Betreiber-Guide

Betreiber-Datenschutz-Checkliste

Allgemeiner Betreiber-Background für Punkte, die SaferPage im passiven Scan nicht abschließend belegen kann. Nutzen Sie diese Checkliste für interne Prüfung, Freigabe und Dokumentation; einzelne Report-Befunde bleiben auf technische Evidence begrenzt.

Aufgenommen aus dem internen Datenschutz-Webseiten-Report unter /var/www/saferpage.de/datenschutz-webseiten-report/.

1 Trennen Sie Scan-Evidence von Betreiberwissen: HTTP, TLS, Header, Cookies, Requests, sichtbare Links und Screenshots sind belegbar; interne Zwecke, Rechtsgrundlagen, Verträge und Freigaben müssen Sie selbst prüfen.

2 Dokumentieren Sie für Formulare Zweck, Pflichtfelder, Empfänger, Speicherdauer, Rechtsgrundlage, Datenschutzlink und ob Tracking vor oder nach Einwilligung ausgelöst wird.

3 Ordnen Sie Cookies und Browserkontakte nach notwendiger Funktion, Analyse, Marketing, Sicherheit, Load-Balancing und Consent-Speicherung; pauschale Cookie-Warnungen reichen für die Betreiberbewertung nicht aus.

4 Prüfen Sie Login-, Checkout-, Konto-, Newsletter-, Bewerbungs- und Paywall-Flows separat, weil ein passiver Erstaufruf diese Zustände nicht vollständig bedienen kann.

5 Halten Sie Anbieterregister, AVV/DPA, Drittlandtransfer, TOMs, Löschfristen und interne Freigaben versioniert vor; SaferPage kann diese Nachweise nur verlinken, nicht automatisch bestätigen.

6 Starten Sie nach Änderungen an CMP, Tag Manager, Formularen, Headern, CDN, Plugins oder Datenschutzerklärung einen Re-Scan und vergleichen Sie die Evidence.

Evidence-first Hintergrund

Was belegt ist, was Betreiber prüfen und wie abgenommen wird

Guide

Was SaferPage belegen kann

BetreiberHTTP-Status, Redirect-Ziel, TLS-Zertifikat, Security-Header und sichtbare HTML-Links aus dem passiven Abruf. BetreiberCookies, Browser-Requests, Drittanbieter-Domains, Storage-Hinweise und kleine Screenshot-Evidence aus Headless Chromium. BetreiberDirekte Test-URLs, Crawl-Coverage, Formularanzahl, sichtbare Datenschutz-/Impressumslinks und Re-Scan-Zeitpunkt.

Was der Betreiber separat prüfen muss

BetreiberRechtsgrundlagen, Formularzwecke, Pflichtfelder, Speicherdauer, AVV/DPA, Transferbewertung und interne Freigaben. BetreiberLogin-, Checkout-, Konto-, Bewerbungs-, Newsletter- und Paywall-Flows, die der passive Kurzcheck nicht vollständig bedient. BetreiberOb Funktionscookies, Load-Balancing, Sicherheitscookies oder Consent-Speicherung erforderlich sind und korrekt erklärt werden.

Abnahme-Nachweis nach Umsetzung

BetreiberScan-ID, getestete URL, Screenshot, Cookie-/Request-Auszug, betroffene Guide-Links und Änderungsdatum im Ticket speichern. BetreiberBetreiberentscheidung mit Owner, Freigabe, Restrisiko, Rechtsberatung falls erforderlich und Re-Scan-Ergebnis dokumentieren. BetreiberNicht behaupten: keine DSGVO-Konformität, keine Rechtsfreigabe, keine Malwarefreiheit und kein vollständiger Penetrationstest aus dem passiven Scan.

Betreiber-Plan

So wird der Befund prüfbar behoben

mittel

Betreiber-BackgroundBereich Betreiber/Datenschutz/ITOwner mittelAufwand Re-ScanRe-Scan nach fachlicher Klärung oder Website-Änderung starten.

Befund reproduzieren Betreiber/Datenschutz/IT

SaferPage-Report, betroffene URL, Consent-Zustand und Request-/Cookie-/Header-Evidence sichern.

Scan-ID, Screenshot, Exportzeile, betroffener Guide-Link.

Re-Scan starten

Ursache beheben Betreiber/Datenschutz/IT

Konfiguration, Tag, Inhalt, Anbieter, Header oder Formular gemäß Guide ändern und Änderung versionieren.

Ticket, Konfigurationsdiff, CMS-/Tag-Manager-Änderung, Freigabe.

Re-Scan starten

Nutzertext aktualisieren Datenschutz/Content

Datenschutzhinweis, Cookie-Liste, Anbieterregister oder Trust-Dokumentation an die reale Technik anpassen.

Versionierter Text, Änderungsdatum, Verantwortlicher.

Re-Scan starten

Re-Test und Abschluss Compliance/IT

Re-Scan nach fachlicher Klärung oder Website-Änderung starten.

Interne Prüfung, Freigabe, Betreiber-Nachweise, Scan-ID und Änderungsdatum.

Re-Scan starten

Abnahmekriterien

PrüfenDer konkrete SaferPage-Befund ist im Re-Scan behoben oder nachvollziehbar herabgestuft. PrüfenDatenschutzhinweis, Consent-Oberfläche und beobachtete Technik widersprechen sich nicht mehr. PrüfenExportpaket enthält Scan-ID, Zeitstempel, betroffene Tabellen und Betreiber-Freigabe.

Nachweise

ExportJSON/CSV/XLSX-Export für Rohbefunde und Audit-Tabellen ExportZIP-Nachweispaket mit Screenshot, Evidence Manifest und Guide-Verweisen ExportTrust Documentation Library für öffentliche, sanitisierte und interne Nachweise LeitfadenDatenschutz-Webseiten-Report öffnen

Quellen

DSK Orientierungshilfe Digitale Dienste DSK Orientierungshilfe Telemedien BfDI: Cookies und Tracking-Technologien EDPB Guidelines 05/2020 Consent EDPB Guidelines 2/2023 ePrivacy Art. 5(3) BSI IT-Grundschutz APP.3.1 Webanwendungen BITV 2.0