Konform

Die bei Zertifikatsantrag angegebene URL ändert sich nicht, wenn diese im Browser aufgerufen wird (keine Weiterleitung).

Nicht konform

Die bei Zertifikatsantrag angegebene URL ändert sich nach dem Aufruf in einem Browser (Weiterleitung).

Konform

Die im Browser aufgerufene URL zeigt von vorn beginnend zuerst diese 8 Zeichen: https://

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Es werden nicht zuerst von vorne oder nicht eindeutig die 8 Zeichen https:// angezeigt.

Konform

Das SSL-/TLS-Zertifikat wird mit dem Tool „Comodo SSL Checker “ (https://comodosslstore.com/ssltools/ssl-checker.php) und dem Tool „SSL Labs SSL Server Test“ (https://www.ssllabs.com/ssltest) getestet und das Ergebnis enthält weder Sicherheits- noch Warnhinweise (alle Ergebnisse sind grün gekennzeichnet).

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP023 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Das SSL-/TLS-Zertifikat wird mit dem Tool „Comodo SSL Checker“ und dem Tool „SSL Labs SSL Server Test“ getestet und das Ergebnis zeigt mindestens einen Sicherheits- oder Warnhinweis an (rot/orange gekennzeichnet).

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP023 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Die Prüfung der Webseite mit dem Prüf-Tool „Sucuri Site Check“ (https://site-check.sucuri.net/) ergibt im Gesamtergebnis nur ein “minimales” oder höchstens “geringes“ Risiko (Low) und ist so-mit jeweils grün.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Die Prüfung der Webseite mit dem Prüf-Tool „Sucuri Site Check“ ergibt im Gesamtergebnis ein höheres als “geringes Risiko” (Low) und ist somit orange oder rot.

Konform

Entweder a): Ein feststehendes Pop-Up-Fenster oder eine ähnliche Darstellung mit einem Cookie-Hinweis-Banner wird, spätestens nachdem die Webseite geladen wurde, angezeigt.
Die Prüfung mit dem Cookie-Test-Tool „CookieMetrix“ (https://www.cookiemetrix.com/) ergibt, dass Cookies der grünen Zeile oder auch weitere Cookies (orange, rote Zeile) vorhanden sind.
Oder b): Ein feststehendes Pop-Up-Fenster oder eine ähnliche Darstellung mit einem Cookie-Hinweis-Banner ist nicht vorhanden und die Prüfung mit dem Cookie-Test-Tool „Cookie-Metrix“ ergibt, dass nur Cookies der grünen Zeile (technische Cookies) zu sehen sind.

Bei Ergebnis a) sind im Anschluss die Prüfpunkte PP005 bis PP007 zu prüfen. Bei Ergebnis b) sind die Prüfpunkte PP005 bis PP007 nicht relevant.

Ergebnis (sowohl des Prüf-Tools als auch der Cookie-Hinweis) ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Ein Cookie-Hinweis-Banner ist nicht vorhanden und die Prüfung mit dem Cookie-Test-Tool „CookieMetrix“ ergibt, dass außer technischer Cookies (grüne Zeile) weitere Cookies (in oranger, roter Zeile) vorhanden sind.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis des Unterpunkts 1. konform geprüft wurde:

Notwendige Inhalte des Banner-Texts sind die Information, dass die Webseite Cookies verwendet, ein Hinweis auf das Widerspruchsrecht und auf den Datenschutz, mit einer Verlinkung auf die Datenschutzerklärung der Webseite. Die Datenschutzerklärung öffnet sich bei einem Klick auf den Link im gleichen oder in einem neuen Tab, einer neuen Seite oder als Banner-Element (Popup o. ä.) („Datenschutz“ und „Datenschutzerklärung“ sind als Bezeichnungen zulässig).

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP020 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt 1. konform geprüft wurde:

Wenn der Inhalt des Banner-Texts nicht die notwendigen Informationen wie Widerspruchsrecht oder Datenschutz enthält oder die Verlinkung zur Datenschutzerklärung nicht funktioniert oder nicht richtig ausgewiesen ist.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP020 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis des Unterpunkts 1. konform geprüft wurde:

Ein Opt-out-Button mit dem eindeutigen Hinweistext “keine Cookies verwenden” (oder ähnlich) oder ein eindeutiger Link auf die entsprechende Stelle der Webseite, auf der die Cookie-Nutzung per Klick abgelehnt werden kann, muss bei vorgesehener Cookie-Verwendung im Cookie-Hinweis vorhanden sein.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP021 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt 1. konform geprüft wurde:

Wenn kein Opt-out-Button oder kein eindeutiger Link auf die entsprechende Stelle der Webseite vorhanden ist, auf der die Cookie-Nutzung per Klick abgelehnt werden kann oder der Inhalt des Hinweistexts “keine Cookies verwenden” (verständnisgemäß oder ähnlich) weder im Cookie-Hinweis noch auf der verlinkten Seite vorhanden ist.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP021 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis des Unterpunkts 1. konform geprüft wurde:

Ein Opt-in-Button oder Link muss vorhanden sein, der zur aktiven Einwilligung der Nutzung von Cookies per Klick, mit dem eindeutigen Hinweistext “Cookies verwenden/erlauben” (oder ähnlich) geklickt werden muss.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP022 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt 1. konform geprüft wurde:

Kein Opt-in-Button oder Link ist vorhanden, der zur Nutzung von Cookies aktiv geklickt werden muss oder der nicht den eindeutigen Hinweistext „Cookies verwenden/erlauben“) (oder ähnlich) enthält.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP022 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Es wird auf jeder beliebigen Webseite der zu prüfenden Domain im Header (oben) oder Footer (unten), gut sichtbar ein Link mit der Bezeichnung „Datenschutzerklärung“ oder „Datenschutz“ angezeigt, der auf die Datenschutzerklärung verlinkt.

Ergebnis von einer Seite ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Es wird nicht auf jeder beliebigen Webseite der zu prüfenden Domain im Header (oben) oder Footer (unten), gut sichtbar ein Link mit der Bezeichnung „Datenschutzerklärung“ oder „Datenschutz“ angezeigt oder der Link verlinkt nicht auf die Datenschutzerklärung.

Options-Prüfpunkt

Konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:

Es wird, im Falle einer zusätzlichen englischen Sprachversion, auf jeder beliebigen Webseite der zu prüfenden Domain im Header (oben) oder Footer (unten), gut sichtbar ein Link mit der Bezeichnung „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ oder im Falle einer weiteren Sprache mit der Bezeichnung „Datenschutzerklärung“ oder „Datenschutz“ (bzw. ähnliche Bezeichnung) in der betreffenden Sprache angezeigt, der auf die jeweilige Sprachversion der Datenschutzerklärung verlinkt.

Ergebnis von einer Seite ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:

Es wird, im Falle einer zusätzlichen englischen Sprachversion, nicht auf jeder beliebigen Webseite der zu prüfenden Domain im Header (oben) oder Footer (unten), gut sichtbar ein Link mit der Bezeichnung „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ oder im Falle einer weiteren Sprache mit der Bezeichnung „Datenschutzerklärung“ oder „Datenschutz“ (bzw. ähnliche Bezeichnung) in der betreffenden Sprache angezeigt oder der Link verlinkt nicht auf die Datenschutzerklärung in der jeweiligen Sprachversion.

Konform

Mit einem Klick auf einen Link oder Menüpunkt “Datenschutzerklärung” wird man auf eine extra Seite weitergeleitet, die die Überschrift “Datenschutzerklärung” hat. Auf dieser Seite befindet sich ein leicht erkennbarer Text, der das Thema Datenschutz behandelt.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Es ist nicht möglichen einen Link oder einen Menüpunkt mit der Bezeichnung “Datenschutzerklärung” zu finden oder auf der Zielseite ist keine Überschrift “Datenschutzerklärung” oder kein Textinhalt über das Thema Datenschutz vorhanden.

Options-Prüfpunkt

Konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:

Mit einem Klick auf einen Link oder Menüpunkt „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“, im Falle einer englischen Sprachversion, oder im Falle einer weiteren Sprache mit der Bezeichnung „Datenschutzerklärung“ oder „Datenschutz“ (bzw. änliche Bezeichnung) in der betreffenden Sprache, wird man auf eine extra Seite weitergeleitet, die, im Falle einer englischen Sprachversion, die Überschrift „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration oder im Falle einer weiteren Sprache die Überschrift „Datenschutzerklärung“ oder „Datenschutz“ (bzw. ähnliche Bezeichnung) in der betreffenden Sprache hat. Auf dieser Seite befindet sich ein leicht erkennbarer Text, der das Thema Datenschutz in der jeweiligen Sprache behandelt.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:

Es ist nicht möglichen, im Falle einer englischen Sprachversion, einen Link oder ein Menü mit der Bezeichnung „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ oder im Falle einer weiteren Sprache, mit der Bezeichnung „Datenschutzerklärung“ oder „Datenschutz“ (bzw. ähnliche Bezeichnung) in der betreffenden Sprache zu finden oder auf der Zielseite ist, im Falle einer englischen Sprachversion, keine Überschrift „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ bzw. im Falle einer weiteren Sprache keine Überschrift „Datenschutzerklärung“ oder „Datenschutz“ (o. ä. Bezeichnung) in der betreffenden Sprache oder kein Textinhalt über das Thema Datenschutz in der jeweiligen Sprache vorhanden.

Konform

Die Datenschutzerklärung ist mit Überschriften, Themenblöcken, strukturierten Aufzählungszeichen und Absätzen versehen.

Nicht konform

Die Datenschutzerklärung besteht nur aus Fließtext oder hat keinen strukturierten Charakter.

Options-Prüfpunkt

Konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:
Die Datenschutzerklärung in der jeweiligen Sprache ist mit Überschriften, Themenblöcken, strukturierten Aufzählungszeichen und Absätzen versehen.

Nicht konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:
Die Datenschutzerklärung in der jeweiligen Sprache besteht nur aus Fließtext oder hat keinen strukturierten Charakter.

Konform

Unter einer der Überschriften auf der Datenschutzerklärungsseite sind leicht erkennbar Unternehmensname, Adresse und Kontaktdaten aufgeführt.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Es gibt keine oder keine vollständigen Angaben des Unternehmensnamens, der Adresse und Kontaktdaten.

Options-Prüfpunkt

Konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:

Unter einer der Überschriften auf der Datenschutzerklärungsseite sind leicht erkennbar Unternehmensname, Adresse und Kontaktdaten aufgeführt.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Wird die Webseite zusätzlich in englischer oder anderer Sprache angeboten, muss eine Übersetzung der Datenschutzerklärung in der jeweiligen Sprache vorhanden sein und es gelten hierfür dieselben Prüfkriterien wie für den deutschsprachigen Teil:

Es gibt keine oder keine vollständigen Angaben des Unternehmensnamens, der Adresse und Kontaktdaten.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist nur relevant, wenn sich durch die Antwort des Antragsstellers im Zuarbeiten-Formular herausstellt, dass ein Datenschutzbeauftragter im Unternehmen benötigt wird. Ansonsten entfällt dieser Prüfpunkt:
Es muss ein/e Datenschutzbeauftragte/r mit Namen und Kontaktdaten auf der Datenschutzerklärungsseite benannt werden.

Ergebnis ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Wenn laut Auskünften des Antragsstellers im Zuarbeiten-Formular ein/e Datenschutzbeauftragte/r im Unternehmen benannt werden muss, aber kein/e Datenschutzbeauftragte/r auf der Datenschutzerklärungsseite ausgewiesen wird.

Konform

Jedes Kontakt-/Newsletter-Formular oder sonstige Datenerfassungsformular muss sichtbar über dem Button „Senden“ (oder ähnliche Bezeichnung) auf die Datenschutzhinweise der Webseite, mit dem Wort „Datenschutz“ oder „Datenschutzerklärung“, hinweisen und mit einer „Zustimmung“ verbunden sein.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite auf Formulare abgesucht werden.

Ergebnis des vollständigen Formulars ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

In mindestens einem auf der Seite angebotenem Formular fehlt der sichtbare Datenschutzhinweis der Webseite über dem Button „Senden“ (oder ähnliche Bezeichnung), der mit dem Wort „Datenschutz“ oder „Datenschutzerklärung“ gekennzeichnet ist und mit einer „Zustimmung“ verbunden ist.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite auf Formulare abgesucht werden.

Konform

Wenn das Kontaktformular als Newsletter oder für Benachrichtigungsaktionen ausgewiesen wird, welche jegliche unaufgeforderte Zusendungen an den Absender der Daten ermöglichen, muss zum Datenschutzhinweis eine nicht ausgefüllte Checkbox (Kontrollkästchen) existieren, welche vor der Versandmöglichkeit der Formulardaten aktiviert werden muss, um eine Einwilligung zum Datenschutzhinweis zu bestätigen.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite auf Formulare abgesucht werden.

Ergebnis des vollständigen Formulars ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Wenn das Kontaktformular als Newsletter oder für Benachrichtigungsaktionen ausgewiesen wird, welches jegliche unaufgeforderte Zusendungen an den Absender der Daten ermöglicht, existiert zum Datenschutzhinweis keine nicht ausgefüllte Checkbox (Kontrollkästchen), welche vor der Versandmöglichkeit der Formulardaten aktiviert werden muss, um dem Datenschutzhinweis einzuwilligen.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite auf Formulare abgesucht werden.

Konform

Es werden nur notwendige Daten wie Anrede, Name, E-Mail-Adresse, Betreff und Textnachricht in einem Kontaktformular durch definierte Pflichtfelder abgefragt. Alle anderen abgefragten Daten dürfen keine Pflichtfelder sein.
Handelt es sich um eine Newsletter-Anmeldung, darf nur das E-Mail-Feld ein Pflichtfeld sein.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite auf Formulare abgesucht werden.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP024 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Es werden in einem Kontaktformular über die Daten oder Fragen wie Anrede, Name, E-Mail-Adresse, Betreff, Textnachricht bzw. bei einer Newsletter-Anmeldung über das E-Mail-Feld hinaus weitere Daten abgefragt, die als Pflichtfelder gekennzeichnet sind oder ohne deren Eingabe das Absenden des Formulars/der Anmeldung technisch verhindert wird.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite auf Formulare abgesucht werden.

Das Ergebnis der Prüfung dieses Punktes wirkt sich direkt auf PP024 aus. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt a) konform geprüft wurde:

Notwendige Inhalte des Banner-Texts sind die Information, dass die Webseite Cookies verwendet, ein Hinweis auf das Widerspruchsrecht und auf den Datenschutz, mit einer Verlinkung auf die Datenschutzerklärung der Webseite. Die Datenschutzerklärung öffnet sich bei einem Klick auf den Link im gleichen oder in einem neuen Tab, einer neuen Seite oder als Banner-Element (Pop-up o. ä.) („Datenschutz“ und „Datenschutzerklärung“ sind als Bezeichnungen zulässig).

Das Prüfvorgehen dieses Prüfpunkts entspricht PP005. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt a) konform geprüft wurde:

Wenn der Inhalt des Banner-Texts nicht die notwendigen Informationen wie Widerspruchsrecht oder Datenschutz enthält oder die Verlinkung zur Datenschutzerklärung nicht funktioniert oder nicht richtig ausgewiesen ist.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP005. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt a) konform geprüft wurde:

Ein Opt-out-Button mit dem eindeutigen Hinweistext “keine Cookies verwenden” (oder ähnlich) oder ein eindeutiger Link auf die entsprechende Stelle der Webseite, auf der die Cookie-Nutzung per Klick abgelehnt werden kann, muss bei vorgesehener Cookie-Verwendung im Cookie-Hinweis vorhanden sein.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP006. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt a) konform geprüft wurde:

Wenn kein Opt-out-Button oder kein eindeutiger Link auf die entsprechende Stelle der Webseite vorhanden ist, auf der die Cookie-Nutzung per Klick abgelehnt werden kann oder der Inhalt des Hinweistexts “keine Cookies verwenden” (verständnisgemäß oder ähnlich) weder im Cookie-Hinweis noch auf der verlinkten Seite vorhanden ist.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP006. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt a) konform geprüft wurde:

Ein Opt-in-Button oder Link muss vorhanden sein, der zur aktiven Einwilligung der Nutzung von Cookies per Klick, mit dem eindeutigen Hinweistext “Cookies verwenden/erlauben” (oder ähnlich) geklickt werden muss.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP007. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Dieser Prüfpunkt ist relevant, wenn PP004 auf Basis der Unterpunkt a) konform geprüft wurde:

Kein Opt-in-Button oder Link ist vorhanden, der zur Nutzung von Cookies aktiv geklickt werden muss oder der nicht den eindeutigen Hinweistext „Cookies verwenden/erlauben) (oder ähnlich) enthält.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP007. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Das SSL-/TLS-Zertifikat wird mit dem Tool „Comodo SSL Checker“ (https://comodosslstore.com/ssltools/ssl-checker.php/) und dem Tool „SSL Labs SSL Server Test“ (https://www.ssllabs.com/ssltest/) getestet und das Ergebnis enthält weder Sicherheits- noch Warnhinweise (alle Ergebnisse sind grün gekennzeichnet).

Das Prüfvorgehen dieses Prüfpunkts entspricht PP003. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Das SSL-/TLS-Zertifikat wird mit dem Tool „Comodo SSL Checker“ und dem Tool „SSL Labs SSL Server Test“ getestet und das Ergebnis zeigt mindestens einen Sicherheits- oder Wahrhinweis an (rot/orange gekennzeichnet).

Das Prüfvorgehen dieses Prüfpunkts entspricht PP003. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Es werden nur notwendige Daten wie Anrede, Name, E-Mail-Adresse, Betreff und Textnachricht in einem Kontaktformular durch definierte Pflichtfelder abgefragt. Alle anderen abgefragten Daten dürfen keine Pflichtfelder sein.
Handelt es sich um eine Newsletter-Anmeldung, darf nur das E-Mail-Feld ein Pflichtfeld sein.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP019. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Nicht konform

Es werden in einem Kontaktformular über die Daten oder Fragen wie Anrede, Name, E-Mail-Adresse, Betreff, Textnachricht bzw. bei einer Newsletter-Anmeldung über das E-Mail-Feld hinaus weitere Daten abgefragt, die als Pflichtfelder gekennzeichnet sind oder ohne deren Eingabe das Absenden des Formulars/der Anmeldung technisch verhindert wird.

Das Prüfvorgehen dieses Prüfpunkts entspricht PP019. Beide Prüfpunkte nehmen immer direkt denselben Zustand an.

Konform

Der Auftraggeber hat im Zuarbeiten-Formular bestätigt, dass er den Key für die Domain-Inhaber-Verifikation hinterlegt hat und der Auftraggeber hat den ihm im Auftragsprotokoll ausgewiesenen Key in der Form „iwts-site-verification-[Key]“ im DNS-Report seines Domain- bzw. Server-Hosters hinterlegt und die Prüfung mit dem Tool Qualidator DNS Report (https://www.qualidator.com/WQM/de/Tools/DNSReport.aspx) bestätigt, dass der Key hinterlegt wurde.

Ergebnis des Prüfergebnisses mit dem DNS Report Tool ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Der Auftraggeber hat im DNS-Report seines Domain- bzw. Server-Hosters keinen Key oder einen vom Auftragsprotokoll abweichenden Key hinterlegt.

Options-Prüfpunkt

Konform

Entweder der Antragsteller hat bei der Antragstellung angegeben, dass er Register-eintragspflichtig ist und hat vorab ein Dokument „Registerauszug“ zugesendet. Dann ist zu prüfen, ob die Unternehmens-, Inhaber-, Adress- und Registrierungsdaten des Dokuments mit den Angaben auf der zu zertifizierenden Webseite übereinstimmen.
Oder der Antragsteller hat bei der Antragstellung angegeben, dass er nicht Register-eintragspflichtig ist.

Nicht konform

Entweder der Antragsteller hat bei der Antragstellung angegeben, dass er Register-eintragspflichtig ist, hat aber vorab kein Dokument „Registerauszug“ zugesendet.
Oder der Antragsteller hat bei der Antragstellung angegeben, dass er Register-eintragspflichtig ist und hat vorab ein Dokument „Registerauszug“ zugesendet. Die Unternehmens-, Inhaber-, Adress- oder Registrierungsdaten des Dokuments stimmen aber nicht mit den Angaben auf der zu zertifizierenden Webseite überein.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist nur relevant, wenn der Antragsteller in Prüfpunkt PP026 angegeben hat, dass er nicht Register-eintragspflichtig ist:

Entweder der Antragsteller hat bei der Antragstellung angegeben, dass er Gewerbe-anmeldepflichtig ist und hat vorab ein Dokument „Gewerbeanmeldung“ zugesendet. Dann ist zu prüfen, ob die Unternehmens-, Inhaber-, Adress- und Registrierungsdaten des Dokuments mit den Angaben auf der zu zertifizierenden Webseite übereinstimmen.
Oder der Antragsteller hat bei der Antragstellung angegeben, dass er nicht Gewerbe-anmeldepflichtig ist.

Nicht konform

Dieser Prüfpunkt ist nur relevant, wenn der Antragsteller in Prüfpunkt PP026 angegeben hat, dass er nicht Register-eintragspflichtig ist:

Entweder der Antragsteller hat bei der Antragstellung angegeben, dass er Gewerbe-anmeldepflichtig ist, hat aber vorab kein Dokument „Gewerbeanmeldung“ zugesendet.
Oder der Antragsteller hat bei der Antragstellung angegeben, dass er Gewerbe-anmeldepflichtig ist und hat vorab ein Dokument „Gewerbeanmeldung“ zugesendet. Die Unternehmens-, Inhaber-, Adress- oder Registrierungsdaten des Dokuments stimmen aber nicht mit den Angaben auf der zu zertifizierenden Webseite überein.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist nur relevant, wenn kein anderes Dokument entsprechend der Prüfpunkte PP026 oder PP027 vorliegt:

Es ist zu prüfen, ob ein Dokument „Rechnungsdokument“ (Verbrauchs-, Miet-, Strom- oder Internetanschlussrechnung) vorab zugesendet wurde und ob die Unternehmens-, Inhaber- oder Adressdaten mit den Angaben auf der Webseite übereinstimmen.

Nicht konform

Dieser Prüfpunkt ist nur relevant, wenn kein anderes Dokument entsprechend der Prüfpunkte PP026 oder PP027 vorliegt:

Es wurde vorab kein „Rechnungsdokument“ (Verbrauchs-, Miet-, Strom- oder Internetanschlussrechnung) vom Antragsteller zugesendet oder die Unternehmens-, Inhaber- oder Adressdaten des Dokuments stimmen aber nicht mit den Angaben auf der zu zertifizierenden Webseite überein.

Konform

Es wird auf jeder beliebigen Webseite der zu prüfenden Domain, im Header (oben) oder Footer (unten) gut sichtbar ein Link mit der Bezeichnung „Impressum“ angezeigt, der auf die Impressumsseite verlinkt.
Alternativ können stattdessen auf jeder Seite gut sichtbar die vollständigen Impressumsangaben, wie in den Prüfpunkte PP031 bis PP040 verlangt, dargestellt werden.

Ergebnis einer Seite ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Dieser Prüfpunkt ist nur relevant, wenn kein anderes Dokument entsprechend der Prüfpunkte PP026 oder PP027 vorliegt:

Es wurde vorab kein „Rechnungsdokument“ (Verbrauchs-, Miet-, Strom- oder Internetanschlussrechnung) vom Antragsteller zugesendet oder die Unternehmens-, Inhaber- oder Adressdaten des Dokuments stimmen aber nicht mit den Angaben auf der zu zertifizierenden Webseite überein.

Konform

Bei einem Klick auch den Link „Impressum“ muss ein neuer Bereich oder eine neue Seite mit der Kennzeichnung Impressum und dem Impressumsinhalt sichtbar werden.

Ergebnis des vollständigen Impressums ist per Screenshot zu dokumentieren (Programmhandbuch Anlage 3 Punkt 4 beachten).

Nicht konform

Bei Klick auch den Link „Impressum“ sind die Impressumsdaten nicht zu sehen.

Konform

Die Angaben zu Unternehmensname, Inhaber Vor- und Nachname, Anschrift (Straße, Hausnummer, PLZ, Ort) sind vorhanden.

Nicht konform

Es fehlt eine oder mehrere Pflichtangaben zum Unternehmen wie: Unternehmensname, Vor- und Nachname des Inhabers, Anschrift (Straße, Hausnummer, PLZ, Ort).

Konform

Der Inhaber-Geschäftssitz muss in Deutschland sein und somit eine deutsche Adresse als Impressumsangabe haben. Die deutsche Adresse muss die Geschäftsadresse sein und muss oben als erste Adresse stehen, sollte es mehrere Filialen innerhalb oder außerhalb Deutschlands geben.
Zur Prüfung muss geprüft werden, dass sich die Postleitzahl der Bundesrepublik Deutschland (BRD) zuordnen lässt. Die eindeutige Prüfung erfolgt mit dem Tool https://www.postdirekt.de/plzserver.

Nicht konform

Die im Impressum zuoberst angegebene Adresse ist kein deutscher Standort. Die angegebenen Postleitzahl existiert nicht oder befindet sich nicht in der BRD.

Options-Prüfpunkt

Konform

Dieser Prüfpunkt ist nur relevant, wenn es sich beim Unternehmen der zu prüfenden Webseite um ein eingetragenes Unternehmen handelt, nicht aber bei Einzelunternehmen:

Die Angabe des Antragstellers im Zertifizierungsantrag, ob es sich beim Antragsteller um eine eingetragene juristische Person handelt, wurde mit „Ja“ beantwortet und ein Registerauszug, den der Antragsteller übermittelt hat, liegt als Dokumentenkopie vor.

Nicht konform

Dieser Prüfpunkt ist nur relevant, wenn es sich beim Unternehmen der zu prüfenden Webseite um ein eingetragenes Unternehmen handelt, nicht aber bei Einzelunternehmen:

Der Antragsteller hat bei Antragstellung angegeben, dass es sich beim Unternehmen um ein eingetragenes Unternehmen (als juristische Person) handelt, es liegt jedoch kein Registerauszug als Dokumentenkopie vor oder der Antragsteller hat bei Antragstellung angegeben, dass es sich beim Unternehmen um kein eingetragenes Unternehmen (als juristische Person) handelt, jedoch lässt die angegebene Unternehmensform im Impressum darauf schließen, dass es sich um ein eingetragenes Unternehmen (als juristische Person) handelt.

Options-Prüfpunkt

Konform

Bei juristischen Personen muss die Unternehmensrechtsform als Abkürzung oder ausgeschrieben hinter dem Unternehmensnamen stehen.

Nicht konform

Beim Unternehmen handelt es sich um eine juristische Person, die Rechtsform steht aber weder abgekürzt noch ausgeschrieben hinter dem Unternehmensnamen.

Konform

Es muss eine der folgenden Kontaktmöglichkeiten vorhanden sein: E-Mail-Adresse, Telefonnummer, Faxnummer, Kontaktformular.

Nicht konform

Es ist keine der folgenden Kontaktmöglichkeiten angegeben: E-Mail-Adresse, Telefonnummer, Faxnummer, Kontaktformular.

Konform

Es muss eine weitere Kontaktmöglichkeit (ungleich Kontaktmöglichkeit 1) vorhanden sein: E-Mail-Adresse, Telefonnummer, Faxnummer, Kontaktformular.

Nicht konform

Es ist nur eine oder keine der Kontaktmöglichkeiten angegeben.

Options-Prüfpunkt

Konform

Angabe des Vor- und Nachnamens des Vertretungsberechtigten.

Nicht konform

Name des Vertretungsberechtigten wurde unvollständig oder gar nicht angegeben.

Options-Prüfpunkt

Konform

Angabe der Registriernummer des Handels-/Vereins-/Partnerschafts- oder Genossenschaftsregisters sowie Name und Sitz des zuständigen Amtsgerichts.

Nicht konform

Es fehlt eine, mehrere oder alle Angaben der Registernummer oder Name oder Sitz des zuständigen Amtsgerichts.

Options-Prüfpunkt

Konform

Pflichtangaben für bestimmte Berufsgruppen sind im Impressum erhalten, welche der Antragssteller Zuarbeiten-Formulars gemacht hat:

a) Die gesetzliche Berufsbezeichnung und der Staat, in dem diese verliehen worden ist.
b) Die Bezeichnung der berufsrechtlichen Regelungen und wie diese zugänglich sind.
c) Kontaktinformationen zur Kammer, Behörde oder Beschwerdestelle.

Nicht konform

Es fehlt eine, mehrere oder alle Angaben von a), b) oder c), obwohl der Antragsteller dazu Angaben im Zuarbeiten-Formular gemacht hat.

Options-Prüfpunkt

Konform

Angabe der internationalen Umsatzsteuer-ID für Webshops und Verkaufsseiten, bestehend aus einer fiskalischen Erkennungsnummer, aus der internationalen Länderkennung (z. B. DE) und einer neunstelligen Zahlenfolge. Anhand des Tools „Umsatzsteuer-ID prüfen“ (https://ust-id-pruefen.de/) wird erfolgreich geprüft, dass die Umsatzsteuer-ID gültig und aus Deutschland ist.

Nicht konform

Die internationale Umsatzsteuer-ID wurde nicht oder nicht vollständig angegeben oder die Prüfung anhand des Tools „Umsatzsteuer-ID prüfen“ (https://ust-id-pruefen.de/) ergibt, dass die die Umsatzsteuer-ID nicht gültig oder nicht aus Deutschland ist.

Konform

Das Vorhandensein der Ansicht im Responsive Design wird mit dem Chrome-Browser von Google geprüft. Dafür muss im Chrome-Browser in die mobile, responsive Ansicht in den Entwicklertools gewechselt werden (Menü -> Weitere Tools -> Entwicklertools) und dort eine Displaybreite von 320 Pixeln (obere Leiste; Ansicht „Mobile S“) gewählt werden. 

In der mobilen Ansicht müssen alle Formulare (aus PP017 – PP019), die Datenschutzerklärung und das Impressum, ohne horizontales Scrollen, vollständig sichtbar sein.

Texte und Bilder können vereinzelt ohne Limit überstehen, vorausgesetzt, dass nicht der gesamte Text oder alle Bilder einer Seite überstehen.

Für diese Prüfung müssen alle Seiten der zu zertifizierenden Webseite und insbesondere die Datenschutzerklärungs-, die Impressumsseite sowie alle Seiten, die Formulare beinhalten, betrachtet werden.

Nicht konform

In der mobilen Ansicht des Chrome Browsers mit 320 Pixeln Displaybreite sind nicht alle vorhandenen Formulare oder die Datenschutzerklärungsseite oder die Impressumsseite ohne horizontales Scrollen vollständig sichtbar oder der gesamte Text oder alle Bilder einer Seite stehen über die Bildschirmbreite über.

Konform

Dieser Prüfpunkt ist dann erforderlich, wenn die Anzahl der Mitarbeiter 50 oder mehr beträgt oder von einem Antragsteller mit weniger als 50 Mitarbeitern explizit beantragt wurde.

Es wird geprüft, ob eine Bestätigung vorliegt, die eine fach- und sachgerechte Erstellung aller rechtlich relevanter Pflichtangaben sowie die technische Umsetzung im Sinne der Cyber-Sicherheit, DSGVO, TMG er-fordert. Die Webseite muss dafür in allen Bereichen begutachtet werden. Die Begutachtung und die Bestätigung der erfolgreichen Durchführung stellt ein vertrauenswürdiger Gutachter oder Berater, als unabhängige Person oder Organisation, aus. Dem Gutachter/Berater ist vom Antragsteller nachvollziehbar darzulegen, von welchen Fachkundigen o-der Unternehmen (o. ä.) die Ausführungen auf der Webseite erstellt wurden. Sind Umsetzungen auch oder aus-schließlich von Mitarbeitern des Antragstellers umgesetzt worden, so kann der Antragsteller die fachgerechte Erstellung formlos versichern, und diese wird anerkannt, wenn der Gutachter sich über die Glaubwürdigkeit und Nachvollziehbarkeit der Versicherung informiert hat und bestätigen kann. Die Grundlage der Versicherung und Bestätigung ist eine Liste mit Angaben aller relevanter rechtlicher und technischer Webseitenbereiche, die für den Zweck der Begutachtung relevant sind. Die Aufstellung (Liste) ist mit den “Zuarbeiten” einzureichen und muss als, “nach vorliegenden Informationen fachgerecht umgesetzt”, vom Gutachter auf dem Formular schriftlich bestätigt werden.

Nicht konform

Wenn dieser Prüfpunkt erforderlich ist, indem die Anzahl der Mitarbeiter 50 oder mehr beträgt oder von einem Antragsteller mit weniger als 50 Mit-arbeitern explizit beantragt wurde. Und wenn die Aufstellung (Liste) nicht mit den “Zuarbeiten” eingereicht wurde oder darauf die fachgerechte Umsetzung vom Gutachter nicht schriftlich bestätigt wurde.