# Technik-Stack für stadtwerkekongress.kommunaldigital.de stadtwerkekongress.kommunaldigital.de: 13 sichtbare Technik-/Anbietersignale, 2 mit hoher Datenschutzrelevanz, 1 CMS-/Shop-Hinweis(e). > Technik-Erkennung ist passiv: SaferPage wertet sichtbare Header, HTML-, Script-, Asset- und Browserkontakte aus. Nicht sichtbare Servertechnik, interne Plugins und Logins werden nicht behauptet. ## Sichtbare Technik - Google Tag Manager (Analytics/Werbung): hoch, Evidenz: Signal: gtm.js - Google Tag Manager (Analytics/Werbung): hoch, Evidenz: google_tag_manager; GTM-WJF2PB8M - Google Fonts (Schriften): mittel, Evidenz: fonts.gstatic.com; 2 Request(s) - Google Static (cdn): mittel, Evidenz: gstatic.com; 5 Request(s) - consent.cookiebot.com (other): mittel, Evidenz: consent.cookiebot.com; 4 Request(s) - consentcdn.cookiebot.com (other): mittel, Evidenz: consentcdn.cookiebot.com; 3 Request(s) - google.com (other): mittel, Evidenz: google.com; 3 Request(s) - Drupal (CMS): mittel, Evidenz: Signal: /sites/default/files/ - Next.js (JavaScript): niedrig, Evidenz: Signal: /_next/static/ - bingo.kommunaldigital.de (other): niedrig, Evidenz: bingo.kommunaldigital.de; 2 Request(s) - cache.sessionize.com (other): niedrig, Evidenz: cache.sessionize.com; 2 Request(s) - kommunaldigital.de (other): niedrig, Evidenz: kommunaldigital.de; 3 Request(s) - sessionize.com (other): niedrig, Evidenz: sessionize.com; 2 Request(s) ## Betreibermaßnahmen - [ ] Google Tag Manager: Tracking-, Werbe- und Tag-Manager-Dienste bis zur aktiven Einwilligung blockieren und in Consent, Datenschutzhinweis und Anbieterregister erklären. Owner: Marketing/IT/Datenschutz - [ ] Google Tag Manager: Tracking-, Werbe- und Tag-Manager-Dienste bis zur aktiven Einwilligung blockieren und in Consent, Datenschutzhinweis und Anbieterregister erklären. Owner: Marketing/IT/Datenschutz - [ ] Google Fonts: Remote-Schriften lokal hosten oder Zweck, Anbieter, Transfer und Consent-/Rechtsgrundlage transparent dokumentieren. Owner: Webentwicklung/Datenschutz - [ ] Google Static: Techniksignal fachlich einordnen, Zweck, Anbieter, Datenarten und notwendige Nachweise ergänzen. Owner: Website-Betrieb/Datenschutz - [ ] consent.cookiebot.com: Techniksignal fachlich einordnen, Zweck, Anbieter, Datenarten und notwendige Nachweise ergänzen. Owner: Website-Betrieb/Datenschutz - [ ] consentcdn.cookiebot.com: Techniksignal fachlich einordnen, Zweck, Anbieter, Datenarten und notwendige Nachweise ergänzen. Owner: Website-Betrieb/Datenschutz - [ ] google.com: Techniksignal fachlich einordnen, Zweck, Anbieter, Datenarten und notwendige Nachweise ergänzen. Owner: Website-Betrieb/Datenschutz - [ ] Drupal: CMS, Themes, Plugins und sichtbare Versionshinweise aktualisieren, unnötige Plugins entfernen und Re-Scan nach Deployment ausführen. Owner: Webbetrieb/IT - [ ] Next.js: Techniksignal fachlich einordnen, Zweck, Anbieter, Datenarten und notwendige Nachweise ergänzen. Owner: Website-Betrieb/Datenschutz - [ ] bingo.kommunaldigital.de: Techniksignal fachlich einordnen, Zweck, Anbieter, Datenarten und notwendige Nachweise ergänzen. Owner: Website-Betrieb/Datenschutz ## CMS-/Deployment-Playbooks ### Drupal Drupal-Module, Theme-Libraries, Consent-Module und Aggregation/Caches können Datenschutzsignale verändern. - [ ] Drupal Core und contrib-Module aktualisieren; Security Advisories und Composer-Lockfile prüfen. - [ ] Libraries, Theme Attachments und Blöcke auf externe Skripte, Fonts, Maps, Videos und Pixel prüfen. - [ ] Consent- und Cookie-Module mit Erstaufruf/Ablehnen/Akzeptieren/GPC gegen SaferPage testen. - [ ] Cache-, CDN- und Reverse-Proxy-Regeln nach Änderungen invalidieren und Header erneut prüfen. Abnahme: Keine unsupported/stale Technology-Hinweise.; Drittanbieter sind im Anbieterregister erklärt.; Nachweise aus Re-Scan und Exportpaket abgelegt. ### Next.js / React App Bei modernen Frontends liegen Tracking, Fonts, Consent und Security-Header oft in Build, Middleware, Tag Manager und CDN-Konfiguration verteilt. - [ ] App Router/Pages, Layouts, Script-Komponenten, Tag Manager und Consent-Initialisierung prüfen. - [ ] Consent Defaults vor Analytics-/Ads-Skripten setzen; third-party Scripts mit strategy und Consent-Gate kontrollieren. - [ ] Security-Header, Referrer-Policy, CSP und HSTS in Middleware, next.config oder Reverse Proxy setzen. - [ ] Build-Artefakte, Sourcemaps, externe Fonts und CDN-Hosts dokumentieren und nach Deployment erneut scannen. Abnahme: Scripts sind consent-gated.; Header sind im Live-Response sichtbar.; Drittanbieter-Matrix passt zum Release.