Erweiterte Erklärungen
Auf dieser Seite erhalten Sie zusätzliche Erläuterungen zu den Prüfpunkten und weitere Vorgaben und allgemeine Hinweise zum Prüfablauf:
Prüfpunkte – Deutsche Variante
Cyber-Sicherheit
Datenschutz
Inhaberschaft & Ausweisungspflichten
Benutzerfreundlichkeit
Globale Zusatzprüfung
Prüfpunkte – Deutsche Variante
Cyber-Sicherheit
Es wird geprüft, ob die URL (Internetadresse), die bei der Antragstellung angegeben wurde, auch die URL ist, die die zu prüfenden Bereiche beinhaltet. Wenn sich die URL nach Eingabe in der Adresszeile und Aufruf der Webseite ändert, besteht eine offene Weiterleitung, was für die Prüfung nicht konform ist.
Das Hypertext Transfer Protocol Secure (HTTPS) ist eine Erweiterung des Hypertext Transfer Protocols (HTTP) und wird für die sichere Kommunikation im Internet verwendet. Das HTTPS wird anhand SSL bzw. TLS (s. PP003) verschlüsselt. Nach dem Aufruf der Webseite ist die Verwendung von HTTPS in der Adresszeile des Browsers zu erkennen, indem vor der URL die Zeichenfolge https:// angezeigt wird. Würde eine unverschlüsselte Kommunikation verwendet werden, würde nur http:// angezeigt werden.
Einige Browser-Anbieter, inklusive des zur Prüfung zu verwendenden Chrome-Browsers, zeigen aus kosmetischen Gründen nicht mehr standardmäßig https:// oder http:// in der Adresszeile an. Damit im Chrome-Browser die vollständige URL, inkl. https:// bzw. http:// sichtbar wird, muss auf die URL in der Adresszeile doppelt geklickt werden.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Die sichere Kommunikation im Internet wird durch die Verschlüsselung anhand eines SSL- bzw. TLS-Zertifikats gewährleistet. Auch wenn inzwischen der aktuelle Standard der Verschlüsselung TLS (Transport Layer Security) ist, wird weiterhin weitläufig die Bezeichnung SSL (Secure Sockets Layer) verwendet.
Die Verwendung eines SSL-/TLS-Zertifikats ist im Browser zum einen anhand der im Prüfpunkt PP002 geprüften Zeichenfolge https:// erkennbar. Zum anderen aber auch durch ein Symbol eines geschlossenen Vorhängeschlosses zu Beginn der Browser-Adresszeile, das je nach Browser-Anbieter grün oder grau dargestellt wird.
Um sicherzustellen, dass das auf der zu prüfenden Webseite verwendete SSL-/TLS-Zertifikat gültig und voll funktionsfähig ist, also weder Sicherheits- noch Warnmeldungen bestehen, wird es in diesem Prüfpunkt anhand der Tools Comodo SSL Checker (https://comodosslstore.com/ssltools/ssl-checker.php) und SSL Labs SSL Server Test (https://www.ssllabs.com/ssltest) getestet.
Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP023 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.
Weitere Informationen zum Thema SSL-/TLS-Zertifikate und -Verschlüsselung finden sich hier: https://www.ssl-zertifikate.de
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Datenschutz
Der Begriff Cookie stammt aus dem englischen Wortschatz und kann in seiner ursprünglichen Bedeutung mit „Keks“ in die deutsche Sprache übersetzt werden. Im Zusammenhang mit dem Internet beschreibt ein Cookie eine kleine Textdatei, die bei dem Besuch einer Webseite lokal auf dem Rechner des Users gespeichert wird. Diese Datei speichert Daten über das Verhalten des Nutzers. Wird die entsprechende Webseite wiederholt besucht, kommt der Cookie zum Einsatz und gibt dem Web-Server, mithilfe der gespeicherten Daten, Informationen über das Surfverhalten des Benutzers und den Besuch der Webseite weiter und passt den Besuch der Webseite an die Bedürfnisse des Benutzers an.
Bei allen, nicht rein privat verwendeten Webseiten muss der Benutzer bei Seitenaufruf über die Verwendung von Cookies informiert werden, sofern es sich nicht ausschließlich um rein technische Cookies handelt. Dies geschieht mit einem Cookie-Hinweis, in Form eines Banners, der deutlich auf der Seite sichtbar ist und alle vorgeschriebenen Inhalte enthält. Notwendige Inhalte sind die Information, dass Cookies verwendet werden, ein Hinweis auf das Widerspruchsrecht und auf den Datenschutz sowie ein Link zur Datenschutzerklärung.
Das Vorhandensein von Cookies und deren Art wird mit dem Cookie-Prüftool CookieMetrix (https://www.cookiemetrix.com) durchgeführt.
In dem Cookie-Prüftool werden rein technische Cookies in der grünen Zeile dargestellt. Nicht technische Cookie werden in Zeilen mit einer anderen Farbe als grün dargestellt.
Wird beim Webseitenaufruf ein Cookie-Hinweis-Banner angezeigt, unabhängig davon, welche Art von Cookies auf der Webseite verwendet werden, sind im Folgenden die Prüfpunkte PP005 bis PP007 zu prüfen.
Hinweis: Der Cookie-Hinweis wird nur beim erstmaligen Besuch einer Webseite angezeigt und wenn der Verwendung von Cookies eingewilligt wurde. Anschließend wird die Einwilligung gespeichert und im Browser-Cache hinterlegt, sodass bei einem weiteren Besuch der Webseite der Cookie-Hinweis nicht mehr erscheint. Sollte also kein Cookie-Hinweis beim Seitenaufruf erscheinen, ist sicherzustellen, dass die Webseite tatsächlich erstmalig besucht wurde. Im Zweifel muss der Browser-Cache, sicherheitshalber des gesamten Zeitraums, gelöscht und die Seite erneut aufgerufen werden (im Chrome-Browser: Menü (drei Punkte oben rechts) -> Weitere Tools -> Browserdaten löschen…; oder Strg + Umschalttaste + Entf). Erscheint bei erneutem Seitenaufruf noch immer kein Cookie-Hinweis, bedeutet dies, dass entweder keine (nicht technischen) Cookies verwendet werden und somit kein Cookie-Hinweis nötig ist oder dass kein Cookie-Hinweis existiert.
Das Ergebnis (sowohl des Prüf-Tools als auch der Cookie-Hinweis) dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Dieser Prüfpunkt ist nur relevant, wenn PP004 auf Basis des Unterpunkts a) konform geprüft wurde.
Beispiele von konformen Cookie-Hinweisen (auch relevant für Prüfpunkte PP006, PP007, PP020, PP021, PP022):
Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP020 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.
Dieser Prüfpunkt ist nur relevant, wenn PP004 auf Basis des Unterpunkts a) konform geprüft wurde.
Der Cookie-Hinweis muss die Möglichkeit anbieten, per Klick die Verwendung von Cookies ablehnen zu können. Dies geschieht entweder anhand eines Opt-out-Buttons (Opt-out bedeutet einen Widerspruch ausdrücken) im Cookie-Hinweis oder anhand eines eindeutigen Links auf die Stelle der Webseite, an der die Cookie-Verwendung abgelehnt werden kann.
Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP021 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.
Dieser Prüfpunkt ist nur relevant, wenn PP004 auf Basis des Unterpunkts a) konform geprüft wurde.
Ebenso wie die Möglichkeit Cookies abzulehnen, muss der Cookie-Hinweis die Möglichkeit zur ausdrücklichen Einwilligung der Verwendung von Cookies bieten. Dies geschieht entweder anhand eines Opt-in-Buttons (Opt-in bedeutet eine Zustimmung ausdrücken) oder anhand eines Links, der zur aktiven Einwilligung der Nutzung von Cookies per Klick führt. Der Button bzw. der Link muss dabei die Bezeichnung Cookies erlauben/verwenden/akzeptieren beinhalten. Ein lediglicher Hinweis bzw. die Information auf die Verwendung von Cookies, ohne ausdrücklicher Einwilligungsmöglichkeit reicht dabei nicht aus. Das Bedeutet ebenfalls, dass ein Button mit der Bezeichnung “OK” nicht ausreicht.
Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP022 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.
Der Link zur Datenschutzerklärung muss sowohl auf der Startseite als auch auf jeder Unterseite deutlich sichtbar vorhanden sein. Er muss sich entweder im oberen Kopfbereich (Header) oder im unteren Fußbereich (Footer) befinden. Der Link muss “Datenschutzerklärung” oder “Datenschutz” lauten und direkt auf die Datenschutzerklärungsseite verlinken.
Das Ergebnis dieser Prüfung muss von einer beispielhaften Seite als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Wenn die Webseite zusätzlich eine englischsprachige oder anderssprachige Version hat, muss auch auf dieser, genauso wie auf der deutschsprachigen Seite (PP008), ein Link zur Datenschutzerklärung sowohl auf der Startseite als auch auf jeder Unterseite deutlich sichtbar vorhanden sein. Der Link muss entsprechend, im Falle einer zusätzlichen englischen Sprachversion, mit einem der englischen Begriffe „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ oder im Falle einer weiteren Sprache mit der Bezeichnung “Datenschutzerklärung” oder Datenschutz (bzw. ähnliche Bezeichnung) in der betreffenden Sprache bezeichnet sein und direkt auf die Datenschutzerklärungsseite verlinken.
Das Ergebnis dieser Prüfung muss von einer beispielhaften Seite als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Auf der Datenschutzerklärungsseite muss sich ein ausführlicher Text mit der Überschrift “Datenschutzerklärung” befinden und der das Thema Datenschutz behandelt.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Wenn die Webseite zusätzlich eine englischsprachige oder anderssprachige Version hat, muss auch auf dieser, genauso wie auf der deutschsprachigen Seite (PP010), eine Datenschutzerklärung in der jeweiligen Sprache vorhanden sein. Im Falle einer englischen Sprachversion muss die Datenschutzerklärungsseite ebenfalls sowohl eine eindeutige Überschrift „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ enthalten sowie das Thema Datenschutz auf Englisch behandeln bzw. im Falle einer anderen Sprache die Überschrift “Datenschutzerklärung” oder “Datenschutz” (bzw. ähnliche Bezeichnung) in der jeweiligen Sprache enthalten sowie das Thema Datenschutz in der jeweiligen Sprache behandeln.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Eine Datenschutzerklärung muss übersichtlich und strukturiert gegliedert sein. Daher muss sie mit Überschriften, Themenblöcken, strukturierten Aufzählungszeichen und Absätzen versehen sein.
Wenn die Webseite zusätzlich eine englischsprachige oder anderssprachige Version hat, muss auch auf dieser, genauso wie auf der deutschsprachigen Seite (PP012), die Datenschutzerklärung in der jeweiligen Sprache übersichtlich und strukturiert gegliedert sein. Daher muss auch diese mit Überschriften, Themenblöcken, strukturierten Aufzählungszeichen und Absätzen versehen sein.
Eine Anforderung des Datenschutzerklärung ist es, dass die Unternehmensdaten leicht erkennbar zu entnehmen sind. Deshalb müssen unter einer der Überschriften der Datenschutzerklärung der Unternehmensname, die Adresse des Unternehmens und die Kontaktdaten aufgeführt sein. Dabei entsprechen die Unternehmensdaten jenen, die auch im Impressum aufgeführt sind.
Es bestehen keine festen Anforderungen dafür, wie die Überschrift des Abschnitts in der Datenschutzerklärung genannt werden muss, in denen die Unternehmensdaten enthalten sind. Ebenfalls nicht, an welcher Stelle genau sich die Unternehmensdaten befinden müssen. Häufig heißt die Überschrift jedoch “Name und Anschrift des für die Verarbeitung Verantwortlichen” oder ähnlich.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Wenn die Webseite zusätzlich eine englischsprachige oder anderssprachige Version hat, müssen auch auf dieser, genauso wie auf der deutschsprachigen Seite (PP014), in der Datenschutzerklärung der jeweiligen Sprache die Unternehmensdaten leicht erkennbar zu entnehmen sein. Deshalb müssen auch hier unter einer Überschrift der Datenschutzerklärung der Unternehmensname, die Adresse des Unternehmens und die Kontaktdaten aufgeführt sein und denen der Impressumsseite entsprechen.
Es bestehen keine festen Anforderungen dafür, wie die Überschrift des Abschnitts in der Datenschutzerklärung genannt werden muss, in denen die Unternehmensdaten enthalten sind. Ebenfalls nicht, an welcher Stelle genau sich die Unternehmensdaten befinden müssen. Häufig heißt die Überschrift jedoch sinngemäß “Name und Anschrift des für die Verarbeitung Verantwortlichen” oder ähnlich.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Dieser Prüfpunkt ist nur relevant, wenn sich durch die Antwort des Antragstellers im Zuarbeiten-Formular herausstellt, dass ein Datenschutzbeauftragter im Unternehmen benötigt wird.
Wenn das Unternehmen der zu prüfenden Webseite einen Datenschutzbeauftragten hat, ist es dazu verpflichtet, diesen in seiner Datenschutzerklärung anzugeben. Diese Angabe wird in diesem Prüfpunkt überprüft.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Jedes auf der zu prüfenden Website vorhandene Kontakt- oder sonstige Datenerfassungsformular muss über einen Datenschutzhinweis verfügen. Dabei muss der Datenschutzhinweis auch auf die Datenschutzerklärung verlinken und mit dem Wort “Datenschutzerklärung” oder “Datenschutz” bezeichnet sein und fungiert somit als eine Zustimmung der Kenntnisnahme des Hinweises. Der Datenschutzhinweis muss dabei über dem “Senden”-Button angebracht sein, der die Übermittlung der eingegebenen Daten auslöst. Bei einem Kontakt- oder Datenerfassungsformular, das nicht zur künftigen, unaufgeforderten Zusendung von Nachrichten ermächtigt (bspw. Newsletter), ist keine weitere Einwilligung nötig, bspw. in Form einer nicht angehakten Checkbox, die vor Absendung der Formulardaten aktiviert werden muss – andernfalls siehe PP018.
Um tatsächlich alle Kontakt- und Datenerfassungs- sowie für den folgenden Prüfpunkt PP018 relevanten Newsletter-Formulare auf der zu prüfenden Webseite zu entdecken, ist es notwendig, sämtliche Unterseiten der Webseite durchzusehen und nach Formularen zu überprüfen. Daher ist es anzuraten, die Prüfpunkte PP017, PP018 und PP019 gemeinsam zu prüfen.
Das Ergebnis dieser Prüfung muss als Screenshot eines vollständigen Formulars dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Handelt es sich, im Gegensatz zu Kontakt- oder Datenerfassungsformularen (PP016), um Newsletter-Formulare oder Formulare, die für Benachrichtigungsaktionen ausgewiesen sind, welche eine künftige, unaufgeforderte Zusendung von Nachrichten ermöglicht, ist eine explizite Einwilligung zum Datenschutzhinweis durch den Webseitenbesucher nötig. Diese Einwilligung geschieht im Allgemeinen durch eine nicht aktivierte/ausgefüllte Checkbox (Kontrollkästchen), die aktiv angeklickt werden muss, bevor ein Absenden der Formulardaten möglich ist.
Wie im Prüfpunkt PP017 bereits erwähnt, ist es notwendig, sämtliche Unterseiten der zu prüfenden Webseite durchzusehen und nach Formularen zu überprüfen, um tatsächlich alle relevanten Formulare auf der Webseite zu entdecken. Daher ist es anzuraten, die Prüfpunkte PP017, PP018 und PP019 gemeinsam zu prüfen.
Das Ergebnis dieser Prüfung muss als Screenshot eines vollständigen Formulars dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Es dürfen in jedem Formular, entsprechend der Art des jeweiligen Formulars, nur relevante, personenbezogene Daten durch definierte Pflichtfelder erfasst werden.
Bei Kontakt- oder Datenerfassungsformularen nach PP017, die keine Formulare nach PP018 sind, sind dies:
- Anrede
- Name
- E-Mail-Adresse
- Betreff
- Textnachricht
Bei Formularen im Sinne des PP018, also Newsletter-Formulare oder ähnliches, ist dies lediglich die E-Mail-Adresse.
Alle weiteren Daten, die ggf. abgefragt werden, dürfen keine verpflichtenden Angaben sein. Die Angabe dieser erfolgt durch den Nutzer somit freiwillig.
Auch hier ist es notwendig, wie bereits in den vorherigen Prüfpunkten PP017 und PP018, alle Unterseiten der zu zertifizierenden Webseite zu überprüfen. Daher ist es anzuraten, die Prüfpunkte PP017, PP018 und PP019 gemeinsam zu prüfen.
Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP024 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.
Dieser Prüfpunkt ist nur relevant, wenn PP004 auf Basis des Unterpunkts a) konform geprüft wurde und entspricht der Prüfung des Prüfpunkts PP005 und nimmt entsprechend immer denselben Zustand an.
Im Gegensatz zum Prüfpunkt PP005 wird in diesem Prüfpunkt der Datenschutz im Sinne von DSGVO/TMG geprüft.
Im Folgenden die zusätzlichen Erläuterungen zu diesem Prüfpunkt, entsprechen PP005:
Beispiele von konformen Cookie-Hinweisen (auch relevant für Prüfpunkte PP006, PP007, PP020, PP021, PP022):
Dieser Prüfpunkt ist nur relevant, wenn PP004 auf Basis des Unterpunkts a) konform geprüft wurde und entspricht der Prüfung des Prüfpunkts PP006 und nimmt entsprechend immer denselben Zustand an.
Im Gegensatz zum Prüfpunkt PP006 wird in diesem Prüfpunkt der Datenschutz im Sinne von DSGVO/TMG geprüft.
Im Folgenden die zusätzlichen Erläuterungen zu diesem Prüfpunkt, entsprechend PP006:
Der Cookie-Hinweis muss die Möglichkeit anbieten, per Klick die Verwendung von Cookies ablehnen zu können. Dies geschieht entweder anhand eines Opt-out-Buttons (Opt-out bedeutet einen Widerspruch ausdrücken) im Cookie-Hinweis oder ein anhand eines eindeutigen Links auf die Stelle der Webseite, an der die Cookie-Verwendung abgelehnt werden kann.
Dieser Prüfpunkt ist nur relevant, wenn PP004 auf Basis des Unterpunkts a) konform geprüft wurde und entspricht der Prüfung des Prüfpunkts PP007 und nimmt entsprechend immer denselben Zustand an.
Im Gegensatz zum Prüfpunkt PP007 wird in diesem Prüfpunkt der Datenschutz im Sinne von DSGVO/TMG geprüft.
Im Folgenden die zusätzlichen Erläuterungen zu diesem Prüfpunkt, entsprechend PP007:
Ebenso wie die Möglichkeit Cookies abzulehnen, muss der Cookie-Hinweis die Möglichkeit zur ausdrücklichen Einwilligung der Verwendung von Cookies bieten. Dies geschieht entweder anhand eines Opt-in-Buttons (Opt-in bedeutet eine Zustimmung ausdrücken) oder anhand eines Links, der zur aktiven Einwilligung der Nutzung von Cookies per Klick führt.. Der Button bzw. der Link muss dabei die Bezeichnung Cookies erlauben/verwenden/akzeptieren beinhalten. Ein lediglicher Hinweis bzw. die Information auf die Verwendung von Cookies, ohne ausdrücklicher Einwilligungsmöglichkeit reicht dabei nicht aus. Das Bedeutet ebenfalls, dass ein Button mit der Bezeichnung “OK” nicht ausreicht.
Die Prüfung dieses Prüfpunkts entspricht der Prüfung des gleichnamigen Prüfpunkts PP003 und nimmt entsprechend immer denselben Zustand an.
Im Gegensatz zum Prüfpunkt PP003 wird in diesem Prüfpunkt der Datenschutz im Sinne von DSGVO/TMG geprüft.
Im Folgenden die zusätzlichen Erläuterungen zu diesem Prüfpunkt, entsprechen PP003:
Die sichere Kommunikation im Internet wird durch die Verschlüsselung anhand eines SSL- bzw. TLS-Zertifikats gewährleistet. Auch wenn inzwischen der aktuelle Standard der Verschlüsselung TLS (Transport Layer Security) ist, wird weiterhin weitläufig die Bezeichnung SSL (Secure Sockets Layer) verwendet.
Die Verwendung eines SSL-/TLS-Zertifikats ist im Browser zum einen anhand der im Prüfpunkt PP002 geprüften Zeichenfolge https:// erkennbar. Zum anderen aber auch durch ein Symbol eines geschlossenen Vorhängeschlosses zu Beginn der Browser-Adresszeile, das je nach Browser-Anbieter grün oder grau dargestellt wird.
Um sicherzustellen, dass das auf der zu prüfenden Webseite verwendete SSL-/TLS-Zertifikat gültig und voll funktionsfähig ist, also weder Sicherheits- noch Warnmeldungen bestehen, wird es in diesem Prüfpunkt anhand der Tools Comodo SSL Checker (https://comodosslstore.com/ssltools/ssl-checker.php) und SSL Labs SSL Server Test (https://www.ssllabs.com/ssltest) getestet.
Weitere Informationen zum Thema SSL-/TLS-Zertifikate und -Verschlüsselung finden sich hier: https://www.ssl-zertifikate.de
Die Prüfung dieses Prüfpunkts entspricht der Prüfung des gleichnamigen Prüfpunkts PP019 und nimmt entsprechend immer denselben Zustand an.
Im Gegensatz zum Prüfpunkt PP019 wird in diesem Prüfpunkt der Datenschutz im Sinne von DSGVO/TMG geprüft.
Im Folgenden die zusätzlichen Erläuterungen zu diesem Prüfpunkt, entsprechen PP019:
Es dürfen in jedem Formular, entsprechend der Art des jeweiligen Formulars, nur relevante, personenbezogene Daten durch definierte Pflichtfelder erfasst werden.
Bei Kontakt- oder Datenerfassungsformularen nach PP017, die keine Formulare nach PP018 sind, sind dies:
- Anrede
- Name
- E-Mail-Adresse
- Betreff
- Textnachricht
Bei Formularen im Sinne des PP018, also Newsletter-Formulare oder ähnliches, ist dies lediglich die E-Mail-Adresse.
Alle weiteren Daten, die ggf. abgefragt werden, dürfen keine verpflichtenden Angaben sein. Die Angabe dieser erfolgt durch den Nutzer somit freiwillig.
Inhaberschaft & Ausweispflichten
Der Auftraggeber hat für die Domain-Inhaberschafts-Verifikation mit der Auftragsbestätigung im Auftrags-Protokoll einen vom System automatisch erstellten Schlüssel/Key erhalten, der die Form „iwts-site-verification-[Key]“ hat; wobei [Key] eine 30-stellige alphanumerische Zeichenfolge ist.
Diesen Schlüssel muss der Auftraggeber vor dem Absenden des Zuarbeiten-Formulars im DNS-Report seines Domain- bzw. Server-Hosters als TXT-Eintrag hinterlegt haben. Die erfolgte Hinterlegung muss der Auftraggeber auch im Zuarbeiten-Formular bestätigen.
Die Hinterlegung des Schlüssels und die Richtigkeit desselben muss während des Audits überprüft werden. Die Prüfung erfolgt mit dem Tool Qualidator DNS Report (https://www.qualidator.com/WQM/de/Tools/DNSReport.aspx).
Ergebnis des Prüfergebnisses mit dem DNS Report Tool ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).
Um überprüfen zu können, dass die Unternehmens-, Inhaber-, Adress- und Registrierungsdaten des Antragstellers mit den Angaben auf der Webseite übereinstimmen, muss der Antragsteller vor Beginn des Audits einen entsprechenden Nachweis erbringen.
Hat der Antragsteller im Zuarbeiten-Formular angegeben, dass er Register-eintragspflichtig ist, muss der im Upload-Bereich des Zuarbeiten-Formulars einen Registerauszug hochgeladen haben.
Ist der Antragsteller nicht Register-eintragspflichtig und hat das entsprechend im Zuarbeiten-Formular angegeben, kann entweder, wenn der Antragsteller Gewerbe-meldepflichtig ist, eine Gewerbeanmeldung entsprechend PP027, oder, falls er weder Register-eintragspflichtig noch Gewerbe-meldepflichtig ist, ein nachvollziehbares Rechnungsdokument, entsprechend PP028, zur Verfügung gestellt werden.
Als Entscheidungshilfe, wann welches Dokument vom Auftraggeber in der Zuarbeiten-Phase zu übermitteln ist, soll folgende Übersicht dienen:
| Amtliche Eintragungs- und Meldeverpflichtung (entsprechend Angaben in Zuarbeiten-Formular) | |||||
Registereintragung | JA | JA | Nein | Nein | |
Gewerbeamt | Nein | JA | JA | Nein | |
| relevante Prüfpunkte im Audit (vorhandensein Dokumente) | |||||
| 26 Pkt. | Registerauszug | JA | JA | Nein | Nein |
| 27 Pkt. | Gewerbeanmaldung | Nein | Nein | JA | Nein |
| 28 Pkt. | Anderes Dokument (bspw. Rechnung) | Nein | Nein | Nein | JA |
Dieser Prüfpunkt ist nur relevant, wenn der Antragsteller in Prüfpunkt PP026 angegeben hat, dass er nicht Register-eintragspflichtig ist.
Um überprüfen zu können, dass die Unternehmens-, Inhaber-, Adress- und Registrierungsdaten des Antragstellers mit den Angaben auf der Webseite übereinstimmen, muss der Antragsteller vor Beginn des Audits einen entsprechenden Nachweis erbringen.
Hat der Antragsteller im Zuarbeiten-Formular angegeben, dass er Gewerbe-meldepflichtig und nicht Register-eintragspflichtig ist, muss der im Upload-Bereich des Zuarbeiten-Formulars eine Gewerbeanmeldung hochgeladen haben.
Ist der Antragsteller weder Gewerbe-meldepflichtig noch Register-eintragspflicht ist und hat das entsprechend im Zuarbeiten-Formular angegeben, muss er, entsprechend PP028, ein nachvollziehbares Rechnungsdokument zur Verfügung stellen.
Als Entscheidungshilfe, wann welches Dokument vom Auftraggeber in der Zuarbeiten-Phase zu übermitteln ist, soll folgende Übersicht dienen:
| Amtliche Eintragungs- und Meldeverpflichtung (entsprechend Angaben in Zuarbeiten-Formular) | |||||
Registereintragung | JA | JA | Nein | Nein | |
Gewerbeamt | Nein | JA | JA | Nein | |
| relevante Prüfpunkte im Audit (vorhandensein Dokumente) | |||||
| 26 Pkt. | Registerauszug | JA | JA | Nein | Nein |
| 27 Pkt. | Gewerbeanmaldung | Nein | Nein | JA | Nein |
| 28 Pkt. | Anderes Dokument (bspw. Rechnung) | Nein | Nein | Nein | JA |
Dieser Prüfpunkt ist nur relevant, wenn kein anderes Dokument entsprechend der Prüfpunkte PP026 oder PP027 vorliegt.
Um überprüfen zu können, dass die Unternehmens-, Inhaber-, Adress- und Registrierungsdaten des Antragstellers mit den Angaben auf der Webseite übereinstimmen, muss der Antragsteller vor Beginn des Audits einen entsprechenden Nachweis erbringen.
Ist der Antragsteller weder Register-eintragspflichtig noch Gewerbe-meldepflichtig und hat das entsprechend im Zuarbeiten-Formular angegeben, muss er, entsprechend PP028, ein nachvollziehbares Rechnungsdokument zur Verfügung stellen, aus dem die Zugehörigkeit der zu zertifizierenden Webseite zum beim Antrag angegebenen Unternehmen hervorgeht. Dies kann eine Verbrauchts-, Miet-, Strom- oder Internetanschlussrechnung sein.
Als Entscheidungshilfe, wann welches Dokument vom Auftraggeber in der Zuarbeiten-Phase zu übermitteln ist, soll folgende Übersicht dienen:
| Amtliche Eintragungs- und Meldeverpflichtung (entsprechend Angaben in Zuarbeiten-Formular) | |||||
Registereintragung | JA | JA | Nein | Nein | |
Gewerbeamt | Nein | JA | JA | Nein | |
| relevante Prüfpunkte im Audit (vorhandensein Dokumente) | |||||
| 26 Pkt. | Registerauszug | JA | JA | Nein | Nein |
| 27 Pkt. | Gewerbeanmaldung | Nein | Nein | JA | Nein |
| 28 Pkt. | Anderes Dokument (bspw. Rechnung) | Nein | Nein | Nein | JA |
Ähnlich wie beim Link zur Datenschutzerklärung, muss auf jeder beliebigen Website der zu prüfenden Webseite, im Kopfbereich (Header) oder im Fußbereich (Footer) ein gut sichtbarer Link mit der Bezeichnung “Impressum” vorhanden sein, der auf die Impressumsseite verlinkt. Alternativ können jedoch auch gut sichtbar auf jeder Seite der zu prüfenden Webseite die vollständigen Impressumsangaben angegeben werden. Die vollständigen Impressumsangaben entsprechen den Angaben aus den Prüfpunkte PP031 bis PP040, also der Unternehmensname und die Inhaberangaben, der Sitz des Unternehmens, die Rechtsform des Unternehmens, zwei unterschiedliche Kontaktmöglichkeiten, der Vertretungsberechtigte bei juristischen Personen, die Angabe bestimmter Berufsgruppen und Situationen, in denen sich das Unternehmen befinden kann sowie im Falle eines Webshops oder einer Verkaufsseite die internationale Umsatzsteuer-ID.
Das Ergebnis dieser Prüfung muss als Screenshot dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Der auf jeder Seite der zu prüfenden Webseite angegebene Link zum Impressum muss auch direkt auf die Impressumsseite oder auf einen gesonderten Bereich für das Impressum führen, in dem das vollständige Impressum aufgeführt ist.
Das Ergebnis dieser Prüfung muss als Screenshot des vollständigen Impressums dokumentiert werden. Hierzu ist die Anleitung in den allgemeinen Erläuterungen bzw. im Programmhandbuch die Anlage 3, Punkt 4 zu beachten.
Die Inhaberangaben müssen im Impressum vollständig vorhanden sein. Diese sind Unternehmensname, Inhaber Vor- und Nachname und Anschrift mit Straße, Hausnummer, PLZ und Ort.
Der Inhaber-Geschäftssitz muss in Deutschland sein, weshalb im Impressum eine deutsche Adresse hinterlegt sein muss. Die deutsche Adresse muss die Geschäftsadresse sein und muss als erste Adresse angegeben sein, wenn es mehrere Filialen innerhalb oder außerhalb Deutschlands geben sollte. Die deutsche Adresse wird anhand der Postleitzahl verifiziert und muss der Bundesrepublik Deutschland (BRD) zuordenbar sein. Die eindeutige Prüfung erfolgt anhand des Tools der Deutschen Post AG: https://www.postdirekt.de/plzserver.
In diesem Punkt wird überprüft, ob es sich beim Unternehmen der zu prüfenden Webseite um ein eingetragenes Unternehmen als juristische Person handelt und ob die Angaben des Antragstellers im Antrag damit übereinstimmen. Als Nachweis, ob es sich um ein eingetragenes Unternehmen als juristische Person handelt und zum Abgleich der Daten, dient der in Prüfpunkt PP026 zugelieferte Registerauszug.
Eingetragene Unternehmen und somit juristische Personen sind im Allgemeinen:
- Körperschaften des Privatrechts wie:
- Verein (eingetragener Verein (e. V.)., altrechtlicher Verein (a. V.), rechtsfähiger wirtschaftlicher Verein (r. V.)
- Aktiengesellschaft (AG)
- Kommanditgesellschaft auf Aktien (KGaA)
- Gesellschaft mit beschränkter Haftung (GmbH) einschl. der Unternehmergesellschaft (UG)
- eingetragene Genossenschaft (eG)
- Europäische Gesellschaft (SE)
- Stiftung bürgerlichen Rechts
- Juristische Personen des öffentlichen Rechts
- Körperschaften des öffentlichen Rechts
- Anstalten des öffentlichen Rechts und
- Stiftungen öffentlichen Rechts
Einige Personengesellschaften gelten nicht als juristische Personen. Dazu zählen:
- Kommanditgesellschaft (KG)
- Offene Handelsgesellschaft (OHG)
- Gesellschaft bürgerlichen Rechts (GbR)
Handelt es sich beim Unternehmen der zu zertifizierenden Webseite, muss im Impressum, im Anschluss an den Unternehmensnamen, die Rechtsform angegeben werden. Dies kann auch als Abkürzung erfolgen. Die gängigen Abkürzungen sind im Prüfpunkt PP033 aufgeführt.
Im Impressum müssen mindestens zwei Kontaktmöglichkeiten unterschiedlicher Art angegeben sein, über die man das Unternehmen der zu prüfenden Webseite direkt kontaktieren kann.
In diesem Punkt wird überprüft, ob eine der zulässigen Kontaktmöglichkeiten im Impressum aufgeführt ist. Die zulässigen Kontaktmöglichkeiten sind:
- E-Mail-Adresse
- Telefonnummer
- Faxnummer
- Kontaktformular
Im Impressum müssen mindestens zwei Kontaktmöglichkeiten unterschiedlicher Art angegeben sein, über die man das Unternehmen der zu prüfenden Webseite direkt kontaktieren kann.
Aufbauend auf den Prüfpunkt PP035 wird in diesem Punkt überprüft, ob eine zweite, sich von PP035 unterscheidende zulässige Kontaktmöglichkeit im Impressum aufgeführt ist. Die zulässigen Kontaktmöglichkeiten sind:
- E-Mail-Adresse
- Telefonnummer
- Faxnummer
- Kontaktformular
Wenn es sich beim Unternehmen der zu zertifizierenden Webseite um eine juristische Person handelt (geprüft in Prüfpunkt PP033), muss im Impressum die vertretungsberechtigte Person des Unternehmens mit Vor- und Nachnamen angegeben sein. Ob diese Angabe im Impressum vorhanden ist, wird in diesem Punkt überprüft.
Wenn es sich beim Unternehmen der zu zertifizierenden Webseite um eine juristische Person handelt (geprüft in Prüfpunkt PP033), müssen im Impressum die Angabe der Registriernummer des Handels-/Vereins-/Partnerschafts- oder Genossenschaftsregisters sowie Name und Sitz des zuständigen Amtsgerichts angegeben sein. Diese müssen auch mit dem in Prüfpunkte PP026 eingereichten Registerauszug übereinstimmen. Ob diese Angabe im Impressum vorhanden ist, wird in diesem Punkt überprüft.
Ob der Antragsteller Pflichtangaben im Impressum darstellen muss, hat er im Zuarbeiten-Formular angegeben. In diesem Prüfpunkt wird überprüft, ob die im Zuarbeiten-Formular gemachten Angaben tatsächlich im Impressum dargestellt sind. Diese können sein:
- a) Die gesetzliche Berufsbezeichnung und der Staat, in dem diese verliehen worden ist.
- b) Die Bezeichnung der berufsrechtlichen Regelungen und wie diese zugänglich sind.
- c) Kontaktinformationen zur Kammer, Behörde oder Beschwerdestelle.
Wenn die zu prüfende Webseite einen Internet-/Webshop bzw. eine Verkaufsseite (Verkaufsseiten sind Webseiten, auf denen ein Webshop vorhanden ist oder andere entgeltliche Verkäufe, die mit Preisangaben, Bestellverfahren betrieben werden.) enthält, was durch den Antragsteller im Zuarbeiten-Formular beantwortet wird, muss im Impressum die internationale Umsatzsteuer-ID angegeben werden. Diese besteht aus einer fiskalischen Erkennungsnummer, aus der internationalen Länderkennung (z.B. DE) und einer neunstelligen Zahlenfolge. Anhand des Tools „Umsatzsteuer-ID prüfen“ (https://ust-id-pruefen.de/) wird geprüft, dass die Umsatzsteuer-ID gültig und aus Deutschland ist. Das Vorhandensein der internationalen Umsatzsteuer-ID im Impressum wird in diesem Punkt überprüft.
Benutzerfreundlichkeit
Der überwiegende Teil der Webseitenaufrufe wird inzwischen mit mobilen Endgeräten wie Smartphones und Tablets durchgeführt. Um zum einen die Benutzerfreundlichkeit zu gewährleisten und zum anderen sicherzustellen, dass alle geprüften Punkte der Zertifizierung auch auf den Webseitenbesuch mit einem mobilen Endgerät zutreffen, ist es ein Anspruch des IWTS-Programms, dass die zu zertifizierenden Webseiten mit einem responsiven Design ausgestattet sind. Responsives Design bedeutet, dass die Inhalte der Webseite auf Displays von mobilen Endgeräten angepasst werden. Weitere Informationen zu responsiven Design können hier entnommen werden: https://fdwb.de/responsive-design/
Im Zusammenhang mit IWTS bedeutet dies, dass in der mobilen Ansicht alle Formulare (aus PP017 – PP019), die Datenschutzerklärung und das Impressum ohne horizontales Scrollen vollständig sichtbar sein müssen. Texte und Bilder können vereinzelt ohne Limit überstehen, vorausgesetzt, dass nicht der gesamte Text oder alle Bilder einer Seite überstehen.
Das Vorhandensein der Ansicht im Responsive Design wird mit dem Chrome-Browser von Google geprüft. Dafür muss in Chrome-Browser in die mobile, responsive Ansicht in den Entwicklertools gewechselt werden (Menü – Weitere Tools – Entwicklertools) und dort eine Displaybreite von 320 Pixeln (obere Leiste; Ansicht „Mobile S“) gewählt werden.
Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite und insbesondere die Datenschutzerklärungs-, die Impressumsseite sowie alle Seiten, die Formulare beinhalten, betrachtet werden.
Globale Zusatzprüfung
Webseiten großer Unternehmen haben aufgrund ihrer Größe, Komplexität und Anzahl der Aufrufe eine erheblich größere Systemrelevanz und ein größeres Risiko von Schäden in den Bereichen Cyber-Sicherheit und Datenschutz (DSGVO, TMG). Daher ist es besonders wichtig, diese Webseiten erweitert zu prüfen. Aufgrund der Größe und Komplexität der Webseite und der damit verbundenen Systeme werden für die Prüfung und die Versicherung über die Richtigkeit der Umsetzung externe Gutachter oder Berater hinzugezogen.
Dieser Prüfpunkt ist dann erforderlich, wenn die Anzahl der Mitarbeiter 50 oder mehr beträgt oder von einem Antragsteller mit weniger als 50 Mitarbeitern explizit beantragt wurde.
Es wird geprüft, ob eine Bestätigung vorliegt, die eine fach- und sachgerechte Erstellung aller rechtlich relevanter Pflichtangaben sowie die technische Umsetzung im Sinne der Cyber-Sicherheit, DSGVO, TMG er-fordert. Die Webseite muss dafür in allen Bereichen begutachtet werden. Die Begutachtung und die Bestätigung der erfolgreichen Durchführung stellt ein vertrauenswürdiger Gutachter oder Berater, als unabhängige Person oder Organisation, aus. Dem Gutachter/Berater ist vom Antragsteller nachvollziehbar darzulegen, von welchen Fachkundigen o-der Unternehmen (o. ä.) die Ausführungen auf der Webseite erstellt wurden. Sind Umsetzungen auch oder aus-schließlich von Mitarbeitern des Antragstellers umgesetzt worden, so kann der Antragsteller die fachgerechte Erstellung formlos versichern, und diese wird anerkannt, wenn der Gutachter sich über die Glaubwürdigkeit und Nachvollziehbarkeit der Versicherung informiert hat und bestätigen kann. Die Grundlage der Versicherung und Bestätigung ist eine Liste mit Angaben aller relevanter rechtlicher und technischer Webseitenbereiche, die für den Zweck der Begutachtung relevant sind. Die Aufstellung (Liste) ist mit den “Zuarbeiten” einzureichen und muss als, “nach vorliegenden Informationen fachgerecht umgesetzt”, vom Gutachter auf dem Formular schriftlich bestätigt werden.
Prozessablauf IWTS-Zertifizierung
Kunde
- Information über IWTS inkl. eingebundenes Auftragsformular bei FdWB, IWTS, CUC
- Ausfüllen des Auftragsformulars
- Gibt Auftragsdaten an
- Erhält Angebot über Zertifizierungskosten
- Nimmt Angebot verbindlich an, indem Auftragsformular abgesendet wird
- Erhält Auftragsbestätigung inkl. Erläuterung weiterer Schritte in der Zuarbeiten-Phase und Link zum Zuarbeiten-Formular per automatischer E-Mail
- Erhält Rechnung inkl. Erläuterungen zum Zahlungsziel per automatischer E-Mail
Zertifizierungsstelle
- Admin erhält automatische Meldung per E-Mail über neue Auftrag inkl. Auftragsdetails
- Admin prüft Zahlungseingang; ggf. Erinnerung per E-Mail nach Fristablauf
- Admin prüft Zuarbeiten aus Zuarbeiten-Phase; ggf. Erinnerung per E-Mail nach Fristablauf
Kunde
- Bereitet für die Zertifizierung zu übermittelnde Informationen und Dokumente (Domain- und Unternehmen-Inhaberschaftsnachweis) vor
- Öffnet Zuarbeiten-Formular per Link aus Auftragsbestätigungs-E-Mail
- Füllt Zuarbeiten-Formular mit für die Zertifizierung nötigen Informationen aus und lädt im Formular die Dokumente hoch
- Sendet Zuarbeiten-Formular ab
- Erhält automatische E-Mail als Übermittlungsbestätigung
Zertifizierungsstelle
- Admin erhält automatische Meldung per E-Mail über eingegangene Zuarbeiten inkl. Zuarbeiten-Details und hochgeladenen Dokumenten im Anhang
- Admin prüft vollständigkeit aller Zuarbeiten
- Admin prüft Zahlungseingang; ggf. Erinnerung per E-Mail nach Fristablauf
- Wenn Zuarbeiten vollständig und Zahlung eingegangen
- Admin legt Audit-Termin für Auditor fest
- Admin übermittelt Auftragsformular PDF, Zuarbeiten-Formular PDF und übermittelte Dokumente an Auditor per E-Mail
- Admin wartet auf Terminbestätigung von Auditor; ggf. Erinnerung per E-Mail
- Ggf. Benachrichtigt durch Admin an Kunde über Audit-Termin
Zertifizierungsstelle
- Auditor meldet sich mit persönlichem Auditor-Code in Audit-Formular an
- Auditor führt Audit durch
- Prüft zu zertifizierende Webseite anhand Prüfpunkte
- Füllt Audit-Formular aus
- Schließt Prüfvorgang ab, indem Audit-Formular abgesendet wird
- Automatische Bestätigungs-E-Mails inkl. Audit-Protokoll
- An Admin
- An Auditor als Kopie
Wenn nicht alle Prüfpunkte konform (aus Status des Audit-Formulars ersichtlich)
Zertifizierungsstelle
Auditor teilt Kunde per Kommunikations-Formular nicht konforme Prüfpunkte inkl. Details mit: Prüfpunkt-ID, Beschreibung, Screenshots, Bedingungen für Konformität mit; automatische Kopie der Kundenmitteilung an Auditor
Kunde
Behebt nicht konforme Punkte und teilt Behebung an Auditor mit
Zertifizierungsstelle
- Admin wartet auf Antwort des Kunden; ggf. Erinnerung nach Fristablauf
- Nach Eingang Kundenantwort: Zuarbeiten-Phase – Zertifizierungsstelle – 4. ff, Prüfvorgang 2 und ggf. weitere, bis alle Prüfpunkte konform sind
Wenn alle Prüfpunkte konform (aus Status des Audit-Formulars ersichtlich)
Nächster Schritt: Zertifizierungsphase
Zertifizierungsstelle
- Wenn Audit erfolgreich abgeschlossen ist
- Admin legt Zertifizierungs-Termin für Zertifizierer fest
- Admin übermittelt Audit-Protokoll als PDF und ggf. Auftragsformular PDF, Zuarbeiten-Formular PDF und übermittelte Dokumente an Zertifizierer per E-Mail
- Admin wartet auf Terminbestätigung von Zertifizierer; ggf. Erinnerung per E-Mail
- Ggf. Benachrichtigt durch Admin an Kunde über Zertifizierungs-Termin
- Zertifizierer meldet sich mit persönlichem Zertifizierer-Code in Zertifizierungs-Formular an
- Zertifizierer führt Zertifizierung durch
- Prüft Audit-Protokoll, Screenshots, Bemerkungen des Auditors
- Füllt Zertifizierungs-Formular aus
- Schließt Zertifizierungsvorgang ab, indem Zertifizierungs-Formular abgesendet wird
- Automatische Bestätigungs-E-Mails inkl. Zertifizierungs-Protokoll
- An Admin
- An Zertifizierer als Kopie
- Admin prüft, ob Zertifizierung erfolgreich abgeschlossen ist
Zertifizierung nicht erfolgreich abgeschlossen
Klärung mit Zertifizierer und Auditor über Gründe und weiteres Vorgehen
Zertifizierung erfolgreich abgeschlossen
Zertifizierungsstelle
- Admin teilt per E-Mail Kunde erfolgreiche Zertifizierung mit
- Bestätigung der Zertifizierung
- Zertifikat (Link)
- Link mit Erläuterung zum Einbinden des Konformitätszeichens
- Wiedervorlage der zertifizierten Webseite zur rechtzeitigen Erinnerung für die Beantragung einer Rezertifizierung in einem Jahr
Kunde
Kunde bindet Konformitätszeichen in seine zertifizierte Webseite ein
Vorgaben & allgemeine Hinweise
Nicht konforme Ergebnisse sind grundsätzlich per Screenshot intern zu dokumentieren und auch dem Antragsteller bei der Begründungsmitteilung zukommen zu lassen. Zur Erstellung von Screenshots Programmhandbuch Anlage 3 Punkt 4 beachten bzw. hier im Abschnitt „Screenshots erstellen“.
So erstellen Sie geeignete Screenshots
- Der Screenshot sollte immer den Prüfgegenstand und möglichst einen Bezug zur geprüften Webseite dokumentieren (Unternehmensname, -domain, -daten, -design).
- Speichern Sie die Screenshots bspw. in einem lokalen Bereich zwischen.
- Ändern Sie den Screenshot-Dateinamen:
Kundennummer, Auftragsnummer, ID des Prüfpunkts, Anzahl Screenshot je
Prüfpunkt, A oder Z (Auditor oder Zertifizierer), Datum.Beispiel: 123456-23450-3-1-A-11092019.jpg
Nachdem alle Prüfpunkte ausgeführt wurden, bitte alle Screenshots im Feld “Upload der Screenshots-Au1” hochladen (Drag-and-drop).
Achtung: Nach dem Hinzufügen der Dateien muss der Upload aktiv durch Klick auf den Button “Beginn Upload” gestartet werden!