{ "schema": "https://saferpage.de/schemas/saferpage-methodology.v1", "generated_at": "2026-06-09T22:46:23+00:00", "available": true, "summary": "SaferPage prueft Websites passiv aus Nutzer- und Betreiberperspektive: Browser-Sicht, Datenschutz, Consent, Anbieter, Security-Baseline, Guides, Evidence und klare Grenzen.", "metrics": { "methodology_section_count": 5, "coverage_area_count": 5, "source_count": 25, "guide_count": 30, "public_evidence_count": 6, "recent_report_count": 36, "crawler_german_count": 721, "crawler_queue_count": 601, "crawler_error_count": 29, "crawler_last_finished_at": "2026-06-09T22:34:41+00:00", "preview_coverage_percent": 100, "preview_missing_count": 0 }, "methodology_sections": [ { "title": "Passiver Kurzcheck", "text": "SaferPage ruft die Domain passiv ab, prüft DNS, HTTPS/TLS, HTTP-Status, Header, sichtbares HTML, Cookies, Technologien, Browserkontakte und einen kleinen Screenshot. Es werden keine Angriffe, Logins oder Formularübermittlungen ausgeführt." }, { "title": "Browser-Sicht", "text": "Der Screenshot-Worker nutzt Headless Chromium und erfasst Requests, Drittanbieter-Domains, Cookies und Ressourcenarten. Daraus entstehen Datenschutzsignale wie Werbung, Analytics, Fonts, Consent-Dienste oder Zahlungsanbieter." }, { "title": "Deutschsprachige Betreiberprüfung", "text": "Für deutschsprachige Seiten werden Impressum, Kontakt, Datenschutz, Consent-Hinweise und Dateneingaben grob eingeordnet. Die Bewertung ist eine technische Orientierung und keine Rechtsberatung." }, { "title": "Betreiber-Guides", "text": "Die Guides leiten Maßnahmen aus dem Datenschutz-Webseiten-Report, DSK/BfDI/EDPB-Hinweisen, BSI-Empfehlungen und Google-Qualitätsdokumentation ab. Sie helfen bei Priorisierung und Reparatur, ersetzen aber keine individuelle Rechts- oder Sicherheitsprüfung." }, { "title": "Grenzen", "text": "Versteckte Serverlogik, interne Systeme, zahlungspflichtige Bereiche, serverseitiges Tracking, echte Malware-Detonation und vollständige Barrierefreiheitsprüfungen kann der passive Kurzcheck nur begrenzt oder gar nicht beweisen." } ], "coverage_areas": [ { "id": "passive_fetch", "label": "Passiver Abruf", "evidence": "DNS, HTTP(S), Status, Weiterleitungen, Header, sichtbares HTML und robots-/Sitemap-Kontext.", "boundary": "Keine Angriffstests, keine Logins, keine Formularübermittlung." }, { "id": "browser_view", "label": "Browser-Sicht", "evidence": "Headless Chromium erfasst Requests, Ressourcenarten, Cookies, Drittanbieter und eine kleine Seitenvorschau.", "boundary": "Erfasst nur öffentlich erreichbare Zustände und keine internen Nutzerkonten." }, { "id": "privacy_consent", "label": "Datenschutz und Consent", "evidence": "Datenschutzhinweis, Cookie-/Storage-Signale, Consent-Zustände, Anbieter, Zwecke und Betreibermaßnahmen.", "boundary": "Keine Rechtsberatung und keine Prüfung nicht öffentlicher Verträge." }, { "id": "security_baseline", "label": "Security Baseline", "evidence": "TLS, Header, externe Skripte, sichtbare Versionen, Security-Feed-Gates und Alert-Evidence.", "boundary": "Keine Malware-Detonation, kein Penetrationstest, keine Ausnutzung von Schwachstellen." }, { "id": "operator_remediation", "label": "Betreiber-Umsetzung", "evidence": "Guides, Owner, SLA, Abnahmekriterien, Re-Scan-Link, Exportpakete und Go-live-Gates.", "boundary": "Produktive Zustellung, API-Key-Ausgabe und Feed-Speicherung erst nach Betreiberfreigabe." } ], "public_evidence": [ { "id": "tests_index", "label": "A-Z-Testindex", "url": "https://saferpage.de/tests-json", "purpose": "Alle öffentlichen Checks, letzte Reports, Preview-Coverage und direkte Reportlinks." }, { "id": "crawler_ops", "label": "Crawler Operations", "url": "https://saferpage.de/crawler/ops-json", "purpose": "User-Agent, Queue, Performance-Grenzen, Backoff, Fehlerklassen und direkte Kurzreportlinks." }, { "id": "parity_readiness", "label": "Wettbewerbs-Readiness", "url": "https://saferpage.de/vergleich/parity-readiness-json", "purpose": "Benchmark-Anforderungen, bestandene Gates, offene Blocker und Evidence-Manifest." }, { "id": "go_live_center", "label": "Operator Go-live", "url": "https://saferpage.de/betreiber/go-live-json", "purpose": "Produktive Alert-, Feed- und API-Gates mit No-Secret-Runbook." }, { "id": "schema_registry", "label": "Schema Registry", "url": "https://saferpage.de/schemas?format=json", "purpose": "Maschinenlesbare Verträge für Exporte, Integrationen und Audit-Antworten." }, { "id": "datenschutz_report", "label": "Datenschutz-Webseiten-Report", "url": "https://saferpage.de/datenschutz-webseiten-report/", "purpose": "Einordnung für Betreiber im deutschsprachigen Raum." } ], "boundaries": [ "SaferPage ist eine technische Orientierung und ersetzt keine individuelle Rechtsberatung.", "Der Kurzcheck verarbeitet öffentlich abrufbare Website-Signale und keine internen Betreiberdaten.", "Produktive Secrets, Webhook-URLs, Empfänger, API-Keys, DSN, Rohpayloads und Besucherlogs werden nicht öffentlich exportiert.", "Externe Security-Feeds, Storage-Schreibvorgänge und Alert-Zustellung laufen erst nach expliziter Betreiberfreigabe.", "Screenshots sind kleine 160x150-Seitenvorschauen; sie werden vollstaendig sichtbar skaliert, Favicons bleiben nur Zusatzsignal." ], "sources": [ { "label": "DSK Orientierungshilfe Digitale Dienste", "url": "https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf" }, { "label": "DSK Orientierungshilfe Telemedien", "url": "https://www.datenschutzkonferenz-online.de/media/oh/20221205_oh_Telemedien_2021_Version_1_1_Vorlage_104_DSK_final.pdf" }, { "label": "BfDI: Cookies und Tracking-Technologien", "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Telemedien/Cookies.html" }, { "label": "BfDI: Matomo", "url": "https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telemedien/Matomo.html" }, { "label": "DSK/BfDI: Hinweise zu Google Analytics", "url": "https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/99DSK_Google-Analytics.pdf?__blob=publicationFile&v=3" }, { "label": "EDPB Guidelines 05/2020 Consent", "url": "https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf" }, { "label": "EDPB Guidelines 2/2023 ePrivacy Art. 5(3)", "url": "https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf" }, { "label": "BSI Mindeststandard TLS 2.3", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_Version_2_3.pdf?__blob=publicationFile&v=4" }, { "label": "BSI IT-Grundschutz APP.3.1 Webanwendungen", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_1_Webanwendungen_und_Webservices_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI IT-Grundschutz APP.3.2 Webserver", "url": "https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-GS-Kompendium_Einzel_PDFs_2023/06_APP_Anwendungen/APP_3_2_Webserver_Edition_2023.pdf?__blob=publicationFile&v=3" }, { "label": "BSI: Webseiten sicher betreiben", "url": "https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/IT-Sicherheitsvorfall/Webseiten/webseiten_node.html" }, { "label": "OWASP Top 10", "url": "https://owasp.org/www-project-top-ten/" }, { "label": "OWASP Web Security Testing Guide", "url": "https://owasp.org/www-project-web-security-testing-guide/" }, { "label": "OWASP: DOM Based XSS Prevention", "url": "https://cheatsheetseries.owasp.org/cheatsheets/DOM_based_XSS_Prevention_Cheat_Sheet.html" }, { "label": "CISA Known Exploited Vulnerabilities Catalog", "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog" }, { "label": "MDN: Content Security Policy", "url": "https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP" }, { "label": "MDN: Subresource Integrity", "url": "https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity" }, { "label": "Google Tag Platform: Consent", "url": "https://developers.google.com/tag-platform/security/guides/consent" }, { "label": "Google Consent Mode concepts", "url": "https://developers.google.com/tag-platform/security/concepts/consent-mode" }, { "label": "Google Search Central: Page Experience", "url": "https://developers.google.com/search/docs/appearance/page-experience" }, { "label": "Google Search Central: Core Web Vitals", "url": "https://developers.google.com/search/docs/appearance/core-web-vitals" }, { "label": "Google Search Central: Security Issues", "url": "https://developers.google.com/search/docs/monitor-debug/security" }, { "label": "Google Fonts Privacy FAQ", "url": "https://developers.google.com/fonts/faq/privacy" }, { "label": "BITV 2.0", "url": "https://www.gesetze-im-internet.de/bitv_2_0/" }, { "label": "BFIT Bund", "url": "https://www.bfit-bund.de/DE/Home/home_node.html" } ], "links": { "html": "https://saferpage.de/methodik", "json": "https://saferpage.de/methodik-json", "csv": "https://saferpage.de/methodik-csv", "markdown": "https://saferpage.de/methodik-md", "schema": "https://saferpage.de/schemas/saferpage-methodology.v1", "tests": "https://saferpage.de/tests", "crawler": "https://saferpage.de/crawler", "parity_readiness": "https://saferpage.de/vergleich/parity-readiness", "go_live": "https://saferpage.de/betreiber/go-live" }, "disclaimer": "Methodik und Exporte sind No-Secret-Nachweise: keine API-Keys, DSN, Ziel-URLs, Empfänger, Rohpayloads oder Besucherlogs." }