Endziel ist nicht HTTPS
0-7 Tage · Aufwand niedrig · Score 100
HTTP dauerhaft auf HTTPS umleiten.
Nachweis: Endziel ist nicht HTTPS · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Opportunities / Quick-Wins
verbraucherstiftung.de: Wirkung vor Aufwand
verbraucherstiftung.de: 20 Quick-Win-Maßnahme(n), 5 innerhalb von 7 Tagen und 14 innerhalb von 30 Tagen.
Quick-Wins sind automatisch aus öffentlicher SaferPage-Evidenz abgeleitet. Aufwand und Wirkung sind operative Orientierung; Betreiber müssen Umsetzung und Rechtsfreigabe prüfen.
5
0-7 Tage
20Quick-Wins
50-7 Tage
140-30 Tage
6niedriger Aufwand
12Owner
Plan
Priorisierte Maßnahmen nach Wirkung und Aufwand
Incident & Breach Response verbessern
0-30 Tage · Aufwand niedrig · Score 96
Incident Owner, 72h-Meldeprüfung, Beweissicherung und Kommunikationsvorlagen verbindlich vorbereiten.
Nachweis: · Quelle: maturity_roadmap- Owner
- DSB/Legal/IT
- Guide
- öffnen
Sicherheit, TLS & Header
0-30 Tage · Aufwand niedrig · Score 81
HTTPS, Zertifikat, HSTS, CSP, zentrale Security-Header und externe Skriptquellen sauber konfigurieren.
Nachweis: 1 Infrastruktur-Hinweis(e), Security-Header: 2/9 vorhanden, 7 fehlen, externe Skript-Hosts: 0. · Quelle: audit_module- Owner
- Betreiber/IT/Datenschutz
- Guide
- öffnen
Security-Header setzen
0-30 Tage · Aufwand niedrig · Score 76
Fehlende Security-Header priorisiert setzen, testen und nach Deployment erneut scannen.
Nachweis: 2 von 9 wichtigen Security-Headern vorhanden, 2 korrekt bewertet. Keine Content-Security-Policy gefunden. · Quelle: derived_signal- Owner
- IT/Security
- Guide
- öffnen
HSTS fehlt
0-30 Tage · Aufwand niedrig · Score 70
Header `strict-transport-security` setzen und nach Deployment erneut prüfen.
Nachweis: HSTS fehlt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Content-Security-Policy fehlt
0-30 Tage · Aufwand niedrig · Score 70
Header `content-security-policy` setzen und nach Deployment erneut prüfen.
Nachweis: Content-Security-Policy fehlt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Endziel ist nicht HTTPS
0-7 Tage · Aufwand mittel · Score 64
HTTP dauerhaft auf HTTPS umleiten.
Nachweis: · Quelle: operator_action_plan- Owner
- Technik
- Guide
- öffnen
Dateneingabe ohne HTTPS-Endziel möglich
0-7 Tage · Aufwand mittel · Score 64
Formulare und Login nur über HTTPS anbieten.
Nachweis: · Quelle: operator_action_plan- Owner
- Technik
- Guide
- öffnen
Dateneingabe ohne HTTPS-Endziel möglich
0-7 Tage · Aufwand mittel · Score 63
Keine persönlichen Daten eingeben, solange die Seite nicht zuverlässig per HTTPS geladen wird.
Nachweis: Dateneingabe ohne HTTPS-Endziel möglich · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Seiten-URL wird in Drittanbieter-Requests übertragen
0-7 Tage · Aufwand mittel · Score 59
Tracking-Requests dürfen die aktuelle Seiten-URL nicht unnötig als Parameter übertragen.
Nachweis: · Quelle: operator_action_plan- Owner
- Website-Betrieb
- Guide
- öffnen
Google Consent Mode Default nicht erkannt
0-30 Tage · Aufwand mittel · Score 57
Google-Tags brauchen vor dem ersten Tag klare Consent-Defaults.
Nachweis: · Quelle: operator_action_plan- Owner
- Datenschutz/Marketing
- Guide
- öffnen
Tracking-Pixel oder pixelnahe Requests erkannt
0-30 Tage · Aufwand mittel · Score 57
Pixel- und Bild-Tracking vor Einwilligung prüfen und begrenzen.
Nachweis: · Quelle: operator_action_plan- Owner
- Datenschutz/Marketing
- Guide
- öffnen
Privacy Risk Register & Executive Dashboard verbessern
0-30 Tage · Aufwand mittel · Score 57
Top-Risiken mit Owner, SLA, Risikoentscheidung, Restrestrisiko und Nachweisquelle als Managementprozess führen.
Nachweis: · Quelle: maturity_roadmap- Owner
- Programm-Owner/Datenschutz
- Guide
- öffnen
AI Governance & Automated Decisioning verbessern
0-30 Tage · Aufwand mittel · Score 57
AI-/Chat-/Profiling-Use-Cases inventarisieren, Transparenz, Rechtsgrundlage, menschliche Prüfung und DPIA-Bezug dokumentieren.
Nachweis: · Quelle: maturity_roadmap- Owner
- Datenschutz/Product/Legal
- Guide
- öffnen
Google Consent Mode Implementation verbessern
0-30 Tage · Aufwand mittel · Score 57
Consent-Mode-v2-Defaults, CMP-Updates, Tag-Regeln und Validierung als Release-Gate betreiben.
Nachweis: · Quelle: maturity_roadmap- Owner
- Marketing/IT/Datenschutz
- Guide
- öffnen
Preference Center & Consent Ledger verbessern
0-30 Tage · Aufwand mittel · Score 57
Dauerhaften Präferenzzugang, granularen Widerruf, Consent-Ledger und Downstream-Sync in CRM/Tags/Vendor-Systeme nachweisbar aufbauen.
Nachweis: · Quelle: maturity_roadmap- Owner
- Marketing/IT/Compliance
- Guide
- öffnen
Formulare, Login & Zahlung
30-90 Tage · Aufwand mittel · Score 46
Bei Formularen Zweck, Pflichtfelder, Datenschutzkontext, HTTPS und Zahlungsanbieter klar machen.
Nachweis: Die Seite kann Newsletter, Kontaktformular abfragen. · Quelle: audit_module- Owner
- Betreiber/IT/Datenschutz
- Guide
- öffnen
PIA/DPIA & Privacy by Design verbessern
0-30 Tage · Aufwand hoch · Score 44
DPIA-Entscheidung dokumentieren und Schutzmaßnahmen mit Produkt-/Release-Prozess verbinden.
Nachweis: · Quelle: maturity_roadmap- Owner
- Datenschutz/Product
- Guide
- öffnen
Google Consent Mode Default nicht erkannt
0-30 Tage · Aufwand mittel · Score 39
Vor dem ersten Google-Tag Consent-Defaults setzen, typischerweise ad_storage, analytics_storage, ad_user_data und ad_personalization auf denied.
Nachweis: Google Consent Mode Default nicht erkannt · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen
Canonical zeigt auf fremde Domain
0-30 Tage · Aufwand mittel · Score 39
Canonical-Tags sollten nur bewusst auf fremde Domains zeigen; sonst kann Traffic/Ranking umgeleitet werden.
Nachweis: Canonical zeigt auf fremde Domain · Quelle: finding- Owner
- Website-Betrieb/Datenschutz
- Guide
- öffnen