# Quick-Win-Plan für dav-rostock.de

dav-rostock.de: 20 Quick-Win-Maßnahme(n), 0 innerhalb von 7 Tagen und 15 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## Security-Header setzen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76
- Owner: IT/Security / Bereich: Security
- Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
- Nachweis: 5 von 9 wichtigen Security-Headern vorhanden, 5 korrekt bewertet. Keine Content-Security-Policy gefunden.
- Guide: https://saferpage.de/guides/security-header-setzen

## Content-Security-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Content-Security-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Bilder ohne Alternativtext
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 69
- Owner: UX/Content / Bereich: Barrierefreiheit/Usability
- Maßnahme: Bilder brauchen verständliche Alternativtexte oder dekorative Kennzeichnung.
- Nachweis: 
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Cookie-Hinweis ohne klare Ablehnen-Option
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy
- Maßnahme: Ablehnen muss gleichwertig erreichbar sein.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Tracking-Pixel oder pixelnahe Requests erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Marketing / Bereich: Tracking-Pixel
- Maßnahme: Pixel- und Bild-Tracking vor Einwilligung prüfen und begrenzen.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen

## Privacy Risk Register & Executive Dashboard verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Programm-Owner/Datenschutz / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
- Nachweis: 
- Guide: https://saferpage.de/methodik

## AI Governance & Automated Decisioning verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad
- Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
- Nachweis: 
- Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Preference Center & Consent Ledger verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Marketing/IT/Compliance / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Vendor Risk & Vertragsmanagement verbessern
- Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44
- Owner: Legal/Vendor Owner / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren.
- Nachweis: 
- Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren

## Vendor Lifecycle & Third-Party Risk verbessern
- Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44
- Owner: Datenschutz/Legal/Procurement / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Vendor Discovery, Privacy Score, AVV/DPA, Transfer, Subprozessoren, Monitoring, Incident und Offboarding als Lifecycle betreiben.
- Nachweis: 
- Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren

## Sicherheit, TLS & Header
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 43
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
- Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 5/9 vorhanden, 4 fehlen, externe Skript-Hosts: 0.
- Guide: https://saferpage.de/guides/security-header-setzen

## Cookie-Hinweis ohne klare Ablehnen-Option
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39
- Owner: Website-Betrieb/Datenschutz / Bereich: privacy
- Maßnahme: Ablehnen sollte genauso leicht auffindbar sein wie Akzeptieren.
- Nachweis: Cookie-Hinweis ohne klare Ablehnen-Option
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Cross-Origin-Embedder-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `cross-origin-embedder-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Cross-Origin-Embedder-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Opener-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `cross-origin-opener-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Cross-Origin-Opener-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Cross-Origin-Resource-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 38
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `cross-origin-resource-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Cross-Origin-Resource-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## DSAR Workflow Automation verbessern
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 37
- Owner: Datenschutz/Support/IT / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Intake, ID-Verifikation, Fristen, Data Discovery, Redaction, Vendor-Tasking und sichere Zustellung als workflowfähigen Prozess betreiben.
- Nachweis: 
- Guide: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Content-Security-Policy fehlt
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 35
- Owner: Technik / Bereich: BSI/Security-Header
- Maßnahme: Content-Security-Policy schrittweise einführen.
- Nachweis: 
- Guide: https://saferpage.de/guides/security-header-setzen

## Stand der Datenschutzerklärung nicht klar erkennbar
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 35
- Owner: Datenschutz / Bereich: DSGVO/Transparenz
- Maßnahme: Datenschutzerklärung mit Stand-/Aktualisierungsdatum versehen.
- Nachweis: 
- Guide: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Datenschutzkontakt oder DPO-Hinweis nicht klar erkannt
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 35
- Owner: Datenschutz / Bereich: DSGVO/Transparenz
- Maßnahme: Datenschutzkontakt oder Datenschutzbeauftragten-Hinweis prüfen.
- Nachweis: 
- Guide: https://saferpage.de/guides/datenschutzerklaerung-verbessern

## Datenschutz, Cookies & Consent
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 26
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- Nachweis: 0 Tracking-Script(s), 0 Cookie(s) vor Einwilligung, 0 Tracking-Cookie(s), Ablehnen-Option: nein, Consent-Audit: 78.
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren