datenarten inventarisiert",
                "owner": "Datenschutz\/IT",
                "action": "Datenarten aus Formularen, Tracking, Cookies, Accounts, Support und Vendor-Flüssen zentral klassifizieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "2 Datenart(en), Formulare 2, Dateneingabe ja.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "field_level_classification",
                "label": "Feld-\/Signal-Klassifizierung vorbereitet",
                "owner": "Datenschutz\/IT",
                "action": "Formularfelder, Cookie-\/Storage-Schlüssel, URL-Parameter und Request-Signale nach Datenklasse, Zweck und Risiko klassifizieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Formulare 2, Cookies 0, Storage 0, Tracking-Storage-Hinweise 0.",
                "guide_url": "\/guides\/formulare-datenschutzkonform-absichern",
                "manual_review": false
            },
            {
                "id": "sensitive_data_detection",
                "label": "Sensitive-\/PII-Risiken erkannt und priorisiert",
                "owner": "Security\/Datenschutz",
                "action": "E-Mail, Telefon, IDs, Gesundheits-\/Finanz-\/Kinder-\/Profiling-Signale und URL-Leaks als sensitive Datenrisiken priorisieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
                "guide_url": "\/guides\/pii-und-url-datenlecks-vermeiden",
                "manual_review": false
            },
            {
                "id": "data_map_lineage",
                "label": "Data Map und Lineage ableitbar",
                "owner": "Datenschutz\/IT",
                "action": "Quelle, Empfänger, System, Vendor, Transfer, Speicherort und Löschtrigger je Datenfluss pflegen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 14,
                "evidence": "10 Knoten, 9 Datenfluss-Kanten, hohe Risiken 3.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "ropa_processing_link",
                "label": "RoPA\/Verarbeitungstätigkeiten verbunden",
                "owner": "Datenschutz\/Legal",
                "action": "Klassifizierte Datenarten mit RoPA, Zweck, Rechtsgrundlage, Empfänger, Speicherfrist und TOMs verbinden.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "2 Verarbeitungstätigkeit(en).",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "vendor_data_stores",
                "label": "Vendor-\/Drittanbieter-Datenspeicher klassifiziert",
                "owner": "Vendor Owner\/Datenschutz",
                "action": "Vendor-Datenkategorien, Tracking-\/Support-\/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "dsar_search_scope",
                "label": "DSAR-Suchscope aus Discovery ableitbar",
                "owner": "Datenschutz\/Support\/IT",
                "action": "Data Discovery als Suchmanifest für Auskunft, Löschung, Widerspruch, Portabilität und Vendor-Tasking nutzen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "DSAR-Workflow-Readiness 40\/100; 4\/10 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Betreiber-Nachweise offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "assessment_prefill",
                "label": "Assessments mit Discovery-Daten vorbefüllbar",
                "owner": "Datenschutz\/Product",
                "action": "PIA\/DPIA\/TIA\/Vendor\/AI-Fragen mit Datenklassen, Systemen, Empfängern und Risiken automatisch vorbefüllen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 9,
                "evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "retention_classification",
                "label": "Retention und Löschung nach Datenklasse steuerbar",
                "owner": "Datenschutz\/Legal\/IT",
                "action": "Retention Schedule, Löschtrigger, Legal Hold und Vendor-Löschung je Datenklasse ableiten.",
                "passed": false,
                "status": "fehlt",
                "weight": 9,
                "evidence": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "evidence_export",
                "label": "Discovery Evidence exportierbar",
                "owner": "Compliance\/IT",
                "action": "Klassifikationsentscheidungen, Quellen, Beispiele, Hash-Manifest und Exportpaket auditfähig speichern.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "manual_review": false
            },
            {
                "id": "connected_scanners",
                "label": "Konnektoren zu internen Datenbanken\/SaaS-Systemen",
                "owner": "IT\/Data Owner",
                "action": "Für echte Field-Level-Discovery interne Datenbanken, CRM, DWH, Support, Marketing und Cloud Stores anbinden.",
                "passed": false,
                "status": "prüfen",
                "weight": 8,
                "evidence": "Aus öffentlichem Website-Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": true
            }
        ],
        "score": 69,
        "status": "ausbaufähig",
        "summary": "Data-Discovery-\/Classification-Readiness 69\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 4,
        "disclaimer": "Automatisch aus Website-, Browser- und SaferPage-Artefakten abgeleitete Discovery-\/Classification-Readiness. Echte Field-Level-Discovery in internen Datenbanken und SaaS-Systemen erfordert Betreiber-Konnektoren und Berechtigungen.",
        "check_count": 11,
        "passed_count": 7,
        "source_count": 4,
        "classifier_rules": [
            {
                "id": "email_phone",
                "rule": "E-Mail, Telefon, Kontaktfelder",
                "action": "Formularzweck, Rechtsgrundlage und Speicherfrist dokumentieren.",
                "risk_level": "mittel",
                "classification": "Kontakt-\/Identifikationsdaten"
            },
            {
                "id": "tracking_ids",
                "rule": "Cookie-\/Storage-\/Analytics-Identifier",
                "action": "Consent, Zweck, Laufzeit, Anbieter und Widerruf prüfen.",
                "risk_level": "hoch",
                "classification": "Online-Identifier\/Tracking"
            },
            {
                "id": "url_pii",
                "rule": "PII in URL, Query oder Referrer",
                "action": "URL-Parameter entfernen, Referrer-Policy setzen und Tracking begrenzen.",
                "risk_level": "hoch",
                "classification": "Datenleck \/ sensitive Übermittlung"
            },
            {
                "id": "vendor_transfer",
                "rule": "Drittanbieter- und Transferdaten",
                "action": "DPA\/TIA, Region, Subprozessoren und Datenklasse prüfen.",
                "risk_level": "hoch",
                "classification": "Empfänger-\/Transferdaten"
            }
        ],
        "priority_actions": [
            "Vendor-Datenkategorien, Tracking-\/Support-\/Marketing-Systeme, Transfer und Subprozessoren in Discovery einbeziehen.",
            "Data Discovery als Suchmanifest für Auskunft, Löschung, Widerspruch, Portabilität und Vendor-Tasking nutzen.",
            "Retention Schedule, Löschtrigger, Legal Hold und Vendor-Löschung je Datenklasse ableiten.",
            "Für echte Field-Level-Discovery interne Datenbanken, CRM, DWH, Support, Marketing und Cloud Stores anbinden."
        ],
        "source_artifacts": [
            "privacy_notice_draft",
            "data_entry_analysis",
            "pii_exposure_analysis",
            "cookie_inventory",
            "cookie_declaration_document",
            "processing_activity_record",
            "data_flow_map",
            "vendor_lifecycle_risk",
            "dsar_workflow_readiness",
            "privacy_assessment_automation"
        ],
        "discovery_sources": [
            {
                "id": "website_forms",
                "source": "Website-Formulare und Eingabepunkte",
                "signals": "2 Formular(e), Datenschutzkontext nein.",
                "coverage": "vorhanden",
                "next_step": "Feldnamen, Pflichtfelder, Zweck und Speicherfrist je Formular erfassen."
            },
            {
                "id": "browser_storage",
                "source": "Cookies, Storage und Browser-Requests",
                "signals": "Cookies 0, Storage 0, Tracking-Hinweise 0.",
                "coverage": "gering",
                "next_step": "Identifier und Trackingzwecke gegen Consent\/Notice klassifizieren."
            },
            {
                "id": "data_map",
                "source": "RoPA und Data Map",
                "signals": "2 Aktivitäten, 10 Knoten, 9 Kanten.",
                "coverage": "vorhanden",
                "next_step": "Systeme, Empfänger und Datenklassen je Verarbeitung verknüpfen."
            },
            {
                "id": "vendors",
                "source": "Vendor Register und Drittanbieter-Matrix",
                "signals": "0 Vendor(s).",
                "coverage": "aufbauen",
                "next_step": "Vendor-Datenkategorien, Transfer und Subprozessoren klassifizieren."
            }
        ],
        "pii_finding_count": 0,
        "classification_count": 5,
        "classifier_rule_count": 4,
        "evidence_requirements": [
            {
                "id": "classification_matrix",
                "label": "Classification Matrix",
                "owner": "Datenschutz\/IT",
                "status": "vorbereitet",
                "expected_evidence": "Datenklasse, Quelle, Beispiel, Zweck, Risiko, Owner, Rechtsgrundlage."
            },
            {
                "id": "sample_manifest",
                "label": "Sample-\/Signal-Manifest",
                "owner": "Security\/Datenschutz",
                "status": "sanitisiert",
                "expected_evidence": "Feldnamen, Cookie-\/Storage-Namen, Request-Hosts, keine vollständigen Werte."
            },
            {
                "id": "search_scope",
                "label": "DSAR Search Scope",
                "owner": "Datenschutz\/IT",
                "status": "aufbauen",
                "expected_evidence": "Systeme, Vendoren, Datenklassen, Suchparameter, negative Suchergebnisse."
            },
            {
                "id": "connector_plan",
                "label": "Interner Connector-Plan",
                "owner": "IT\/Data Owner",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "CRM, DWH, Support, Marketing, Payment, Cloud Storage, Zugriffskonzept."
            }
        ],
        "classification_catalog": [
            {
                "id": "contact_identifiers",
                "label": "Kontakt- und Identifikationsdaten",
                "owner": "Datenschutz\/Fachbereich",
                "sources": "Formulare 2, PII-Findings 0",
                "examples": "Name, E-Mail, Telefon, Kundennummer, Account-ID",
                "risk_level": "mittel"
            },
            {
                "id": "online_identifiers",
                "label": "Online-Identifier und Trackingdaten",
                "owner": "Marketing\/IT",
                "sources": "Cookies 0, Storage-Hinweise 0",
                "examples": "Cookie-ID, LocalStorage-Key, IP-\/Device-\/Analytics-Identifier",
                "risk_level": "prüfen"
            },
            {
                "id": "transaction_support",
                "label": "Kommunikations-, Support- und Transaktionsdaten",
                "owner": "Fachbereich\/Datenschutz",
                "sources": "Datenarten 2, Verarbeitungstätigkeiten 2",
                "examples": "Kontaktanfrage, Newsletter, Supportfall, Bestellung, Logdaten",
                "risk_level": "mittel"
            },
            {
                "id": "sensitive_special",
                "label": "Sensible oder besonders schützenswerte Daten",
                "owner": "Legal\/Datenschutz",
                "sources": "0 PII-\/Datenleck-Hinweis(e) aus URL-, Formular- und Browserkontext.",
                "examples": "Gesundheit, Finanzdaten, Minderjährige, Ausweis-\/ID-Daten, Bewerbungsdaten",
                "risk_level": "prüfen"
            },
            {
                "id": "vendor_shared",
                "label": "Mit Anbietern geteilte Daten",
                "owner": "Vendor Owner\/Datenschutz",
                "sources": "Vendor Count 0, Datenfluss-Kanten 9",
                "examples": "Tracking-, CRM-, Hosting-, CDN-, Support- und Zahlungsdaten",
                "risk_level": "prüfen"
            }
        ]
    },
    "privacy_assessment_automation": {
        "rows": [
            {
                "id": "template_library",
                "label": "Assessment-Vorlagen für PIA\/DPIA\/TIA\/Vendor\/AI",
                "owner": "Datenschutz\/Legal",
                "action": "Standardvorlagen für PIA, DPIA\/DSFA, TIA, Vendor Assessment und AI Risk Assessment versionieren.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "8 Watch-Pflicht(en), 2 DPIA-Risikofaktor(en), 5 AI-Kontrolle(n).",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "auto_prefill",
                "label": "Automatische Vorbefüllung aus RoPA, Data Map und Anbietern",
                "owner": "Datenschutz\/IT",
                "action": "Assessment-Fragen aus Datenarten, Systemen, Empfängern, Cookies, Formularen und Vendor-Registern vorbefüllen.",
                "passed": false,
                "status": "fehlt",
                "weight": 15,
                "evidence": "2 Verarbeitungstätigkeit(en), 10 Datenknoten, 9 Datenflüsse, 0 Anbieter.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "risk_scoring",
                "label": "Risikoscoring und Schwellenentscheidung",
                "owner": "Datenschutz\/Product",
                "action": "Schwellenentscheidung, Risikofaktoren, Schutzmaßnahmen und Negativentscheidung im Assessment speichern.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "tia_transfer_assessment",
                "label": "Transfer Impact Assessment für Drittland-\/Vendor-Risiken",
                "owner": "Legal\/Vendor Owner",
                "action": "Drittlandtransfer, SCC\/TIA, Anbieterregion, Unterauftragsverarbeiter und Alternativen als Pflichtblock abfragen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Transferfragen 0, hohe Vendor-Risiken 0.",
                "guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
                "manual_review": false
            },
            {
                "id": "vendor_assessment",
                "label": "Vendor-Assessment und AVV\/DPA-Prüfung",
                "owner": "Legal\/Vendor Owner",
                "action": "Anbieterakte mit Zweck, Rolle, AVV\/DPA, TOMs, Transferstatus und Renewal-Frist führen.",
                "passed": false,
                "status": "fehlt",
                "weight": 10,
                "evidence": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "manual_review": false
            },
            {
                "id": "ai_assessment",
                "label": "AI-\/Automated-Decisioning-Assessment",
                "owner": "Datenschutz\/Product\/Legal",
                "action": "AI-Use-Cases, Datenquellen, Entscheidungswirkung, Human Review, Transparenz und DPIA-Bezug im Assessment prüfen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 9,
                "evidence": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "mitigation_workflow",
                "label": "Mitigation-Workflow mit Owner, SLA und Abnahme",
                "owner": "Programm-Owner",
                "action": "Assessment-Lücken automatisch in Tickets mit Owner, SLA, Abnahmekriterium und Wiederholungsscan überführen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 12,
                "evidence": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "evidence_library",
                "label": "Evidence Library und Exportnachweise",
                "owner": "Compliance\/IT",
                "action": "Assessment-Antworten mit Screenshot, Request-\/Cookie-Evidenz, Hash-Manifest und Exportpaket verknüpfen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 10,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "approval_routing",
                "label": "Freigabe, Sign-off und Eskalation",
                "owner": "Programm-Owner",
                "action": "Freigabe-Routen für Datenschutz, Legal, Security, Vendor Owner und Produktverantwortliche definieren.",
                "passed": false,
                "status": "prüfen",
                "weight": 7,
                "evidence": "Aus öffentlichem Scan nicht beweisbar.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": true
            },
            {
                "id": "change_triggers",
                "label": "Change Trigger für neue Anbieter, Cookies, Formulare und Rechtsänderungen",
                "owner": "Datenschutz\/IT",
                "action": "Neue Cookies, Anbieter, Formulare, AI-Signale und Rechtsänderungen automatisch als Assessment-Trigger nutzen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "Alerts 0, Regulatory-Pflichten 8.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "legal_basis_trace",
                "label": "Rechtsgrundlagen- und Zweckbezug je Frage",
                "owner": "Datenschutz\/Legal",
                "action": "Jede Assessment-Antwort mit Zweck, Rechtsgrundlage, Datenkategorie, Empfänger und Speicherfrist rückverfolgbar machen.",
                "passed": true,
                "status": "vorhanden",
                "weight": 8,
                "evidence": "3 Rechtsgrundlagenzeile(n) aus dem Report.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            }
        ],
        "score": 63,
        "status": "aufbauen",
        "summary": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
        "available": true,
        "gap_count": 4,
        "disclaimer": "Automatisch aus SaferPage-Artefakten abgeleitete Assessment-Automation. Sie ersetzt kein internes PIA-\/DPIA-\/TIA-Verfahren, liefert aber Vorbefüllung, Evidence und offene Betreiber-Nachweise.",
        "check_count": 11,
        "passed_count": 7,
        "question_count": 40,
        "template_count": 5,
        "priority_actions": [
            "Assessment-Fragen aus Datenarten, Systemen, Empfängern, Cookies, Formularen und Vendor-Registern vorbefüllen.",
            "Drittlandtransfer, SCC\/TIA, Anbieterregion, Unterauftragsverarbeiter und Alternativen als Pflichtblock abfragen.",
            "Anbieterakte mit Zweck, Rolle, AVV\/DPA, TOMs, Transferstatus und Renewal-Frist führen.",
            "Freigabe-Routen für Datenschutz, Legal, Security, Vendor Owner und Produktverantwortliche definieren."
        ],
        "source_artifacts": [
            "dpia_screening",
            "processing_activity_record",
            "data_flow_map",
            "vendor_due_diligence",
            "ai_governance_readiness",
            "regulatory_watch_readiness",
            "remediation_workflow",
            "audit_receipt",
            "evidence_integrity_manifest"
        ],
        "assessment_questions": [
            {
                "id": "purpose_data_minimization",
                "owner": "Datenschutz\/Product",
                "status": "vorbefüllt",
                "evidence": "processing_activity_record, data_entry_analysis",
                "question": "Sind Zweck, Datenkategorien, Pflichtfelder und Datenminimierung je Verarbeitung dokumentiert?",
                "template": "pia",
                "auto_answer": "2 Verarbeitungstätigkeit(en), Formular-Kontext nein."
            },
            {
                "id": "high_risk_factors",
                "owner": "Datenschutz\/Legal",
                "status": "vorbefüllt",
                "evidence": "dpia_screening",
                "question": "Lösen Tracking, Profiling, sensible Daten, Drittanbieter oder PII-Leaks eine DSFA-Schwelle aus?",
                "template": "dpia_threshold",
                "auto_answer": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch."
            },
            {
                "id": "transfer_context",
                "owner": "Legal\/Vendor Owner",
                "status": "offen",
                "evidence": "vendor_due_diligence",
                "question": "Welche Empfänger liegen außerhalb EU\/EWR oder haben unklare Transfergrundlagen?",
                "template": "tia",
                "auto_answer": "Transferfragen 0, hohe Vendor-Risiken 0."
            },
            {
                "id": "dpa_toms_subprocessors",
                "owner": "Legal\/Vendor Owner",
                "status": "offen",
                "evidence": "vendor_processor_register, vendor_due_diligence",
                "question": "Sind AVV\/DPA, TOMs, Unterauftragsverarbeiter, Zweck und Renewal-Frist je Anbieter dokumentiert?",
                "template": "vendor",
                "auto_answer": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt."
            },
            {
                "id": "ai_transparency_human_review",
                "owner": "Datenschutz\/Product\/Legal",
                "status": "vorbefüllt",
                "evidence": "ai_governance_readiness",
                "question": "Gibt es AI-\/Profiling-Use-Cases mit Transparenz, Rechtsgrundlage, Human Review und Widerspruchsweg?",
                "template": "ai",
                "auto_answer": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n)."
            },
            {
                "id": "mitigation_acceptance",
                "owner": "Programm-Owner",
                "status": "vorbefüllt",
                "evidence": "remediation_workflow",
                "question": "Welche Maßnahmen, Owner und Abnahmekriterien schließen offene Risiken?",
                "template": "pia",
                "auto_answer": "Remediation Workflow mit 6 Ticket(s): 4 sofort starten, 1 einplanen, 1 im Backlog."
            }
        ],
        "evidence_requirements": [
            {
                "id": "assessment_record",
                "label": "Assessment Record",
                "owner": "Datenschutz\/Programm-Owner",
                "status": "aufbauen",
                "expected_evidence": "Vorlage, Version, Owner, Risikostufe, Entscheidung, Freigaben."
            },
            {
                "id": "prefill_sources",
                "label": "Vorbefüllungsquellen",
                "owner": "Datenschutz\/IT",
                "status": "vorhanden",
                "expected_evidence": "RoPA, Data Map, Vendor Register, Cookie-\/Request-Evidenz, Legal Basis Matrix."
            },
            {
                "id": "mitigation_log",
                "label": "Maßnahmen- und Abnahmelog",
                "owner": "Programm-Owner",
                "status": "vorhanden",
                "expected_evidence": "Tickets, SLA, Owner, Abnahmekriterium, Wiederholungsscan."
            },
            {
                "id": "signoff_log",
                "label": "Sign-off und Negativentscheidung",
                "owner": "Datenschutz\/Legal",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Freigabe durch Datenschutz\/Legal\/Security, Begründung bei Nicht-DSFA, Review-Datum."
            }
        ],
        "questionnaire_templates": [
            {
                "id": "pia",
                "label": "Privacy Impact Assessment",
                "owner": "Datenschutz\/Product",
                "trigger": "Neue Verarbeitung, Formular, Tracking- oder Datenflussänderung",
                "evidence": "2 RoPA-Aktivität(en), 9 Datenflüsse.",
                "question_count": 8,
                "prefilled_count": 5
            },
            {
                "id": "dpia_threshold",
                "label": "DPIA\/DSFA Threshold Assessment",
                "owner": "Datenschutz\/Legal",
                "trigger": "Hohes Risiko, Profiling, sensible Daten, umfangreiches Tracking oder Drittanbieter-Ketten",
                "evidence": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
                "question_count": 9,
                "prefilled_count": 6
            },
            {
                "id": "tia",
                "label": "Transfer Impact Assessment",
                "owner": "Legal\/Vendor Owner",
                "trigger": "Drittlandtransfer oder unklare Anbieterregion",
                "evidence": "Transferfragen 0.",
                "question_count": 7,
                "prefilled_count": 2
            },
            {
                "id": "vendor",
                "label": "Vendor Privacy Assessment",
                "owner": "Legal\/Vendor Owner",
                "trigger": "Neuer Dienstleister, neue Subprozessoren oder AVV\/DPA-Renewal",
                "evidence": "0 Anbieter im Register.",
                "question_count": 8,
                "prefilled_count": 1
            },
            {
                "id": "ai",
                "label": "AI Risk Assessment",
                "owner": "Datenschutz\/Product\/Legal",
                "trigger": "Chatbot, Profiling, Scoring, generative AI oder automatisierte Entscheidung",
                "evidence": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
                "question_count": 8,
                "prefilled_count": 5
            }
        ],
        "prefilled_question_count": 19
    },
    "privacy_risk_assessment_queue": {
        "status": "priorisieren",
        "summary": "Privacy-Risk-Assessment-Queue 67\/100; 8 Assessment-Typen priorisiert, 6 mit hoher Priorität, 19 Fragen vorbefüllt.",
        "available": true,
        "disclaimer": "Priorisierte Assessment-Warteschlange aus SaferPage-Evidenz. Sie ersetzt keine rechtliche Bewertung, macht aber Trigger, Owner, Fristen, Vorbefüllung und Nachweise für Betreiber operativ sichtbar.",
        "queue_score": 67,
        "trigger_count": 5,
        "trigger_rules": [
            {
                "id": "new_vendor",
                "owner": "Legal\/Vendor Owner",
                "trigger": "Neuer Drittanbieter, neues Script, neue Cookie-Kategorie oder Subprozessor",
                "evidence": "Vendor Register, Request-Samples, Cookie-Liste.",
                "assessment_type": "Vendor\/TIA"
            },
            {
                "id": "new_data_flow",
                "owner": "Datenschutz\/IT",
                "trigger": "Neue Formulare, Datenarten, Empfänger oder Systemintegration",
                "evidence": "RoPA, Data Map, Data Entry Analysis.",
                "assessment_type": "PIA\/DPIA"
            },
            {
                "id": "ai_signal",
                "owner": "Datenschutz\/Product\/Legal",
                "trigger": "AI-\/Chat-\/Profiling-Signal oder automatisierte Entscheidung",
                "evidence": "AI Governance, DPIA Screening.",
                "assessment_type": "AI\/DPIA"
            },
            {
                "id": "consent_change",
                "owner": "Marketing\/IT\/Datenschutz",
                "trigger": "CMP-, Tag-, GPC-, Consent-Mode- oder Widerrufsänderung",
                "evidence": "Consent Audit, Preference Center, Browser Evidence.",
                "assessment_type": "Consent"
            },
            {
                "id": "law_change",
                "owner": "Datenschutz\/Legal",
                "trigger": "Rechtsänderung oder neue DACH\/EU-\/AI-\/Privacy-Pflicht",
                "evidence": "Regulatory Watch, Regional Privacy Localization.",
                "assessment_type": "Regulatory"
            }
        ],
        "evidence_links": [
            {
                "id": "assessment_automation",
                "label": "Assessment-Automation",
                "source": "privacy_assessment_automation",
                "status": "aufbauen",
                "evidence": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen."
            },
            {
                "id": "risk_register",
                "label": "Privacy Risk Register",
                "source": "privacy_risk_register",
                "status": "kritisch",
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen."
            },
            {
                "id": "audit_receipt",
                "label": "Audit Receipt und Hash-Manifest",
                "source": "audit_receipt,evidence_integrity_manifest",
                "status": "vorhanden",
                "evidence": "Root-Hash 3a9c0d2c99ce9353."
            },
            {
                "id": "monitoring",
                "label": "Monitoring und Change Trigger",
                "source": "monitoring_alert_digest",
                "status": "start_warnung",
                "evidence": "Monitoring-Alert: start_warnung. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta n\/a."
            }
        ],
        "assessment_count": 8,
        "assessment_items": [
            {
                "id": "program_risk_assessment",
                "owner": "Programm-Owner\/Datenschutz",
                "title": "Programm-Risikoassessment für Management",
                "action": "Top-Risiken mit Owner, SLA, Entscheidung, Restrestrisiko und Evidence für Management-Review vorbereiten.",
                "status": "starten",
                "trigger": "Kritische Findings, hohe Datenschutzrisiken oder offene Managemententscheidungen",
                "deadline": "0-30 Tage",
                "evidence": "Privacy Risk Register: 12 Risikozeile(n), 2 kritisch, 9 hoch\/kritisch, 0 sofort fällig, 6 binnen 7 Tagen und 5 binnen 30 Tagen.",
                "priority": "hoch",
                "guide_url": "\/methodik",
                "risk_score": 100,
                "prefill_source": "privacy_risk_register, remediation_workflow",
                "assessment_type": "Programmrisiko"
            },
            {
                "id": "ai_privacy_assessment",
                "owner": "Datenschutz\/Product\/Legal",
                "title": "AI-\/Profiling-Risk-Assessment",
                "action": "Use Cases, Datenquellen, Entscheidungswirkung, Human Review, Transparenz, Opt-out und DPIA-Bezug bewerten.",
                "status": "starten",
                "trigger": "Chat, Profiling, Scoring, generative AI oder automatisierte Entscheidung",
                "deadline": "0-30 Tage",
                "evidence": "AI-Governance-Readiness 24\/100; 4 Signal(e), 3 erkannt, 0 hohes Risiko, 5 offene Kontrolle(n).",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_score": 86,
                "prefill_source": "ai_governance_readiness, dpia_screening",
                "assessment_type": "AI"
            },
            {
                "id": "incident_breach_assessment",
                "owner": "DSB\/Legal\/IT",
                "title": "Incident-\/Breach-Assessment",
                "action": "72h-Prüfung, Beweissicherung, Datenarten, Empfänger, Meldeentscheidung und Kommunikationsvorlagen vorbereiten.",
                "status": "starten",
                "trigger": "Security-, Vendor-, Datenfluss- oder Tracking-Szenario mit möglichem Betroffenenrisiko",
                "deadline": "0-72 Stunden bei Vorfall",
                "evidence": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "priority": "hoch",
                "guide_url": "\/guides\/security-header-setzen",
                "risk_score": 86,
                "prefill_source": "incident_breach_readiness, audit_evidence_pack",
                "assessment_type": "Incident"
            },
            {
                "id": "regulatory_change_assessment",
                "owner": "Datenschutz\/Legal\/Compliance",
                "title": "Regulatory-Change-Assessment",
                "action": "Betroffene Notices, DSAR, Consent, Vendor, AI und Retention-Bausteine gegen Rechtsänderung prüfen.",
                "status": "starten",
                "trigger": "Neue Rechtsquelle, DACH\/EU-Pflicht oder Rechtsänderungs-Digest",
                "deadline": "30-90 Tage",
                "evidence": "Regulatory-Watch-Readiness 58\/100; 8 Quellen, 4 offizielle Quelle(n), 8 Watch-Pflicht(en), 4 Lücke(n) oder manuelle Nachweise offen.",
                "priority": "hoch",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "risk_score": 86,
                "prefill_source": "regulatory_watch_readiness, regional_privacy_localization",
                "assessment_type": "Regulatory"
            },
            {
                "id": "dpia_threshold",
                "owner": "Datenschutz\/Legal\/Product",
                "title": "DPIA-\/DSFA-Schwellenprüfung",
                "action": "Schwellenentscheidung, Schutzmaßnahmen, Restrestrisiko und Negativentscheidung dokumentieren.",
                "status": "starten",
                "trigger": "Hohes Risiko, Tracking, Profiling, sensible Daten oder unklare Datenflüsse",
                "deadline": "0-14 Tage",
                "evidence": "DPIA\/DSFA-Screening: dpia_empfohlen, Risiko-Score 32\/100, 2 ausgelöste Risikofaktor(en), 2 hoch.",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_score": 79,
                "prefill_source": "dpia_screening, privacy_assessment_automation",
                "assessment_type": "DPIA\/DSFA"
            },
            {
                "id": "data_flow_privacy_impact",
                "owner": "Datenschutz\/IT\/Data Owner",
                "title": "Data-Map Privacy Impact Assessment",
                "action": "Datenfluss-Kanten mit Zweck, Rechtsgrundlage, Empfänger, Transfer, Retention und TOMs fachlich bestätigen.",
                "status": "starten",
                "trigger": "Neue oder riskante Datenflüsse, Empfänger, Zwecke oder Löschfristen",
                "deadline": "0-21 Tage",
                "evidence": "Data Map mit 10 Knoten und 9 Datenfluss-Kanten; 3 Kante(n) hohes Risiko, 0 Transfer-Kante(n), 3 offene Mapping-Fragen.",
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_score": 75,
                "prefill_source": "data_flow_map, processing_activity_record",
                "assessment_type": "PIA"
            },
            {
                "id": "consent_preference_assessment",
                "owner": "Marketing\/IT\/Datenschutz",
                "title": "Consent-\/Preference-Assessment",
                "action": "Vor Consent blockieren, Ablehnen\/Widerruf testen, GPC respektieren und Consent-Ledger-Nachweise exportieren.",
                "status": "vorbereiten",
                "trigger": "Neue Tags, Cookies, CMP-Änderung, GPC-\/Opt-out-Signal oder Widerrufslücke",
                "deadline": "0-14 Tage",
                "evidence": "Preference-Center-Readiness 48\/100; 4\/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "priority": "mittel",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "risk_score": 65,
                "prefill_source": "consent_audit, preference_center_readiness",
                "assessment_type": "Consent"
            },
            {
                "id": "vendor_transfer_assessment",
                "owner": "Legal\/Vendor Owner",
                "title": "Vendor-\/Transfer-Assessment",
                "action": "Top-Anbieter mit DPA\/AVV, TOMs, SCC\/TIA, Subprozessoren, Zweck und Review-Datum prüfen.",
                "status": "beobachten",
                "trigger": "Drittanbieter, Drittlandtransfer, neue Subprozessoren oder AVV-\/DPA-Lücke",
                "deadline": "0-21 Tage",
                "evidence": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
                "priority": "niedrig",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "risk_score": 40,
                "prefill_source": "vendor_lifecycle_risk, vendor_due_diligence",
                "assessment_type": "Vendor\/TIA"
            }
        ],
        "priority_actions": [
            "Top-Risiken mit Owner, SLA, Entscheidung, Restrestrisiko und Evidence für Management-Review vorbereiten.",
            "Use Cases, Datenquellen, Entscheidungswirkung, Human Review, Transparenz, Opt-out und DPIA-Bezug bewerten.",
            "72h-Prüfung, Beweissicherung, Datenarten, Empfänger, Meldeentscheidung und Kommunikationsvorlagen vorbereiten.",
            "Betroffene Notices, DSAR, Consent, Vendor, AI und Retention-Bausteine gegen Rechtsänderung prüfen.",
            "Schwellenentscheidung, Schutzmaßnahmen, Restrestrisiko und Negativentscheidung dokumentieren."
        ],
        "source_artifacts": [
            "privacy_assessment_automation",
            "dpia_screening",
            "data_flow_map",
            "vendor_lifecycle_risk",
            "vendor_due_diligence",
            "ai_governance_readiness",
            "consent_audit",
            "preference_center_readiness",
            "privacy_risk_register",
            "regulatory_watch_readiness",
            "incident_breach_readiness",
            "monitoring_alert_digest",
            "audit_receipt",
            "evidence_integrity_manifest"
        ],
        "approval_workflow": [
            {
                "sla": "1-3 Tage",
                "owner": "Programm-Owner",
                "phase": "Triage",
                "action": "Queue-Eintrag priorisieren, Assessment-Typ und Owner bestätigen.",
                "evidence": "Prioritätsentscheidung, Trigger, Scope."
            },
            {
                "sla": "3-7 Tage",
                "owner": "Datenschutz\/IT",
                "phase": "Vorbefüllung",
                "action": "SaferPage-Evidenz, Data Map, Vendor Register, Consent und Risk Register in Assessment übernehmen.",
                "evidence": "Prefill-Quellen, offene Fragen."
            },
            {
                "sla": "7-21 Tage",
                "owner": "Legal\/Datenschutz\/Fachbereich",
                "phase": "Fachreview",
                "action": "Risiken, Rechtsgrundlagen, TOMs, Transfers, Betroffenenwirkung und Maßnahmen fachlich bewerten.",
                "evidence": "Antworten, Risikobewertung, Entscheidung."
            },
            {
                "sla": "vor Go-live oder Fristablauf",
                "owner": "Datenschutz\/Legal\/Security",
                "phase": "Sign-off",
                "action": "Freigabe, Negativentscheidung oder Eskalation dokumentieren.",
                "evidence": "Sign-off, Restrestrisiko, nächste Review-Frist."
            },
            {
                "sla": "laufend",
                "owner": "Compliance\/IT",
                "phase": "Monitoring",
                "action": "Änderungen per Re-Scan, Alerts und Exportpaket nachhalten.",
                "evidence": "Scan-ID, Hash-Manifest, Remediation-Tickets."
            }
        ],
        "high_priority_count": 6,
        "workflow_step_count": 5,
        "prefilled_question_count": 19
    },
    "regional_privacy_localization": {
        "status": "ausbaufähig",
        "summary": "DACH\/EU-Lokalisierung 65\/100; 4 Rechtsraum-Variante(n), 4\/6 Pflichtblock\/Pflichtblöcke aktiv.",
        "available": true,
        "disclaimer": "DACH\/EU-Lokalisierung ist ein Betreiber-Blueprint aus öffentlicher Website-Evidenz und Prüfprofil. Konkrete Rechtsräume, Sprachen und Pflichttexte müssen fachlich\/rechtlich freigegeben werden.",
        "obligations": [
            {
                "id": "notice_language",
                "area": "Transparenz",
                "owner": "Datenschutz\/Content",
                "applies": true,
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "requirement": "Datenschutzhinweise in verständlicher Sprache und mit lokalem Kontakt-\/Behördenbezug bereitstellen.",
                "operator_action": "Notice-Variante für DE\/AT\/CH\/EU prüfen, lokale Behörde und Kontaktweg ergänzen."
            },
            {
                "id": "dsar_local_rights",
                "area": "Betroffenenrechte",
                "owner": "Datenschutz\/Support",
                "applies": true,
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "requirement": "Rechte, Fristen, Identitätsprüfung und sichere Antwort je Rechtsraum abbilden.",
                "operator_action": "Intake-Formular mit Region\/Sprache, Anfragetyp, Frist und sicherem Antwortweg veröffentlichen."
            },
            {
                "id": "cookie_localization",
                "area": "Consent & Cookies",
                "owner": "Marketing\/IT",
                "applies": true,
                "priority": "hoch",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "requirement": "Cookie-\/Tracker-Zwecke, Einwilligung, Widerruf und GPC\/Opt-out je Markt prüfen.",
                "operator_action": "CMP-\/Preference-Center-Texte und Reject-Test für DACH\/EU lokalisieren."
            },
            {
                "id": "transfer_localization",
                "area": "Drittlandtransfer",
                "owner": "Legal\/Vendor Owner",
                "applies": false,
                "priority": "hoch",
                "guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
                "requirement": "Auslandsbekanntgaben, SCC\/TIA, Anbieterregion und Alternativen je Notice-Variante erklären.",
                "operator_action": "Transfer-Hinweise in DE\/AT\/CH\/EU-Variante aufnehmen und Vendor-Akten verlinken."
            },
            {
                "id": "accessibility_localization",
                "area": "Usability & Barrierefreiheit",
                "owner": "UX\/IT",
                "applies": true,
                "priority": "mittel",
                "guide_url": "\/guides\/barrierefreiheit-cookie-banner-formulare",
                "requirement": "Barrierefreiheit, verständliche Sprache und mobile Formulare für Anfragen sicherstellen.",
                "operator_action": "Betroffenenrechte-Formular mit Tastatur, Screenreader, Kontrast und mobiler Ansicht testen."
            },
            {
                "id": "children_sensitive",
                "area": "Zielgruppe & sensible Kontexte",
                "owner": "Datenschutz\/Legal",
                "applies": false,
                "priority": "hoch",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "requirement": "Sensible Kontexte, Minderjährige, Gesundheit oder Behördenleistungen gesondert bewerten.",
                "operator_action": "DPIA\/DSFA-Schwelle, Alters-\/Einwilligungslogik und besonders klare Sprache prüfen."
            }
        ],
        "form_variants": [
            {
                "id": "dsar_form_de",
                "owner": "Datenschutz\/Support",
                "region": "Deutschland",
                "deadline": "1 Monat",
                "language": "de-DE",
                "secure_reply": "Sicherer Antwortweg pro Region festlegen",
                "request_types": 5
            },
            {
                "id": "dsar_form_at",
                "owner": "Datenschutz\/Support",
                "region": "Österreich",
                "deadline": "1 Monat",
                "language": "de-AT",
                "secure_reply": "Sicherer Antwortweg pro Region festlegen",
                "request_types": 5
            },
            {
                "id": "dsar_form_ch",
                "owner": "Datenschutz\/Support",
                "region": "Schweiz",
                "deadline": "in der Regel 30 Tage",
                "language": "de-CH",
                "secure_reply": "Sicherer Antwortweg pro Region festlegen",
                "request_types": 5
            },
            {
                "id": "dsar_form_eu",
                "owner": "Datenschutz\/Support",
                "region": "EU\/EWR",
                "deadline": "1 Monat",
                "language": "de\/en je Markt",
                "secure_reply": "Sicherer Antwortweg pro Region festlegen",
                "request_types": 5
            }
        ],
        "jurisdictions": [
            {
                "id": "de",
                "label": "Deutschland",
                "owner": "Datenschutz\/Legal",
                "status": "priorisiert",
                "evidence": "Betreiberregion de, Zielregion dach, Profil general\/mixed.",
                "language": "de-DE",
                "authority": "BfDI\/Landesdatenschutzbehörden, DSK",
                "cookie_rule": "TTDSG\/TDDDG + DSGVO: nicht notwendige Cookies\/Tracker nur nach Einwilligung.",
                "dsar_deadline": "1 Monat",
                "notice_variant": "Deutsche Datenschutzerklärung mit Impressum, DSB\/Kontakt, Betroffenenrechten, Cookies, Empfängern und Drittlandtransfer.",
                "incident_deadline": "72 Stunden"
            },
            {
                "id": "at",
                "label": "Österreich",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "Betreiberregion de, Zielregion dach, Profil general\/mixed.",
                "language": "de-AT",
                "authority": "Datenschutzbehörde Österreich",
                "cookie_rule": "TKG\/DSGVO: Einwilligung und klare Information für nicht notwendige Speicherung\/Zugriffe.",
                "dsar_deadline": "1 Monat",
                "notice_variant": "Österreichische Datenschutzhinweise mit Verantwortlichem, Kontakt, Rechtsgrundlagen, Betroffenenrechten und Aufsichtsbehörde.",
                "incident_deadline": "72 Stunden"
            },
            {
                "id": "ch",
                "label": "Schweiz",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "Betreiberregion de, Zielregion dach, Profil general\/mixed.",
                "language": "de-CH",
                "authority": "EDÖB",
                "cookie_rule": "revDSG\/Fernmelderecht: Transparenz, Zweckbindung und Widerspruchsmöglichkeiten klar erklären.",
                "dsar_deadline": "in der Regel 30 Tage",
                "notice_variant": "Schweizer Datenschutzerklärung mit Bearbeitungszwecken, Empfängern, Auslandsbekanntgaben und Betroffenenrechten.",
                "incident_deadline": "so rasch als möglich bei hohem Risiko"
            },
            {
                "id": "eu",
                "label": "EU\/EWR",
                "owner": "Datenschutz\/Legal",
                "status": "prüfen",
                "evidence": "Betreiberregion de, Zielregion dach, Profil general\/mixed.",
                "language": "de\/en je Markt",
                "authority": "EDPB und nationale Aufsichtsbehörden",
                "cookie_rule": "ePrivacy\/DSGVO: nationale Umsetzung je Markt prüfen.",
                "dsar_deadline": "1 Monat",
                "notice_variant": "EU-Notice mit lokaler Behörde, Sprache, DSAR-Kanal und Rechtsgrundlagen je Markt.",
                "incident_deadline": "72 Stunden"
            }
        ],
        "audience_region": "dach",
        "notice_variants": [
            {
                "id": "notice_de",
                "owner": "Datenschutz\/Content",
                "region": "Deutschland",
                "status": "vorbereiten",
                "language": "de-DE",
                "authority": "BfDI\/Landesdatenschutzbehörden, DSK",
                "required_sections": "Deutsche Datenschutzerklärung mit Impressum, DSB\/Kontakt, Betroffenenrechten, Cookies, Empfängern und Drittlandtransfer."
            },
            {
                "id": "notice_at",
                "owner": "Datenschutz\/Content",
                "region": "Österreich",
                "status": "vorbereiten",
                "language": "de-AT",
                "authority": "Datenschutzbehörde Österreich",
                "required_sections": "Österreichische Datenschutzhinweise mit Verantwortlichem, Kontakt, Rechtsgrundlagen, Betroffenenrechten und Aufsichtsbehörde."
            },
            {
                "id": "notice_ch",
                "owner": "Datenschutz\/Content",
                "region": "Schweiz",
                "status": "vorbereiten",
                "language": "de-CH",
                "authority": "EDÖB",
                "required_sections": "Schweizer Datenschutzerklärung mit Bearbeitungszwecken, Empfängern, Auslandsbekanntgaben und Betroffenenrechten."
            },
            {
                "id": "notice_eu",
                "owner": "Datenschutz\/Content",
                "region": "EU\/EWR",
                "status": "vorbereiten",
                "language": "de\/en je Markt",
                "authority": "EDPB und nationale Aufsichtsbehörden",
                "required_sections": "EU-Notice mit lokaler Behörde, Sprache, DSAR-Kanal und Rechtsgrundlagen je Markt."
            }
        ],
        "operator_region": "de",
        "priority_actions": [
            "Notice-Variante für DE\/AT\/CH\/EU prüfen, lokale Behörde und Kontaktweg ergänzen.",
            "Intake-Formular mit Region\/Sprache, Anfragetyp, Frist und sicherem Antwortweg veröffentlichen.",
            "CMP-\/Preference-Center-Texte und Reject-Test für DACH\/EU lokalisieren.",
            "Betroffenenrechte-Formular mit Tastatur, Screenreader, Kontrast und mobiler Ansicht testen."
        ],
        "source_artifacts": [
            "compliance_profile",
            "regulatory_watch_readiness",
            "privacy_rights_readiness",
            "dsar_workflow_readiness",
            "subject_rights_intake_pack",
            "preference_center_readiness",
            "notice_policy_lifecycle"
        ],
        "form_variant_count": 4,
        "jurisdiction_count": 4,
        "localization_score": 65,
        "localization_tasks": [
            {
                "id": "confirm_markets",
                "task": "Betreiberregion, Zielmärkte, Sprachen, Zielgruppen und Website-Typ bestätigen.",
                "owner": "Datenschutz\/Legal",
                "cadence": "bei Setup und quartalsweise",
                "evidence": "Prüfprofil, Freigabe, betroffene Domains."
            },
            {
                "id": "publish_local_notices",
                "task": "Notice-Varianten mit lokalen Behörden, Fristen, Transferhinweisen und DSAR-Kanal veröffentlichen.",
                "owner": "Datenschutz\/Content",
                "cadence": "bei Notice-Änderung",
                "evidence": "Version, URL, Änderungsdatum, Freigabe."
            },
            {
                "id": "test_local_dsar",
                "task": "DSAR-Formular für DE\/AT\/CH\/EU mit Pflichtfeldern, Sprache, Frist und sicherem Antwortweg testen.",
                "owner": "Support\/Datenschutz",
                "cadence": "halbjährlich",
                "evidence": "Testticket, Screenshots, Frist- und Routingnachweis."
            },
            {
                "id": "consent_language_test",
                "task": "Cookie-Banner, Preference Center, Ablehnen, Widerruf und GPC je lokaler Variante testen.",
                "owner": "Marketing\/IT",
                "cadence": "bei CMP-Änderung",
                "evidence": "Consent-State-Export, Browser-Screenshots, Request-Diff."
            }
        ],
        "notice_variant_count": 4,
        "active_obligation_count": 4
    },
    "privacy_disclosure_gap_analysis": {
        "rows": [],
        "color": "green",
        "score": 100,
        "status": "unauffällig",
        "summary": "Disclosure-Abgleich: 0 beobachtete Anbieter, 0 Anbieter ohne klare Erwähnung, 0 fehlende Policy-Bausteine.",
        "available": false,
        "disclaimer": "Automatischer Textabgleich gegen technische Beobachtungen; Schreibweisen und dynamische Inhalte können manuelle Prüfung erfordern.",
        "policy_missing": [],
        "priority_fixes": [
            "Fehlende Anbieter in Datenschutzerklärung und Cookie-Hinweis konkret benennen.",
            "Zweck, Rechtsgrundlage, Empfängerrolle, Speicherdauer und Transferhinweis je Anbieter ergänzen.",
            "Nach CMP-\/Tag-Änderungen erneut scannen und Disclosure-Abgleich aktualisieren."
        ],
        "found_providers": [],
        "cookie_row_count": 0,
        "vendor_row_count": 0,
        "missing_providers": [],
        "policy_missing_count": 0,
        "provider_missing_count": 0,
        "provider_detected_count": 0,
        "provider_mentioned_count": 0
    },
    "public_privacy_center_blueprint": {
        "status": "konzipieren",
        "summary": "Öffentliches Datenschutz-Center: 44\/100. 4\/8 Kernbereiche sind aus SaferPage-Nachweisen publizierbar, 4 müssen Betreiber noch ausbauen.",
        "available": true,
        "disclaimer": "Blueprint für ein öffentliches Datenschutz-Center beim Betreiber. SaferPage stellt Prüfnachweise und Verlinkungsvorschläge bereit, ersetzt aber keine redaktionelle, rechtliche oder technische Freigabe des Betreibers.",
        "open_count": 4,
        "embed_count": 4,
        "ready_count": 4,
        "public_links": [
            {
                "id": "short_report",
                "url": "https:\/\/saferpage.de\/gmturnier-berlin.de",
                "label": "SaferPage Kurzreport"
            },
            {
                "id": "methodology",
                "url": "https:\/\/saferpage.de\/methodik",
                "label": "Methodik"
            },
            {
                "id": "operator_report",
                "url": "https:\/\/saferpage.de\/datenschutz-webseiten-report\/",
                "label": "Datenschutz-Webseiten-Report"
            },
            {
                "id": "zip_export",
                "url": "",
                "label": "Nachweispaket ZIP"
            },
            {
                "id": "xlsx_export",
                "url": "",
                "label": "Audit-Tabellen XLSX"
            }
        ],
        "section_count": 8,
        "embed_snippets": [
            {
                "id": "footer_privacy_center",
                "code": "<a href=\"\/datenschutz\" rel=\"privacy-policy\">Datenschutz-Center<\/a>",
                "label": "Footer-Link",
                "placement": "Footer und Datenschutzerklärung"
            },
            {
                "id": "rights_cta",
                "code": "<a href=\"\/datenschutz\/anfrage\">Datenschutzanfrage stellen<\/a>",
                "label": "Betroffenenrechte-CTA",
                "placement": "Datenschutz-Center Abschnitt Rechte"
            },
            {
                "id": "preference_cta",
                "code": "<a href=\"\/datenschutz\/praeferenzen\">Einwilligungen und Widerspruch verwalten<\/a>",
                "label": "Präferenz-Link",
                "placement": "Cookie-Banner, Footer und Datenschutz-Center"
            },
            {
                "id": "saferpage_report",
                "code": "<a href=\"https:\/\/saferpage.de\/gmturnier-berlin.de\">Aktuellen Datenschutz-Check ansehen<\/a>",
                "label": "SaferPage Prüflink",
                "placement": "Trust-\/Datenschutz-Center"
            }
        ],
        "center_sections": [
            {
                "id": "privacy_notice",
                "label": "Datenschutzerklärung als Startpunkt",
                "owner": "Datenschutz\/Content",
                "ready": true,
                "action": "Datenschutzerklärung im Datenschutz-Center als zentrale Einstiegsseite führen und mit Scan-Ergebnis verlinken.",
                "status": "publizierbar",
                "weight": 14,
                "evidence": "Entwurf aus Scan-Evidenz: 0 Cookie(s), 0 Drittanbieter-Domain(s), 0 Storage-Key(s).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#datenschutzerklaerung"
            },
            {
                "id": "cookie_preferences",
                "label": "Cookie-Erklärung und Preference Center",
                "owner": "Marketing\/Datenschutz",
                "ready": false,
                "action": "Cookie-Liste, Widerruf, GPC-Hinweis und Preference Center in einem Nutzerbereich bündeln.",
                "status": "aufbauen",
                "weight": 14,
                "evidence": "0 Cookie-\/Storage-Zeile(n), Preference-Score 48\/100.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "public_path": "\/gmturnier-berlin.de#cookies"
            },
            {
                "id": "rights_portal",
                "label": "Betroffenenrechte-Portal",
                "owner": "Support\/Legal\/IT",
                "ready": false,
                "action": "Öffentlichen Anfrageweg mit Formular, Fristen, Identität, sicherer Antwort und Statushinweis veröffentlichen.",
                "status": "aufbauen",
                "weight": 14,
                "evidence": "Privacy-Rights-Portal-Launch 44\/100; 4\/9 Startkontrollen bereit, 5 offen.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "public_path": "\/gmturnier-berlin.de#betroffenenrechte"
            },
            {
                "id": "vendor_list",
                "label": "Drittanbieter- und Processor-Liste",
                "owner": "Vendor Owner\/Datenschutz",
                "ready": false,
                "action": "Anbieter, Zweck, Rolle, Transfer, AVV\/DPA-Status und letzte Prüfung verständlich veröffentlichen.",
                "status": "aufbauen",
                "weight": 12,
                "evidence": "0 Anbieter-\/Processor-Zeile(n) abgeleitet.",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "public_path": "\/gmturnier-berlin.de#drittanbieter"
            },
            {
                "id": "trust_report",
                "label": "Öffentlicher Trust- und Prüfbericht",
                "owner": "Security\/Datenschutz",
                "ready": false,
                "action": "Kurzreport, Trust-Dokumente, Methodik, bekannte Einschränkungen und Re-Scan-Status zusammenführen.",
                "status": "aufbauen",
                "weight": 12,
                "evidence": "Trust-Center 48\/100, 7 Dokument(e) bereit.",
                "guide_url": "\/methodik",
                "public_path": "\/gmturnier-berlin.de#trust-documentation"
            },
            {
                "id": "audit_exports",
                "label": "Nachweise und Exportpakete",
                "owner": "Compliance\/IT",
                "ready": true,
                "action": "Audit Receipt, Hash-Manifest, ZIP\/XLSX und CSV-Tabellen als Betreiber-Nachweise versioniert ablegen.",
                "status": "publizierbar",
                "weight": 10,
                "evidence": "Prüfbeleg vorhanden, Root-Hash 3a9c0d2c99ce9353.",
                "guide_url": "\/methodik",
                "public_path": "\/methodik"
            },
            {
                "id": "monitoring_feed",
                "label": "Letzte Checks und Monitoring",
                "owner": "Programm-Owner",
                "ready": true,
                "action": "Letzte geprüfte Seiten, Wiederholungsscans, Änderungen und offene Aufgaben im Center sichtbar machen.",
                "status": "publizierbar",
                "weight": 9,
                "evidence": "Monitoring-Alert: start_warnung. 0 neue Signal(e), 0 behobene\/entfernte Signal(e), Score-Delta n\/a.",
                "guide_url": "\/monitoring",
                "public_path": "\/gmturnier-berlin.de#monitoring"
            },
            {
                "id": "regional_privacy",
                "label": "DACH\/EU-Lokalisierung",
                "owner": "Legal\/Datenschutz",
                "ready": true,
                "action": "DE\/AT\/CH\/EU-Hinweise, Fristen, Behörden, Sprache und lokale Cookie-\/DSAR-Regeln im Center abbilden.",
                "status": "publizierbar",
                "weight": 8,
                "evidence": "4 Rechtsraum-Variante(n) abgeleitet.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "public_path": "\/gmturnier-berlin.de#regional-privacy"
            }
        ],
        "governance_tasks": [
            {
                "id": "owner_review",
                "task": "Center-Inhalte, Rechtsgrundlagen, Betroffenenrechte-Text und lokale Varianten fachlich freigeben.",
                "owner": "Datenschutz\/Legal",
                "cadence": "monatlich",
                "evidence": "Freigabedatum, Owner, Version und Änderungsnotiz."
            },
            {
                "id": "technical_rescan",
                "task": "SaferPage Re-Scan auslösen und neue Cookies, Anbieter, Formulare und Skripte mit Texten abgleichen.",
                "owner": "IT\/Marketing Ops",
                "cadence": "nach Website-Release und mindestens quartalsweise",
                "evidence": "Scan-ID, Exportpaket, Abweichungsliste."
            },
            {
                "id": "vendor_refresh",
                "task": "Processor-\/Drittanbieterstatus, AVV\/DPA, Transfer und Subprozessoren aktualisieren.",
                "owner": "Vendor Owner",
                "cadence": "quartalsweise",
                "evidence": "Vendor-Liste, DPA-Status, Transferbewertung."
            },
            {
                "id": "public_changes",
                "task": "Änderungen im Datenschutz-Center mit Datum und verständlicher Betreiberformulierung veröffentlichen.",
                "owner": "Content\/Datenschutz",
                "cadence": "bei jeder Änderung",
                "evidence": "Change Log, veröffentlichte URL, Screenshot."
            }
        ],
        "launch_checklist": [
            "Datenschutz-Center unter einer dauerhaft sprechenden URL veröffentlichen und aus Footer, Datenschutzerklärung, Cookie-Banner und Kurzreport verlinken.",
            "Alle öffentlichen Inhalte endanwenderfreundlich formulieren: klare Zwecke, Anbieter, Wahlmöglichkeiten, Fristen und Kontaktwege.",
            "Betreiberinterne Nachweise getrennt halten; öffentliche Versionen sanitisiert und ohne personenbezogene Details veröffentlichen.",
            "SaferPage-Kurzreport, Methodik, letzter Check, Exportpaket und bekannte Einschränkungen versioniert verknüpfen.",
            "Nach Veröffentlichung erneuten Scan durchführen und offene Punkte als Remediation-Tickets mit Owner und SLA pflegen."
        ],
        "priority_actions": [
            "Cookie-Liste, Widerruf, GPC-Hinweis und Preference Center in einem Nutzerbereich bündeln.",
            "Öffentlichen Anfrageweg mit Formular, Fristen, Identität, sicherer Antwort und Statushinweis veröffentlichen.",
            "Anbieter, Zweck, Rolle, Transfer, AVV\/DPA-Status und letzte Prüfung verständlich veröffentlichen.",
            "Kurzreport, Trust-Dokumente, Methodik, bekannte Einschränkungen und Re-Scan-Status zusammenführen."
        ],
        "source_artifacts": [
            "privacy_notice_draft",
            "cookie_declaration_document",
            "vendor_processor_register",
            "privacy_rights_portal_launch_pack",
            "preference_center_readiness",
            "trust_documentation_library",
            "trust_center_readiness",
            "regional_privacy_localization",
            "monitoring_alert_digest",
            "audit_receipt",
            "evidence_integrity_manifest"
        ],
        "public_link_count": 3,
        "publication_score": 44
    },
    "consent_mode_implementation_pack": {
        "available": true,
        "status": "nicht erforderlich",
        "implementation_score": 100,
        "summary": "Kein Google-Tag, keine Google-Domain und keine Google-Tracking-ID erkannt; Google Consent Mode ist aus dieser Scan-Evidenz nicht erforderlich.",
        "implementation_steps": [
            {
                "id": "google_scope",
                "label": "Google-Tags und Zwecke inventarisieren",
                "status": "nicht erforderlich",
                "passed": true,
                "owner": "Marketing\/Datenschutz",
                "phase": "Planung",
                "evidence": "Keine Google-Tags sichtbar, Google-Domains 0.",
                "action": "Bei später eingebauten Google-Tags erneut mit SaferPage prüfen.",
                "guide_url": "\/guides\/google-dienste-datenschutzfreundlich-einbinden"
            },
            {
                "id": "baseline_consent_evidence",
                "label": "Consent- und Drittanbieter-Baseline dokumentieren",
                "status": "bereit",
                "passed": true,
                "owner": "Datenschutz\/QA",
                "phase": "Nachweis",
                "evidence": "Consent-Audit-Score 48, Consent-Zustände 4.",
                "action": "Bestehende Cookie-\/Request-Evidenz im Export sichern und bei Änderungen erneut scannen.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren"
            }
        ],
        "snippets": [],
        "validation_tests": [
            {
                "id": "rescan_if_google_added",
                "label": "Re-Scan bei Google-Tag-Einbau",
                "expected": "Dann Consent-Mode-Defaults und Tag-Gating prüfen.",
                "evidence": "Neuer SaferPage-Check nach Tag-\/CMP-Änderung."
            }
        ],
        "priority_actions": [],
        "disclaimer": "Technische Umsetzungsvorlage aus öffentlichen Scan-Signalen; Betreiber müssen spätere Tag-Änderungen fachlich freigeben."
    },
    "privacy_rights_portal_launch_pack": {
        "status": "konzipieren",
        "summary": "Privacy-Rights-Portal-Launch 44\/100; 4\/9 Startkontrollen bereit, 5 offen.",
        "available": true,
        "disclaimer": "Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen.",
        "page_count": 4,
        "field_count": 6,
        "form_fields": [
            {
                "id": "request_type",
                "type": "select",
                "label": "Worum geht es?",
                "options": "Auskunft; Löschung; Berichtigung; Widerspruch\/Opt-out; Einschränkung; Datenübertragbarkeit",
                "required": true,
                "privacy_note": "Nur den passenden Betroffenenrechts-Typ auswählen; keine Freitextdaten nötig."
            },
            {
                "id": "contact_email",
                "type": "email",
                "label": "Kontakt für Rückfragen",
                "options": "",
                "required": true,
                "privacy_note": "E-Mail-Adresse nur zur Bearbeitung dieser Anfrage verwenden."
            },
            {
                "id": "identity_reference",
                "type": "text",
                "label": "Woran erkennen wir Sie?",
                "options": "",
                "required": false,
                "privacy_note": "Nur notwendige Referenz wie Konto, Kundennummer oder Newsletter-Adresse abfragen."
            },
            {
                "id": "scope",
                "type": "checkboxes",
                "label": "Welche Bereiche sollen geprüft werden?",
                "options": "Website-Formular; Newsletter; Kundenkonto; Tracking\/Marketing; Supportkontakt; Sonstiger Zeitraum",
                "required": false,
                "privacy_note": "Scope begrenzen, damit keine unnötigen Systeme durchsucht werden."
            },
            {
                "id": "message",
                "type": "textarea",
                "label": "Zusätzliche Angaben",
                "options": "",
                "required": false,
                "privacy_note": "Freitext klar als optional kennzeichnen und vor sensiblen Angaben warnen."
            },
            {
                "id": "secure_reply",
                "type": "select",
                "label": "Sicherer Antwortweg",
                "options": "Sicheres Portal; verschlüsselte Datei; postalisch; Rückfrage erforderlich",
                "required": true,
                "privacy_note": "Antwortpakete nicht unverschlüsselt als offene Datei versenden."
            }
        ],
        "launch_score": 44,
        "portal_pages": [
            {
                "id": "rights_home",
                "path": "\/datenschutz\/anfrage",
                "title": "Datenschutzanfrage stellen",
                "public": true,
                "purpose": "Einstieg, Rechteauswahl, Datensparsamkeit, Kontaktweg."
            },
            {
                "id": "request_status",
                "path": "\/datenschutz\/anfrage\/status",
                "title": "Anfragestatus",
                "public": false,
                "purpose": "Status per sicherem Token oder Login anzeigen, ohne personenbezogene Inhalte in URL."
            },
            {
                "id": "preference_center",
                "path": "\/datenschutz\/praeferenzen",
                "title": "Einwilligungen und Widerspruch",
                "public": true,
                "purpose": "Widerruf, Opt-out, Newsletter-Abmeldung und Tracking-Präferenzen bündeln."
            },
            {
                "id": "secure_download",
                "path": "\/datenschutz\/anfrage\/download",
                "title": "Sichere Antwort",
                "public": false,
                "purpose": "Antwortpaket, Redaction-Hinweise und Zustellnachweis bereitstellen."
            }
        ],
        "sla_calendar": [
            {
                "day": "Tag 0",
                "owner": "Support\/Datenschutz",
                "evidence": "Ticket-ID, Zeitstempel, Anfragetyp.",
                "milestone": "Eingang und Friststart"
            },
            {
                "day": "Tag 1-7",
                "owner": "Support\/Legal",
                "evidence": "Verifikationsstatus, Rückfragen.",
                "milestone": "Identität und Umfang klären"
            },
            {
                "day": "Tag 3-14",
                "owner": "IT\/Vendor Owner",
                "evidence": "Suchmanifest, Vendor-Antworten.",
                "milestone": "Systeme und Vendoren durchsuchen"
            },
            {
                "day": "Tag 10-24",
                "owner": "Legal\/Datenschutz",
                "evidence": "Redaction-Log, Ausnahmen.",
                "milestone": "Legal Review und Redaction"
            },
            {
                "day": "bis Tag 30",
                "owner": "Datenschutz\/Support",
                "evidence": "Zustellnachweis, Abschlussnotiz.",
                "milestone": "Sichere Antwort und Abschluss"
            }
        ],
        "routing_rules": [
            {
                "id": "gdpr_default",
                "owner": "Datenschutz",
                "action": "DSGVO-Rechte und lokale Beschwerdehinweise anzeigen.",
                "deadline": "1 Monat",
                "condition": "EU\/DACH oder unbekannter Wohnsitz"
            },
            {
                "id": "marketing_optout",
                "owner": "Marketing\/Datenschutz",
                "action": "Preference Center, CMP, CRM und Suppression List aktualisieren.",
                "deadline": "unverzüglich \/ spätestens 1 Monat",
                "condition": "Widerspruch, Widerruf, Tracking oder Newsletter"
            },
            {
                "id": "vendor_required",
                "owner": "Vendor Owner",
                "action": "Vendor-Aufgabe mit Suchscope, Lösch-\/Auskunftspflicht und Nachweis auslösen.",
                "deadline": "interne SLA 7-14 Tage",
                "condition": "Anfrage betrifft Processor oder Drittanbieter"
            },
            {
                "id": "identity_high_risk",
                "owner": "Support\/Legal",
                "action": "Zusätzliche Identitätsprüfung anfordern, aber keine unnötigen Dokumentkopien speichern.",
                "deadline": "vor Erfüllung",
                "condition": "Auskunft, Portabilität oder Konto-\/Finanzdaten"
            }
        ],
        "copy_templates": [
            {
                "id": "portal_intro",
                "text": "Über dieses Formular können Sie Datenschutzrechte zu gmturnier-berlin.de geltend machen. Bitte geben Sie nur die Informationen an, die wir zur Zuordnung Ihrer Anfrage benötigen.",
                "when": "oberhalb des Formulars",
                "title": "Introtext für das Anfrageformular",
                "audience": "Website-Besucher"
            },
            {
                "id": "data_minimization_notice",
                "text": "Bitte senden Sie keine besonderen Kategorien personenbezogener Daten, Ausweiskopien oder vertraulichen Inhalte, solange wir diese nicht ausdrücklich für die Identitätsprüfung anfordern.",
                "when": "direkt beim Freitextfeld",
                "title": "Datensparsamkeits-Hinweis",
                "audience": "Website-Besucher"
            },
            {
                "id": "receipt_response",
                "text": "Wir haben Ihre Datenschutzanfrage erhalten, prüfen sie und melden uns bei Rückfragen zur Identität oder zum Umfang. Die gesetzliche Frist beginnt mit Eingang Ihrer Anfrage.",
                "when": "nach Formularversand",
                "title": "Eingangsbestätigung",
                "audience": "Anfragende Person"
            },
            {
                "id": "secure_delivery_notice",
                "text": "Wenn Ihre Antwort personenbezogene Daten enthält, stellen wir sie über einen sicheren Kanal bereit oder klären vorab einen geeigneten Zustellweg.",
                "when": "vor Versand des Antwortpakets",
                "title": "Sichere Antwort",
                "audience": "Anfragende Person"
            }
        ],
        "embed_snippets": [
            {
                "id": "footer_link",
                "code": "<a href=\"\/datenschutz\/anfrage\" rel=\"nofollow\">Datenschutzanfrage stellen<\/a>",
                "label": "Footer-Link",
                "placement": "Footer, Datenschutzerklärung und Cookie-\/Preference-Bereich"
            },
            {
                "id": "portal_cta",
                "code": "<a class=\"privacy-rights-button\" href=\"\/datenschutz\/anfrage\">Auskunft, Löschung oder Widerspruch anfragen<\/a>",
                "label": "Portal-CTA",
                "placement": "Datenschutzerklärung im Abschnitt Betroffenenrechte"
            },
            {
                "id": "status_link",
                "code": "Ihr Anfragestatus ist nur über den sicheren Link aus unserer Bestätigung erreichbar. Bitte teilen Sie diesen Link nicht weiter.",
                "label": "Statushinweis ohne URL-PII",
                "placement": "Eingangsbestätigung"
            }
        ],
        "portal_url_hint": "https:\/\/gmturnier-berlin.de\/datenschutz\/anfrage",
        "launch_checklist": [
            {
                "id": "public_entrypoint",
                "label": "Öffentlichen Anfrageweg veröffentlichen",
                "owner": "Datenschutz\/Content",
                "phase": "Veröffentlichung",
                "action": "Datenschutzerklärung, Footer und Cookie-\/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.",
                "passed": true,
                "status": "bereit",
                "weight": 14,
                "evidence": "Rights-Score 46\/100, Kontaktkanal erkannt.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "data_minimal_form",
                "label": "Datensparsames Formular mit Pflichtfeldern",
                "owner": "IT\/Datenschutz",
                "phase": "Formular",
                "action": "Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.",
                "passed": false,
                "status": "offen",
                "weight": 14,
                "evidence": "6 Intake-Feld(er), Intake-Score 50\/100.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "jurisdiction_routing",
                "label": "Rechtsraum- und Fristenlogik aktivieren",
                "owner": "Legal\/Datenschutz",
                "phase": "Lokalisierung",
                "action": "DE\/AT\/CH\/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.",
                "passed": true,
                "status": "bereit",
                "weight": 10,
                "evidence": "4 Rechtsraum-Variante(n), regionale Lokalisierung 65\/100.",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "manual_review": false
            },
            {
                "id": "identity_and_abuse_controls",
                "label": "Identitätsprüfung und Missbrauchsschutz definieren",
                "owner": "Support\/Legal\/IT",
                "phase": "Sicherheit",
                "action": "E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.",
                "passed": false,
                "status": "offen",
                "weight": 12,
                "evidence": "DSAR-Score 40\/100, 5 Anfrageart(en).",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            },
            {
                "id": "workflow_owner_sla",
                "label": "Owner, SLA und Eskalation je Schritt hinterlegen",
                "owner": "Programm-Owner",
                "phase": "Workflow",
                "action": "Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.",
                "passed": false,
                "status": "offen",
                "weight": 12,
                "evidence": "5 Routing-Schritt(e), DSAR-Score 40\/100.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            },
            {
                "id": "data_discovery_connector_plan",
                "label": "Datenquellen und Vendor-Aufgaben anbinden",
                "owner": "IT\/Data Owner",
                "phase": "Data Discovery",
                "action": "System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.",
                "passed": true,
                "status": "bereit",
                "weight": 12,
                "evidence": "Discovery-Score 69\/100.",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "manual_review": false
            },
            {
                "id": "secure_response_delivery",
                "label": "Sichere Antwortzustellung vorbereiten",
                "owner": "IT\/Support",
                "phase": "Antwort",
                "action": "Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.",
                "passed": false,
                "status": "offen",
                "weight": 10,
                "evidence": "DSAR-Score 40\/100.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": true
            },
            {
                "id": "preference_link",
                "label": "Opt-out und Preference Center verbinden",
                "owner": "Marketing\/Datenschutz",
                "phase": "Präferenzen",
                "action": "Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.",
                "passed": false,
                "status": "offen",
                "weight": 8,
                "evidence": "Preference-Center-Score 48\/100.",
                "guide_url": "\/guides\/tracking-und-consent-reparieren",
                "manual_review": false
            },
            {
                "id": "copy_and_notice_sync",
                "label": "Texte, Datenschutzhinweis und Antwortvorlagen synchronisieren",
                "owner": "Datenschutz\/Content",
                "phase": "Texte",
                "action": "Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.",
                "passed": true,
                "status": "bereit",
                "weight": 8,
                "evidence": "4 Textbaustein(e), Datenschutzhinweis vorhanden.",
                "guide_url": "\/guides\/datenschutzerklaerung-verbessern",
                "manual_review": false
            }
        ],
        "priority_actions": [
            "Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.",
            "E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.",
            "Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.",
            "Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.",
            "Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken."
        ],
        "source_artifacts": [
            "privacy_rights_readiness",
            "dsar_workflow_readiness",
            "subject_rights_intake_pack",
            "regional_privacy_localization",
            "preference_center_readiness",
            "data_discovery_classification"
        ],
        "security_controls": [
            {
                "id": "no_url_pii",
                "label": "Keine personenbezogenen Daten in URLs",
                "status": "Pflicht",
                "evidence": "POST-Formular, Token ohne Personenbezug, keine Query-Parameter mit Anfrageinhalt."
            },
            {
                "id": "rate_limit",
                "label": "Rate-Limits und Bot-Schutz",
                "status": "Pflicht",
                "evidence": "IP-\/Session-Limits, CAPTCHA nur falls erforderlich, Abuse-Review."
            },
            {
                "id": "least_privilege",
                "label": "Rollen und Zugriffsbeschränkung",
                "status": "Pflicht",
                "evidence": "Support, Legal, IT und Vendor Owner sehen nur benötigte Anfragedaten."
            },
            {
                "id": "retention",
                "label": "Aufbewahrung des Anfrageprotokolls",
                "status": "Betreiberentscheidung",
                "evidence": "Löschfrist für Anfrageinhalte, längeres Audit-Log nur mit Minimaldaten."
            },
            {
                "id": "secure_delivery",
                "label": "Sichere Antwort",
                "status": "Pflicht",
                "evidence": "Portal oder Verschlüsselung, getrennte Passwortzustellung, Download-Frist."
            }
        ],
        "open_control_count": 5,
        "routing_rule_count": 4,
        "security_control_count": 5
    },
    "vendor_questionnaire_response_pack": {
        "status": "Fragebogen aufbauen",
        "summary": "Vendor-\/Procurement-Fragebogen 54\/100; 1\/10 Antwort(en) vorbefüllt, 4 offen oder Betreiber-Nachweis, Risikostufe niedrig.",
        "available": true,
        "questions": [
            {
                "id": "vendor_inventory",
                "owner": "Legal\/Vendor Owner",
                "section": "Vendor Inventory",
                "question": "Welche Drittanbieter, Subprozessoren und Empfänger wurden erkannt?",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "risk_tier": "mittel",
                "auto_answer": "Keine externen Anbieter für eine Due-Diligence-Bewertung erkannt.",
                "answer_score": 45,
                "answer_status": "offen",
                "manual_review": false,
                "evidence_source": "vendor_due_diligence",
                "evidence_request": "Sanitisierte Anbieter-\/Subprozessorenliste mit Zweck, Rolle, Host, Region und Owner."
            },
            {
                "id": "dpa_toms",
                "owner": "Legal\/Procurement",
                "section": "Contracts & TOMs",
                "question": "Sind AVV\/DPA, TOMs und vertragliche Datenschutzanlagen je Anbieter verfügbar?",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "risk_tier": "hoch",
                "auto_answer": "0 AVV-\/DPA-Prüfung(en) aus Scan-Signalen abgeleitet.",
                "answer_score": 35,
                "answer_status": "Betreiber-Nachweis",
                "manual_review": true,
                "evidence_source": "vendor_due_diligence",
                "evidence_request": "AVV\/DPA, TOM-Anlage, Subprozessorenliste, Renewal-Frist und Vertragsowner."
            },
            {
                "id": "transfer_assessment",
                "owner": "Legal\/Datenschutz",
                "section": "Transfers",
                "question": "Gibt es Drittlandtransfer, SCC\/TIA oder unklare Anbieterregionen?",
                "guide_url": "\/guides\/drittlandtransfer-und-anbieter-pruefen",
                "risk_tier": "mittel",
                "auto_answer": "0 Transfer-\/Jurisdiktionsfrage(n), 0 hohe Vendor-Risiken.",
                "answer_score": 85,
                "answer_status": "vorbefüllt",
                "manual_review": false,
                "evidence_source": "vendor_due_diligence,regional_privacy_localization",
                "evidence_request": "Transferbewertung, SCC\/TIA, Anbieterregion, EU-Alternative und Notice-Text."
            },
            {
                "id": "privacy_assessment",
                "owner": "Datenschutz\/Procurement",
                "section": "Assessment",
                "question": "Ist ein risikobasiertes Vendor-\/Privacy-Assessment vorbereitet?",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_tier": "mittel",
                "auto_answer": "Assessment-Automation-Readiness 63\/100; 7\/11 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.",
                "answer_score": 63,
                "answer_status": "prüfen",
                "manual_review": false,
                "evidence_source": "privacy_assessment_automation",
                "evidence_request": "Assessment-Vorlage, Antworten, Risikoentscheidung, Freigabe und Mitigation-Tickets."
            },
            {
                "id": "lifecycle_monitoring",
                "owner": "Vendor Owner",
                "section": "Lifecycle",
                "question": "Wie werden Onboarding, Monitoring, Änderungen und Offboarding gesteuert?",
                "guide_url": "\/guides\/drittanbieter-datenschutz-erklaeren",
                "risk_tier": "mittel",
                "auto_answer": "Vendor-Lifecycle-Readiness 41\/100; 5\/11 Kontrollpunkt(e) erfüllt, 6 Lücke(n) oder manuelle Nachweise offen.",
                "answer_score": 41,
                "answer_status": "offen",
                "manual_review": false,
                "evidence_source": "vendor_lifecycle_risk",
                "evidence_request": "Lifecycle-Status, Monitoring-Trigger, Review-Kadenz, Offboarding-Nachweis."
            },
            {
                "id": "security_controls",
                "owner": "IT\/Security\/Compliance",
                "section": "Security",
                "question": "Welche technischen und organisatorischen Kontrollen sind prüfbar?",
                "guide_url": "\/methodik",
                "risk_tier": "mittel",
                "auto_answer": "Privacy Controls Framework 49\/100; 2\/16 Kontrolle(n) wirksam, 11 offen oder Betreiber-Nachweis.",
                "answer_score": 49,
                "answer_status": "offen",
                "manual_review": false,
                "evidence_source": "privacy_control_framework",
                "evidence_request": "Kontrolltest, TOM-Abgleich, Abweichungen, Re-Test und Freigabe."
            },
            {
                "id": "incident_notification",
                "owner": "DSB\/Legal\/IT",
                "section": "Incident",
                "question": "Welche Incident- und Breach-Meldepflichten gelten für den Anbieter?",
                "guide_url": "\/guides\/security-header-setzen",
                "risk_tier": "hoch",
                "auto_answer": "Incident-\/Breach-Readiness 50\/100; 5 Szenario(s), 1 kritisch, 2 hoch\/kritisch und 3 offene Nachweisposition(en).",
                "answer_score": 50,
                "answer_status": "prüfen",
                "manual_review": false,
                "evidence_source": "incident_breach_readiness",
                "evidence_request": "Incident-Kontakt, Meldefristen, Eskalationsweg, Vertragsklausel und Testlauf."
            },
            {
                "id": "retention_deletion",
                "owner": "Datenschutz\/IT\/Vendor Owner",
                "section": "Retention",
                "question": "Wie werden Löschung, Rückgabe, Sperrung und Aufbewahrung beim Anbieter gesteuert?",
                "guide_url": "\/guides\/datenschutz-webseiten-pruefkatalog",
                "risk_tier": "mittel",
                "auto_answer": "Retention-\/Deletion-Readiness 52\/100; 5\/10 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.",
                "answer_score": 52,
                "answer_status": "prüfen",
                "manual_review": false,
                "evidence_source": "retention_deletion_readiness",
                "evidence_request": "Retention Schedule, Löschprotokoll, Backup-\/Legal-Hold-Regeln und Vendor-Bestätigung."
            },
            {
                "id": "localized_terms",
                "owner": "Datenschutz\/Legal\/Content",
                "section": "Regionalization",
                "question": "Sind lokale DACH\/EU-Notices, Fristen und Behördenbezüge berücksichtigt?",
                "guide_url": "\/datenschutz-webseiten-report\/",
                "risk_tier": "mittel",
                "auto_answer": "DACH\/EU-Lokalisierung 65\/100; 4 Rechtsraum-Variante(n), 4\/6 Pflichtblock\/Pflichtblöcke aktiv.",
                "answer_score": 65,
                "answer_status": "prüfen",
                "manual_review": false,
                "evidence_source": "regional_privacy_localization",
                "evidence_request": "Regionale Notice- und DSAR-Varianten, lokale Behörde, Sprache und Freigabe."
            },
            {
                "id": "audit_share_pack",
                "owner": "Compliance\/Sales\/Legal",
                "section": "Evidence",
                "question": "Welche Nachweise können gegenüber Procurement oder Prüfern geteilt werden?",
                "guide_url": "\/methodik",
                "risk_tier": "mittel",
                "auto_answer": "Trust-\/Audit-Response-Center 52\/100; 2 antwortbereit, 0 teilweise, 8 offen oder Betreiber-Nachweis.",
                "answer_score": 52,
                "answer_status": "prüfen",
                "manual_review": false,
                "evidence_source": "trust_audit_response_center,audit_receipt,evidence_integrity_manifest",
                "evidence_request": "Sanitisiertes ZIP\/XLSX, Prüfbeleg, Hash-Manifest, Share-Pack-Freigabe."
            }
        ],
        "risk_tier": "niedrig",
        "disclaimer": "Automatisch vorbefülltes Procurement-\/Vendor-Questionnaire aus SaferPage-Evidenz. Vertragsfreigabe, vollständige TOMs, Zertifikate und echte Anbieterantworten müssen Betreiber\/Vendor Owner ergänzen.",
        "ready_count": 1,
        "question_count": 10,
        "response_score": 54,
        "workflow_steps": [
            {
                "id": "scope",
                "sla": "Tag 0-2",
                "owner": "Procurement\/Datenschutz",
                "phase": "Scope",
                "action": "Anbieter, Dienst, Datenarten, Region und Business Owner bestätigen.",
                "evidence": "Vendor-Stammdaten und Scope-Notiz."
            },
            {
                "id": "prefill",
                "sla": "Tag 1-3",
                "owner": "SaferPage\/Compliance",
                "phase": "Auto-Vorbefüllung",
                "action": "Fragebogen mit Scan-, Vendor-, Transfer-, Risk- und Evidence-Signalen vorbefüllen.",
                "evidence": "Questionnaire Export und Scan-ID."
            },
            {
                "id": "evidence",
                "sla": "Tag 3-14",
                "owner": "Vendor Owner\/Legal",
                "phase": "Nachweise einholen",
                "action": "AVV\/DPA, TOMs, Transfer, Incident, Löschung und Subprozessoren als Betreiber-Nachweise anfordern.",
                "evidence": "Dokumentenliste und Freigabestatus."
            },
            {
                "id": "decision",
                "sla": "Tag 10-21",
                "owner": "Datenschutz\/Procurement",
                "phase": "Risikoentscheidung",
                "action": "Restrisiko, Mitigation, Vertragsauflagen und Review-Kadenz entscheiden.",
                "evidence": "Risikoentscheidung und Maßnahmenplan."
            }
        ],
        "priority_actions": [
            "Sanitisierte Anbieter-\/Subprozessorenliste mit Zweck, Rolle, Host, Region und Owner.",
            "AVV\/DPA, TOM-Anlage, Subprozessorenliste, Renewal-Frist und Vertragsowner.",
            "Lifecycle-Status, Monitoring-Trigger, Review-Kadenz, Offboarding-Nachweis.",
            "Kontrolltest, TOM-Abgleich, Abweichungen, Re-Test und Freigabe."
        ],
        "source_artifacts": [
            "vendor_due_diligence",
            "vendor_lifecycle_risk",
            "privacy_assessment_automation",
            "privacy_control_framework",
            "trust_audit_response_center",
            "incident_breach_readiness",
            "retention_deletion_readiness",
            "regional_privacy_localization"
        ],
        "evidence_requests": [
            {
                "id": "contract_pack",
                "label": "AVV\/DPA und TOMs",
                "owner": "Legal\/Vendor Owner",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "Signierter AVV\/DPA, TOM-Anlage, Subprozessorenliste, Transferklauseln."
            },
            {
                "id": "security_pack",
                "label": "Security-\/Compliance-Nachweise",
                "owner": "IT\/Security",
                "status": "Betreiber-Nachweis",
                "expected_evidence": "SOC 2\/ISO oder gleichwertige Nachweise, Pentest-\/Security Summary, Incident-Kontakt."
            },
            {
                "id": "privacy_pack",
                "label": "Privacy Assessment Record",
                "owner": "Datenschutz",
                "status": "vorbereiten",
                "expected_evidence": "Fragebogenantworten, DPIA\/TIA-Entscheidung, Datenarten, Betroffene, Retention und Löschung."
            }
        ],
        "open_evidence_count": 4,
        "workflow_step_count": 4,
        "evidence_request_count": 3
    },
    "scan_id": "fc63b023-e27a-48fa-9d45-7d3155eee4d8",
    "created_at": "2026-06-11 11:06:38.557237+02"
}