Transparenz · Öffentlich entwickelt
Website-Zustand
Ich halte meine eigene Seite an dem Maßstab, den ich für die von mir gebauten Produkte setze. Diese Seite ist der Beweis, keine Behauptung: Die Performance-Werte unten werden gerade jetzt live in Ihrem Browser gemessen, und die Security-Header werden live von dieser Seite abgerufen. Zu jedem Bereich gehört zudem die Produktbegründung hinter der Entscheidung, denn wie man denkt, ist der springende Punkt.
API- & Dienststatus
Live-Erreichbarkeitsprüfungen, gerade jetzt aus Ihrem Browser ausgeführt, für die Dienste, von denen diese Seite abhängt. Warum: Ehrlicher Echtzeitstatus schlägt ein statisches 'everything's fine'.
Dienste werden geprüft…
Website
Vercel edge / static hosting
Wird geprüft…
Formulare & Newsletter-API
Supabase Edge Functions
Wird geprüft…
Bot-Schutz
Google reCAPTCHA
Wird geprüft…
Übersetzung
14 Sprachen · vorgefertigte, keine Laufzeitaufrufe
Wird geprüft…
Erreichbarkeit und Antwortzeit von Ihrem Standort aus, jede Minute erneut geprüft. Ein roter Punkt bedeutet, dass Ihr Browser diesen Dienst nicht erreichen konnte.
Performance
Vorgerenderte statische Seiten (SSG), eine selbst gehostete Teilmenge der Schriften, Bundle-Splitting pro Sprache und Drittanbieter-Skripte (reCAPTCHA), die nur bei Bedarf geladen werden. Warum: Geschwindigkeit ist ein Feature und ein Vertrauenssignal; die schnellste Anfrage ist die, die Sie nie stellen.
LCP
…
Gut: ≤ 2500 ms
CLS
…
Gut: ≤ 0.1
FCP
…
Gut: ≤ 1800 ms
TTFB
…
Gut: ≤ 800 ms
Live-Core-Web-Vitals aus Ihrem aktuellen Seitenaufruf (grün = gut, gelb = verbesserungswürdig, rot = schlecht). Die Werte variieren je nach Gerät und Netzwerk.
Sicherheit
Eine hash-basierte Content-Security-Policy ohne Inline- oder Eval-Skripte, HSTS mit Preload, Schutz vor Clickjacking und Cross-Origin sowie ein Backend, bei dem der Browser die Datenbank nie berührt. Warum: Verteidigung in der Tiefe und Kontrollen, die geschlossen statt offen ausfallen.
Live-Header werden geprüft…
Live von dieser Seite abgerufen. Die Backend-Härtung (serverseitig verifiziertes reCAPTCHA, das geschlossen ausfällt, Honeypots, IP-Hash-basierte Ratenbegrenzung, HMAC-signierte Löschlinks, per RLS gesperrte Tabellen) wird hier nicht gezeigt, ist aber geprüft.
Datenschutz & DSGVO
Kein Besucher wird getrackt, bevor er einwilligt, und standardmäßig lädt nichts, was seine Daten an Dritte weitergeben würde. Warum: Datenschutz ist keine Einstellung, die man nachrüstet, sondern ein Standard, den man von Anfang an einplant.
An Einwilligung gebunden. Standardmäßig nur das Nötigste; Analytics laden erst nach dem Opt-in. Beim ersten Laden werden keine Tracker aktiv.
Selbst gehostete Schriften. Schriften werden von dieser Domain ausgeliefert, sodass Besucher-IPs nie Google Fonts erreichen.
Keine rohe IP gespeichert. Missbrauchsprüfungen für Formular und Newsletter nutzen einen gesalzenen Einweg-Hash der IP, nie die rohe Adresse.
Echtes Recht auf Löschung. Ein funktionierender, per E-Mail verifizierter Datenlöschprozess entfernt Ihre Daten dauerhaft (DSGVO Art. 17).
Ehrliche Aussagen. Trust-Badges sagen 'Ready / Managed', nicht 'Compliant', sofern es dafür keinen Beleg gibt.
Offenlegung. Ein security.txt-Kontakt und eine Klausel zur maßgeblichen Sprache auf den Rechtsseiten.
Barrierefreiheit
Ausgerichtet auf WCAG 2.2 AA (vorbereitet, nicht extern zertifiziert): nutzbar per Tastatur, Screenreader und für Menschen, die reduzierte Bewegung benötigen. Warum: Eine Erfahrung, die Menschen ausschließt, ist nicht fertig.
Tastatur & Fokus. Durchgängig sichtbare Fokusrahmen und ein Sprung-zum-Inhalt-Link auf jeder Seite.
Reduzierte Bewegung. Jede Animation, einschließlich der Fallstudien-Diagramme, respektiert prefers-reduced-motion.
Semantische Struktur. Korrekte Landmarks, Überschriften, Labels und Alt-Texte für assistive Technik.
Kontrast & Zielgrößen. Textkontrast und Touch-Zielgrößen erfüllen den AA-Maßstab in hellem und dunklem Theme.
Zuverlässigkeit & Prozess
Nichts geht ungetestet in die Produktion, und Formulare sind gegen Missbrauch gehärtet, ohne echte Menschen zu bestrafen. Warum: Zuverlässigkeit ist eine Produktentscheidung, und aus dem Prozess entsteht die Qualität tatsächlich.
Test-gesteuerte Deployments. Routen- und Übersetzungsparitätstests müssen vor jedem Build bestehen; die Promotion läuft von dev über qa nach prod.
Mehrschichtige Missbrauchsabwehr. reCAPTCHA-Score + Honeypot + Server-Validierung + IP-Hash-Ratenbegrenzung, alle ausfallsicher.
Double-Opt-in. Newsletter-Anmeldungen werden per E-Mail bestätigt; jede Nachricht enthält einen funktionierenden Abmeldelink.
Elegantes Scheitern. Formulare fallen auf klare, konkrete Meldungen zurück (einschließlich 'too many attempts'), statt zu brechen.
Möchten Sie all das selbst überprüfen? Öffnen Sie die Entwicklertools Ihres Browsers und sehen Sie sich die Response-Header an, führen Sie Lighthouse aus oder navigieren Sie mit der Tastatur durch die Seite. Genau darum geht es beim öffentlichen Entwickeln.