# Quick-Win-Plan für eco.de

eco.de: 20 Quick-Win-Maßnahme(n), 5 innerhalb von 7 Tagen und 14 innerhalb von 30 Tagen.

> Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.

## Security-Header setzen
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76
- Owner: IT/Security / Bereich: Security
- Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
- Nachweis: 3 von 9 wichtigen Security-Headern vorhanden, 3 korrekt bewertet. Keine Content-Security-Policy gefunden.
- Guide: https://saferpage.de/guides/security-header-setzen

## Content-Security-Policy fehlt
- Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70
- Owner: Website-Betrieb/Datenschutz / Bereich: security_headers
- Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen.
- Nachweis: Content-Security-Policy fehlt
- Guide: https://saferpage.de/guides/security-header-setzen

## Referrer & URL-Leaks
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 63
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Referrer-Policy härten, sensible Query-Parameter entfernen und Tracking-Parameter ohne volle Seiten-URL konfigurieren.
- Nachweis: 6 Drittanbieter-Domain(s) mit Referrer-/URL-Leak-Prüfbedarf, 2 sensible Query-Kontexte.
- Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden

## Tracking vor Consent blockieren
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62
- Owner: Marketing/IT / Bereich: Consent & Tracking
- Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen.
- Nachweis: Consent, Tracking oder Drittanbieter wirken im Erstaufruf deutlich nachbesserungsbeduerftig.
- Guide: https://saferpage.de/consent/eco.de

## Tracking-Pixel & Beacons
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 60
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Pixel, sendBeacon, keepalive-Fetch und Link-Pings auf Consent, Zweck, Anbieter und Datenminimierung prüfen.
- Nachweis: 4 Pixel-/Bildtracking-Hinweis(e), 7 Beacon-/Telemetry-Hinweis(e), 0 Link-Ping(s).
- Guide: https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen

## Formularfelder ohne klare Beschriftung
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59
- Owner: UX/Content / Bereich: Barrierefreiheit/Usability
- Maßnahme: Formularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein.
- Nachweis: 
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Sensible URL-Schlüssel im Drittanbieter-Kontext
- Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59
- Owner: Datenschutz / Bereich: PII-Datenleck
- Maßnahme: Sensible URL-Parameter aus Drittanbieter-Requests und Referrern entfernen.
- Nachweis: 
- Guide: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden

## Beacon-/Keepalive-Telemetrie erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Marketing / Bereich: Beacon-/Telemetry-Tracking
- Maßnahme: sendBeacon/Keepalive-Telemetrie auf Zweck, Consent und Anbieter prüfen.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen

## Langlebige Tracking-/Marketing-Cookies
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Marketing / Bereich: Cookie-Laufzeit
- Maßnahme: Tracking-/Marketing-Cookies mit langer Laufzeit begrenzen und Consent prüfen.
- Nachweis: 
- Guide: https://saferpage.de/guides/cookie-laufzeiten-und-zwecke-pruefen

## Google Consent Mode Default nicht erkannt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Marketing / Bereich: DSGVO/Google-Dienste
- Maßnahme: Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.
- Nachweis: 
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden

## Tracking-Cookies vor Einwilligung gesetzt
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy
- Maßnahme: Tracking-Cookies dürfen in der Regel erst nach Einwilligung gesetzt werden.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Consent & Cookie Governance verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Marketing/IT / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Nicht notwendige Cookies/Tags vor Einwilligung blockieren und Consent-Zustände testen.
- Nachweis: 
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## AI Governance & Automated Decisioning verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad
- Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
- Nachweis: 
- Guide: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog

## Privacy Risk Register & Executive Dashboard verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Programm-Owner/Datenschutz / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
- Nachweis: 
- Guide: https://saferpage.de/methodik

## Google Consent Mode Implementation verbessern
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57
- Owner: Marketing/IT/Datenschutz / Bereich: PrivacyOps-Reifegrad
- Maßnahme: Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben.
- Nachweis: 
- Guide: https://saferpage.de/guides/google-dienste-datenschutzfreundlich-einbinden

## Datenschutz, Cookies & Consent
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 56
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Tracking, Werbung und nicht notwendige Cookies vor Zustimmung blockieren und verständlich erklären.
- Nachweis: 0 Tracking-Script(s), 13 Cookie(s) vor Einwilligung, 6 Tracking-Cookie(s), Ablehnen-Option: ja, Consent-Audit: 24.
- Guide: https://saferpage.de/guides/tracking-und-consent-reparieren

## Barrierefreiheit & Usability
- Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 56
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Alt-Texte, Formularlabels, Button-Namen, lang-Attribut und Überschriftenstruktur für Nutzer und Screenreader prüfen.
- Nachweis: 6 Bild(er) ohne alt, 11 Formularfeld(er) ohne Beschriftung, 1 Button(s) ohne Namen.
- Guide: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare

## Browser-Nachweis
- Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 51
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden.
- Nachweis: 103 Request(s), 9 Drittanbieter-Domain(s), davon 7 datenschutzrelevant, 13 Browser-Cookie(s), Transfer-Prüfbedarf: 9, Referrer-/URL-Leaks: 6, Fingerprinting-/Replay-Hinweise: 0.
- Guide: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren

## SEO-Integrität & Cloaking
- Horizont: 30-90 Tage / Aufwand: mittel / Quick-Win-Score: 45
- Owner: Betreiber/IT/Datenschutz / Bereich: Audit-Modul
- Maßnahme: Versteckte Inhalte, Canonical-Missbrauch und Googlebot-Abweichungen entfernen.
- Nachweis: 3 SEO-Spam-Hinweis(e), 0 Cloaking-Hinweis(e).
- Guide: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen

## Drittland-/US-Anbieter im Browseraufruf prüfen
- Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44
- Owner: Datenschutz / Bereich: Drittlandtransfer
- Maßnahme: US-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen.
- Nachweis: 
- Guide: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen