# Quick-Win-Plan für epd.de epd.de: 20 Quick-Win-Maßnahme(n), 3 innerhalb von 7 Tagen und 17 innerhalb von 30 Tagen. > Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen. ## Incident & Breach Response verbessern - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 96 - Verantwortlich: DSB/Legal/IT / Bereich: PrivacyOps-Reifegrad - Maßnahme: Incident-Verantwortlichkeit, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Security-Header setzen - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 76 - Verantwortlich: IT/Security / Bereich: Security - Maßnahme: Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen. - Nachweis: 1 von 9 wichtigen Security-Headern vorhanden, 1 korrekt bewertet. Keine Content-Security-Policy gefunden. - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Sicherheit, TLS & Header - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 72 - Verantwortlich: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren. - Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 1/9 vorhanden, 8 fehlen, externe Skript-Hosts: 2. - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## HSTS fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `strict-transport-security` setzen und nach Deployment erneut prüfen. - Nachweis: HSTS fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Content-Security-Policy fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `content-security-policy` setzen und nach Deployment erneut prüfen. - Nachweis: Content-Security-Policy fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## X-Frame-Options fehlt - Horizont: 0-30 Tage / Aufwand: niedrig / Quick-Win-Score: 70 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: security_headers - Maßnahme: Header `x-frame-options` setzen und nach Deployment erneut prüfen. - Nachweis: X-Frame-Options fehlt - Hintergrund-Link: https://saferpage.de/guides/security-header-setzen ## Tracking vor Consent blockieren - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 62 - Verantwortlich: Marketing/IT / Bereich: Consent & Tracking - Maßnahme: Nicht notwendige Tags, Cookies, Pixel und Google-Dienste bis zur Einwilligung blockieren und Ablehnen/GPC erneut testen. - Nachweis: Consent ist teilweise erkennbar; einzelne Punkte bleiben Betreiberkontext. - Hintergrund-Link: https://saferpage.de/consent/epd.de ## Formularfelder ohne klare Beschriftung - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: UX/Content / Bereich: Barrierefreiheit/Usability - Maßnahme: Formularfelder müssen für Tastatur und Screenreader verständlich beschriftet sein. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/barrierefreiheit-cookie-banner-formulare ## Seiten-URL wird in Drittanbieter-Requests übertragen - Horizont: 0-7 Tage / Aufwand: mittel / Quick-Win-Score: 59 - Verantwortlich: Website-Betrieb / Bereich: URL-Datenabfluss - Maßnahme: Tracking-Requests dürfen die aktuelle Seiten-URL nicht unnötig als Parameter übertragen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/referrer-und-url-leaks-vermeiden ## Möglicherweise nicht notwendige Cookies vor Einwilligung - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: TDDDG/ePrivacy - Maßnahme: Nicht notwendige Cookies vor Einwilligung prüfen und blockieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Tracking-Pixel oder pixelnahe Requests erkannt - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Marketing / Bereich: Tracking-Pixel - Maßnahme: Pixel- und Bild-Tracking vor Einwilligung prüfen und begrenzen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/tracking-pixel-und-beacons-begrenzen ## AI Governance & Automated Decisioning verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Datenschutz/Product/Legal / Bereich: PrivacyOps-Reifegrad - Maßnahme: AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Privacy Risk Register & Executive Dashboard verbessern - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 57 - Verantwortlich: Programm-Verantwortung/Datenschutz / Bereich: PrivacyOps-Reifegrad - Maßnahme: Top-Risiken mit Verantwortlichkeit, Zielzeit, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen. - Nachweis: - Hintergrund-Link: https://saferpage.de/methodik ## Drittland-/US-Anbieter im Browseraufruf prüfen - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Verantwortlich: Datenschutz / Bereich: Drittlandtransfer - Maßnahme: US-/Drittlandanbieter, DPF/SCC/TIA und Datenschutzhinweise prüfen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/drittlandtransfer-und-anbieter-pruefen ## Dateneingabe und datenschutzrelevante Drittanbieter im selben Browseraufruf - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Verantwortlich: Datenschutz/Marketing / Bereich: PII/Tracking - Maßnahme: Tracking auf Seiten mit Dateneingabe nur nach Einwilligung und ohne Formulardaten auslösen. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/pii-und-url-datenlecks-vermeiden ## Vendor Risk & Vertragsmanagement verbessern - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Verantwortlich: Legal/Vendor-Verantwortung / Bereich: PrivacyOps-Reifegrad - Maßnahme: Anbieterakten priorisieren, AVV/DPA/TOMs prüfen und Transfers dokumentieren. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## PIA/DPIA & Privacy by Design verbessern - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 44 - Verantwortlich: Datenschutz/Product / Bereich: PrivacyOps-Reifegrad - Maßnahme: DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden. - Nachweis: - Hintergrund-Link: https://saferpage.de/guides/datenschutz-webseiten-pruefkatalog ## Browser-Nachweis - Horizont: 0-30 Tage / Aufwand: hoch / Quick-Win-Score: 43 - Verantwortlich: Betreiber/IT/Datenschutz / Bereich: Audit-Modul - Maßnahme: Unnötige Drittanbieter reduzieren und die verbleibenden Kontakte in Datenschutz und Consent abbilden. - Nachweis: 180 Request(s), 5 Drittanbieter-Domain(s), davon 1 datenschutzrelevant, 4 Browser-Cookie(s), Transfer-Prüfbedarf: 1, Referrer-/URL-Leaks: 3, Fingerprinting-/Replay-Hinweise: 1. - Hintergrund-Link: https://saferpage.de/guides/drittanbieter-datenschutz-erklaeren ## Möglicherweise nicht notwendige Cookies vor Einwilligung - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: privacy - Maßnahme: Prüfen, ob diese Cookies technisch notwendig sind oder erst nach Einwilligung gesetzt werden dürfen. - Nachweis: Möglicherweise nicht notwendige Cookies vor Einwilligung - Hintergrund-Link: https://saferpage.de/guides/tracking-und-consent-reparieren ## Canonical zeigt auf fremde Domain - Horizont: 0-30 Tage / Aufwand: mittel / Quick-Win-Score: 39 - Verantwortlich: Website-Betrieb/Datenschutz / Bereich: seo - Maßnahme: Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden. - Nachweis: Canonical zeigt auf fremde Domain - Hintergrund-Link: https://saferpage.de/guides/seo-spam-und-cloaking-bereinigen