Prüfkriterien Übersicht

Die Übersichtsliste der Prüfkriterien des International Website Trust Standards (IWTS) ist eine erweiterte Erklärung, welche nicht nur die fachlichen Aspekte beinhaltet, sondern auch einem Nicht-Fachmann eine verständliche Erläuterung der Prüfinhalte und -eigenschaften vermitteln soll.

Die Beschreibung auf dieser Seite ist eine formlose Erklärung. Die Prüfanweisungen für das Audit im Zertifizierungsverfahren, Prüfung auf “konform” und “nicht konform, sind im Handbuch des IWTS-Standards festgeschrieben.

 

Prüfbereiche

Hinweis: Die Angaben in Klammern innerhalb der Überschriften sagen aus, bei welcher Variante des IWTS-Standards die Kriterien geprüft werden.

DE = Deutsche Variante
INT = Internationale Variante

Cyber-Sichereit

Für die Cyber-Sicherheit werden vier Bereiche geprüft:

1. Prüfung auf offene Weiterleitung auf eine andere Internetadresse (DE & INT)

Es wird geprüft, ob die URL (Internetadresse), die bei der Antragstellung angegeben wurde, auch die URL ist, die die zu prüfenden Bereiche beinhaltet. Wenn sich die URL nach Eingabe in der Adresszeile und Aufruf der Webseite ändert, besteht eine offene Weiterleitung, wodurch die Prüfung nicht erfolgreich wäre.

2. Vorhandensein des Hypertext Transfer Protocol Secure (HTTPS) (DE & INT)

Das Hypertext Transfer Protocol Secure (HTTPS) ist eine Erweiterung des Hypertext Transfer Protocols (HTTP) und wird für die sichere Kommunikation im Internet verwendet. Das HTTPS wird anhand SSL bzw. TLS (s. Cyber-Sicherheit 3.) verschlüsselt. Nach dem Aufruf der Webseite ist die Verwendung von HTTPS in der Adresszeile des Browsers zu erkennen, indem vor der URL die Zeichenfolge https:// angezeigt wird. Würde eine unverschlüsselte Kommunikation verwendet werden, würde nur http:// angezeigt werden und die Prüfung wäre nicht erfolgreich.

Hinweis: Einige Browser-Anbieter, wie bspw. Chrome oder Opera, zeigen aus kosmetischen Gründen nicht mehr standardmäßig https:// oder http:// in der Adresszeile an. Damit im Chrome-Browser die vollständige URL, inkl. https:// bzw. http:// sichtbar wird, muss auf die URL in der Adresszeile doppelt geklickt werden.

3. Aktive Verschlüsselung des Kommunikations-Protokolls durch SSL/TLS (DE & INT)

Die sichere Kommunikation im Internet wird durch eine starke Verschlüsselung anhand eines SSL- bzw. TLS-Zertifikats gewährleistet. Auch wenn inzwischen der aktuelle Standard der Verschlüsselung TLS (Transport Layer Security) ist, wird weiterhin weitläufig die Bezeichnung SSL (Secure Sockets Layer) verwendet.

Die Verwendung eines SSL-/TLS-Zertifikats ist im Browser zum einen anhand der im vorherigen Abschnitt (Cyber-Sicherheit 2.) geprüften Zeichenfolge https:// erkennbar. Zum anderen aber auch durch ein Symbol eines geschlossenen Vorhängeschlosses zu Beginn der Browser-Adresszeile, das je nach Browser-Anbieter in der Regel grün oder grau dargestellt wird.

Um sicherzustellen, dass das auf der zu prüfenden Webseite verwendete SSL-/TLS-Zertifikat gültig und voll funktionsfähig ist, also weder Sicherheits- noch Warnmeldungen bestehen, wird die Prüfung des SSL-/TLS-Zertifikats mit aktuellen, geeigneten und zuverlässigen technischen Mitteln durchgeführt.

4. Technischer Sicherheitstest (DE & INT)

Geprüft wird der technische Zustand einer Webseite.

Zur Cyber-Sicherheit gehört auch der technische Zustand einer Webseite und damit die Prüfung der Webseite auf Sicherheitslücken und eventuelle technische Kompromittierung.

Die Tests beim IWTS-Standard setzen, bei der Integritätsüberwachung zur Erkennung von Sicherheitslücken, Schadsoftware, Malware und Viren auf einer Webseite, auf modernste Werkzeuge und globale Datenbanken. Es besteht die Möglichkeit, dass eine Webseite mit Malware oder Spam infiziert ist oder mangelhafte technische Voraussetzungen und Einstellungen dazu genutzt werden, um ganz oder teilweise die Kontrolle einer Webseite zu übernehmen. Dieses Vorgehen kann Webseitenbetreiber und Besucher der Webseite einen Schaden zufügen.

Um sicherzugehen, dass eine höchstmögliche Sicherheit der Webseite gegeben ist, wird eine Prüfung auf aktuell bekannte und relevante schadhafte Systeme und Sicherheitslücken durchgeführt.

Ein Prüf-Tool testet die Webseite auf Ihre Sicherheit.

Die Testwertung muss mindesten das Prädikat “geringes Risiko” (Low) haben. Das beste Prädikat ist “minimales Risiko”. Damit wird die Webseite nach IWTS-Standard als sicher mit geringem Risiko eingestuft.

Es erfolgt ein Cyber-Sicherheitstest auf:

  • Malware, Viren, Spam, Defacement, weitere Seiten- oder Sicherheitsprobleme
  • veraltete Software und Plugins
  • Eintragungen der Webseite in offiziellen Blacklists (Google Safe Browsing, Norton Safe Web, McAfee, sucuri Labs, ESET, PhishTank, Yandex, Opera, Spamhaus)

Die Prüfung wird mit aktuellen, geeigneten und zuverlässigen technischen Mitteln durchgeführt.

Datenschutz

1. Cookie-Hinweis-Banner

a) Vorhandensein von Cookies und daraufhin Notwendigkeit eines Cookie-Hinweis-Banners (DE)

Der Begriff Cookie stammt aus dem englischen Wortschatz und kann in seiner ursprünglichen Bedeutung mit „Keks“ in die deutsche Sprache übersetzt werden. Im Zusammenhang mit dem Internet beschreibt ein Cookie eine kleine Textdatei, die bei dem Besuch einer Webseite lokal auf dem Rechner des Users gespeichert wird. Diese Datei speichert Daten über das Verhalten des Nutzers. Wird die entsprechende Webseite wiederholt besucht, kommt der Cookie zum Einsatz und gibt dem Web-Server, mithilfe der gespeicherten Daten, Informationen über das Surfverhalten des Benutzers und den Besuch der Webseite weiter und passt den Besuch der Webseite an die Bedürfnisse des Benutzers an.

Bei allen Webseiten muss der Benutzer beim Seitenaufruf über die Verwendung von Cookies informiert werden, sofern es sich nicht ausschließlich um rein technische Cookies handelt. Dies geschieht mit einem sogenannten Cookie-Hinweis, in der Regel in Form eines Banners, der deutlich auf der Seite sichtbar ist und alle vorgeschriebenen Inhalte enthält. Notwendige Inhalte sind die Information, dass Cookies verwendet werden, ein Hinweis auf das Widerspruchsrecht und auf den Datenschutz sowie ein Link zur Datenschutzerklärung.

Das Vorhandensein von Cookies und deren Art wird mit aktuellen, geeigneten und zuverlässigen technischen Mitteln durchgeführt.

Hinweis: Der Cookie-Hinweis wird nur beim erstmaligen Besuch (oder Ablauf der Speicherfrist von Cookies oder dem Löschen der Cookies im Browser) einer Webseite angezeigt und wenn der Verwendung von Cookies eingewilligt wurde. Anschließend wird die Einwilligung gespeichert und im Browser-Cache hinterlegt, sodass bei einem weiteren Besuch der Webseite der Cookie-Hinweis als Banner nicht mehr erscheint. Sollte also kein Cookie-Hinweis beim Seitenaufruf erscheinen, ist bei der Prüfung sicherzustellen, dass die Webseite tatsächlich erstmalig besucht wurde. Im Zweifel muss der Browser-Cache, sicherheitshalber des gesamten Zeitraums, gelöscht und die Seite erneut aufgerufen werden. Erscheint bei erneutem Seitenaufruf noch immer kein Cookie-Hinweis, bedeutet dies, dass entweder keine (nicht technischen) Cookies verwendet werden und somit kein Cookie-Hinweis nötig ist oder dass kein Cookie-Hinweis existiert.

b) Vorhandensein eines gültigen Hinweistexts im Cookie-Hinweis-Banner (DE)

Notwendige Inhalte sind die Information, dass Cookies verwendet werden, ein Hinweis auf das Widerspruchsrecht und auf den Datenschutz sowie ein Link zur Datenschutzerklärung.

Beispiele von zulässigen Cookie-Hinweisen (auch für die Abschnitte Datenschutz, 1. Cookie-Hinweis-Banner, c) und d) relevant):

c) Möglichkeit Cookies abzulehnen (DE)

Der Cookie-Hinweis muss die Möglichkeit anbieten, per Klick die Verwendung von Cookies ablehnen zu können. Dies geschieht entweder anhand eines Opt-out-Buttons (Opt-out bedeutet einen Widerspruch ausdrücken) im Cookie-Hinweis oder anhand eines eindeutigen Links auf die Stelle der Webseite, an der die Cookie-Verwendung abgelehnt werden kann.

d) Möglichkeit, Cookies zu erlauben (DE)

Ebenso wie die Möglichkeit Cookies abzulehnen, muss der Cookie-Hinweis die Möglichkeit zur ausdrücklichen Einwilligung der Verwendung von Cookies bieten. Dies geschieht entweder anhand eines Opt-in-Buttons (Opt-in bedeutet eine Zustimmung ausdrücken) oder anhand eines Links, der zur aktiven Einwilligung der Nutzung von Cookies per Klick führt. Der Button bzw. der Link muss dabei die Bezeichnung Cookies erlauben/verwenden/akzeptieren beinhalten. Ein lediglicher Hinweis bzw. die Information auf die Verwendung von Cookies, ohne ausdrücklicher Einwilligungsmöglichkeit reicht dabei nicht aus. Das Bedeutet ebenfalls, dass ein Button mit der Bezeichnung “OK” nicht ausreicht.

2. Datenschutzerklärung

Hinweis: Alle Punkte der nachfolgenden Abschnitte (Datenschutz, 2. Datenschutzerklärung, a) – d)) gelten auch, wenn die zu zertifizierende Website zusätzliche englische oder anderssprachige Version beinhaltet. Nötige Inhalte müssen somit zusätzlich in der jeweiligen Sprache enthalten sein.

a) Link zur Datenschutzerklärung (DE)

Der Link zur Datenschutzerklärung muss sowohl auf der Startseite als auch auf jeder Unterseite deutlich sichtbar vorhanden sein. Er muss sich entweder im oberen Kopfbereich (Header) oder im unteren Fußbereich (Footer) befinden. Der Link muss “Datenschutzerklärung” oder “Datenschutz” lauten und direkt auf die Datenschutzerklärungsseite verlinken.

Im Falle einer zusätzlichen englischen Sprachversion, mit einem der englischen Begriffe „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ oder im Falle einer weiteren Sprache mit der Bezeichnung “Datenschutzerklärung” oder Datenschutz (bzw. ähnliche Bezeichnung) in der betreffenden Sprache bezeichnet sein.

b) Existiert eine Datenschutzerklärung? (DE)

Auf der Datenschutzerklärungsseite muss sich ein ausführlicher Text mit der Überschrift “Datenschutzerklärung” befinden und der das Thema Datenschutz behandelt.

Im Falle einer englischen Sprachversion muss die Datenschutzerklärungsseite ebenfalls sowohl eine eindeutige Überschrift „Privacy Policy“, „Data Privacy Statement“, „Data Privacy Information“ oder „Data Protection Declaration“ enthalten sowie das Thema Datenschutz auf Englisch behandeln bzw. im Falle einer anderen Sprache die Überschrift “Datenschutzerklärung” oder “Datenschutz” (bzw. ähnliche Bezeichnung) in der jeweiligen Sprache enthalten sowie das Thema Datenschutz in der jeweiligen Sprache behandeln.

c) Form der Datenschutzerklärung ist übersichtlich und gegliedert (DE)

Eine Datenschutzerklärung muss übersichtlich und strukturiert gegliedert sein. Daher muss sie mit Überschriften, Themenblöcken, strukturierten Aufzählungszeichen und Absätzen versehen sein.

d) Daten des Unternehmens in der Datenschutzerklärung (DE)

Eine Anforderung des Datenschutzerklärung ist es, dass die Unternehmensdaten leicht erkennbar zu entnehmen sind. Deshalb müssen unter einer der Überschriften der Datenschutzerklärung der Unternehmensname, die Adresse des Unternehmens und die Kontaktdaten aufgeführt sein. Dabei entsprechen die Unternehmensdaten jenen, die auch im Impressum aufgeführt sind. 

Es bestehen keine festen Anforderungen dafür, wie die Überschrift des Abschnitts in der Datenschutzerklärung genannt werden muss, in denen die Unternehmensdaten enthalten sind. Ebenfalls nicht, an welcher Stelle genau sich die Unternehmensdaten befinden müssen. Häufig heißt die Überschrift jedoch “Name und Anschrift des für die Verarbeitung Verantwortlichen” oder ähnlich.

3. Hinweispflicht Datenschutzbeauftragter (DE)

Wenn das Unternehmen der zu prüfenden Webseite einen Datenschutzbeauftragten hat, ist es dazu verpflichtet, diesen in seiner Datenschutzerklärung anzugeben. Diese Angabe wird in diesem Prüfkriterium überprüft.

4. Web-Kontaktformulare

a) Datenschutzhinweis (DE)

Jedes auf der zu prüfenden Website vorhandene Kontakt- oder sonstige Datenerfassungsformular muss über einen Datenschutzhinweis verfügen. Dabei muss der Datenschutzhinweis auch auf die Datenschutzerklärung verlinken und mit dem Wort “Datenschutzerklärung” oder “Datenschutz” bezeichnet sein und fungiert somit als eine Zustimmung der Kenntnisnahme des Hinweises. Der Datenschutzhinweis muss dabei über dem “Senden”-Button angebracht sein, der die Übermittlung der eingegebenen Daten auslöst. Bei einem Kontakt- oder Datenerfassungsformular, das nicht zur künftigen, unaufgeforderten Zusendung von Nachrichten ermächtigt (bspw. Newsletter), ist keine weitere Einwilligung nötig, bspw. in Form einer nicht angehakten Checkbox, die vor Absendung der Formulardaten aktiviert werden muss.

b) Datenschutz Checkbox/Kontrollkästchen (DE)

Handelt es sich, im Gegensatz zu Kontakt- oder Datenerfassungsformularen, um Newsletter-Formulare oder Formulare, die für Benachrichtigungsaktionen ausgewiesen sind, welche eine künftige, unaufgeforderte Zusendung von Nachrichten ermöglicht, ist eine explizite Einwilligung zum Datenschutzhinweis durch den Webseitenbesucher nötig. Diese Einwilligung geschieht im Allgemeinen durch eine nicht aktivierte/ausgefüllte Checkbox (Kontrollkästchen), die aktiv angeklickt werden muss, bevor ein Absenden der Formulardaten möglich ist.

c) Personenbezogene Datenerfassung (DE & INT)

Es dürfen in jedem Formular, entsprechend der Art des jeweiligen Formulars, nur relevante, personenbezogene Daten durch definierte Pflichtfelder erfasst werden. 

Bei Kontakt- oder Datenerfassungsformularen sind dies:

  • Anrede
  • Name
  • E-Mail-Adresse
  • Betreff
  • Textnachricht

Bei Formularen im Sinne von Newsletter-Formularen oder ähnlichen, ist dies lediglich die E-Mail-Adresse.

Alle weiteren Daten, die ggf. abgefragt werden, dürfen keine verpflichtenden Angaben sein. Die Angabe dieser erfolgt durch den Nutzer somit freiwillig.

5. Datenschutz im Sinne Datenschutz-Grundverordnung (DSGVO) und Telemediengesetz (TMG) (DE)

Einige der vorhergehende Prüfkriterien werden zusätzlich geprüft, ob sie auf der zu zertifizierenden Webseite im Sinne der Sinne Datenschutz-Grundverordnung (DSGVO) und Telemediengesetz (TMG) umgesetzt sind. Dies trifft auf die folgenden Bereiche zu und die Prüfung entspricht diesen:

  • Aufklärungspflicht über Cookie-Verwendung, Möglichkeit zur Ablehnung der Cookie-Verwendung und Möglichkeit zur Einwilligung in die Datenverarbeitung von Dritten
  • Sichere Datenübertragung anhand Verwendung eines gültigen SSL-/TLS-Zertifikats
  • Kein pauschales Datensammeln mit Formularen

Inhaberschaft & Ausweispflichten

1. Inhaberschaft der Domain (DE & INT)

Sie bestätigen die Domain über Ihren Domain-Host. Ihr Domain-Host ist normalerweise der Anbieter, bei dem Sie die Domain erworben haben. Ihr Domain-Host verwaltet die sogenannten DNS-Einträge. Das sind Einstellungen, mit denen der Internetzugriff über Ihre Domain gesteuert und verwaltet wird.

Die Bestätigung erfolgt durch die Hinterlegung eines im Antragsprozess von IWTS zur Verfügung gestellten, individuellen und eindeutigen Schlüssels/Keys (IWTS-Site-Verifikation-Key) als TXT-Eintrag, der den DNS-Einträgen Ihres Domain-Hosts hinzugefügt werden muss. Eine ausführliche und einfach nachzuvollziehende Anleitung, wie die Bestätigung durchgeführt werden kann, erhalten Sie mit Ihrer Antragsbestätigungs-E-Mail nach Antragstellung für die Zertifizierung oder hier: Zuarbeiten Anleitung

2. Inhaberschaft des Unternehmens (DE & INT)

Um überprüfen zu können, dass die Unternehmens-, Inhaber-, Adress- und Registrierungsdaten des Unternehmens mit den Angaben auf der Webseite übereinstimmen, muss vor Beginn des Audits ein entsprechender Nachweis erbracht werden.

Der Nachweis muss ein aktueller Registerauszug sein. Wenn das Unternehmen oder die Organisation nicht in einem Register eingetragen sein muss, muss der Nachweis eine Gewerbeanmeldung sein. Muss das Unternehmen oder die Organisation weder in einem Register eingetragen noch beim Gewerbeamt gemeldet sein, muss der Nachweis ein anderes, aktuelles Rechnungsdokument sein,  aus dem die Zugehörigkeit der zu zertifizierenden Webseite zum angegebenen Unternehmen hervorgeht. Dies kann eine Verbrauchts-, Miet-, Strom- oder Internetanschlussrechnung sein.

3. Impressum und darin enthaltene Angaben

a) Eindeutige Wahrnehmungsmöglichkeit des Impressums (DE & INT)

Ähnlich wie beim Link zur Datenschutzerklärung, muss auf jeder beliebigen Website der zu prüfenden Webseite, im Kopfbereich (Header) oder im Fußbereich (Footer) ein gut sichtbarer Link mit der Bezeichnung “Impressum” vorhanden sein, der auf die Impressumsseite verlinkt. Alternativ können jedoch auch gut sichtbar auf jeder Seite der zu prüfenden Webseite die vollständigen Impressumsangaben angegeben werden. Die vollständigen Impressumsangaben sind der Unternehmensname und die Inhaberangaben, der Sitz des Unternehmens, die Rechtsform des Unternehmens, zwei unterschiedliche Kontaktmöglichkeiten, der Vertretungsberechtigte bei juristischen Personen, Pflichtangaben bei bestimmten Berufsgruppen sowie im Falle eines Webshops oder einer Verkaufsseite die internationale Umsatzsteuer-ID. Die Umsatzsteuer-ID muss auch dann, von allen anderen steuerpflichtigen Webseitenbetreibern im Impressum angegeben werden, wenn diese jemals beim Finanzamt beantragt wurde (TMG).

b) Link zur Impressumsseite (DE & INT)

Der auf jeder Seite der zu zertifizierenden Webseite angegebene Link zum Impressum muss direkt auf die Impressumsseite oder auf einen gesonderten Bereich für das Impressum führen, in dem das vollständige Impressum aufgeführt ist.

c) Notwendige Angaben im Impressum (DE & INT)

Im Impressum müssen alle vorgeschriebenen Daten angegeben sein. Diese sind im Allgemeinen:

  • Inhaberangaben/Unternehmensauskunft
  • Vollständiger Inhabername
  • Sitz des Unternehmens (Adresse)
  • Eingetragenes Unternehmen
  • Rechtsform des Unternehmens bei juristischer Person
  • Mindestens zwei verschiedene Arten zur Kontaktaufnahme
  • Vertretungsberechtigte Person bei juristischen Personen
  • Bei einer Gesellschaft Eintragungsort und -nummer
  • Pflichtangaben bei bestimmten Berufsgruppen
  • Umsatzsteuer-Identifikationsnummer bei Webshops oder Verkaufsseiten

Nutzerfreundlichkeit (DE & INT)

Der überwiegender Teil der Webseitenaufrufe wird inzwischen mit mobilen Endgeräten wie Smartphones und Tablets durchgeführt. Um zum einen die Benutzerfreundlichkeit zu gewährleisten und zum anderen sicherzustellen, dass alle geprüften Punkte der Zertifizierung auch auf den Webseitenbesuch mit einem mobilen Endgerät zutreffen, ist es ein Anspruch des IWTS-Programms, dass die zu zertifizierenden Webseiten mit einem responsiven Design ausgestattet sind. Responsives Design bedeutet, dass die Inhalte der Webseite auf Displays von mobilen Endgeräten angepasst werden. Weitere Informationen zu responsiven Design können hier entnommen werden: https://fdwb.de/responsive-design

Im Zusammenhang mit der IWTS-Zertifizierung bedeutet dies, dass in der mobilen Ansicht alle Formulare, die Datenschutzerklärung und das Impressum ohne horizontales Scrollen vollständig sichtbar sein müssen. Texte und Bilder können vereinzelt ohne Limit überstehen, vorausgesetzt, dass nicht der gesamte Text oder alle Bilder einer Seite überstehen.

Weitere Informationen zum IWTS-Standard