# Release-Gate fuer futurezone.de

Release-Gate fuer futurezone.de: 6/10 Gate(s) bestanden, 3 kritische/hohe Blocker, 3 manuelle Freigabe(n) offen.

> Release-Gate ist ein Betreiber-Blueprint. Es blockiert keinen echten Deploy und ersetzt keine Rechtsfreigabe. Produktive CI/CD-Anbindung braucht Domain-Claim, Rollen, Auditlog und Integrationsfreigabe.

## Gates
- [ ] **Betreiber-Claim oder Freigabe vorhanden** (high, Website-Betrieb/Admin): Domain-Verifizierung, Rollen und MFA vor produktivem Betreiberzugriff abschliessen.
- [ ] **Consent- und Tracking-Regression bestanden** (critical, Marketing/IT/Datenschutz): Default, Ablehnen, Akzeptieren und GPC erneut testen; nicht notwendige Dienste bis zur Einwilligung blockieren.
- [ ] **Neue oder geaenderte Anbieter freigegeben** (high, Legal/Vendor Owner): AVV/DPA, TOMs, Subprozessoren, Transfer und Anbieter-Offenlegung vor Go-live synchronisieren.
- [x] **Datenschutzhinweis und Policy-Diff freigegeben** (medium, Datenschutz/Content): Datenschutzhinweis, Cookie-Erklaerung und Anbietertexte gegen reale Technik abgleichen und versioniert freigeben.
- [x] **Security-Header und Transport-Schutz stabil** (high, IT/Security): HSTS, CSP/Frame/Referrer/Content-Type-Optionen und sichere Cookies nach Deployment erneut pruefen.
- [x] **Performance- und Drittanbieter-Budget eingehalten** (medium, Webentwicklung/Marketing Ops): Drittanbieterlast, externe Fonts, Werbeskripte und Render-Blocker reduzieren; Datenschutz und Ladezeit zusammen testen.
- [x] **Barrierefreiheit und Consent-UX pruefbar** (medium, UX/Webentwicklung): Banner, Formulare, Links, Kontrast, Tastaturbedienung und mobile Darstellung vor Go-live testen.
- [x] **Staging/Live-Scope und letzte Seitenpruefung vorhanden** (high, Website-Betrieb): Startseite, Datenschutz, Impressum, Kontakt, Formular-, Consent- und Checkout-/Lead-Pfade als Release-Scope festlegen.
- [x] **Nachweispaket und Screenshot vorhanden** (medium, Compliance/IT): JSON/CSV/ZIP, Screenshot, Request-/Cookie-Auszug und Release-Entscheidung im Audit-Paket ablegen.
- [ ] **Rollback- und Incident-Pfad bestaetigt** (medium, IT/Security/DSB): Rollback Owner, 72h-Pruefung, Vendor-Kontakte und Kommunikationspfad vor Launch benennen.

## CI Contract
- Status: block
- Exit Codes: {"go":0,"conditional_go":1,"block":2}

## Release-Checkliste
- [ ] Vor Go-live Staging oder Preview scannen (Website-Betrieb)
- [ ] Critical/High Gates schließen oder begründet freigeben (Programm-Owner)
- [ ] Nach Fix erneut scannen und Exportpaket sichern (Compliance/IT)
- [ ] Nach Livegang Kurzreport, Monitoring und Alerts prüfen (Website-Betrieb)