piwik-script

Deutsch Intern
    Information Technology Centre

    Leitlinien

    Leitlinien für Webanwendungen

    Hier ist eine Zusammenstellung wichtiger Leitlinien zum sicheren und gesetzeskonformen Betrieb von Webanwendungen. Diese Liste ist aktuell (02/2018) noch in Entstehung.

    Für das zentrale WCMS TYPO3 bzw. die anderen angebotenen Dienste kümmert sich das Rechenzentrum um diese Angelegenheiten (Ausnahme: Barrierefreiheit für Ihre Inhalte). Wenn Sie eine Webanwendung selbst betreiben, ist der Leiter der Einrichtung dafür verantwortlich.

    Gemäß der Richtlinie (EU) 2016/2102. sind Webseiten und mobile Anwendungen öffentlicher Stellen barrierefrei zu gestalten.

    Damit eine Webseite WCAG 2.0-konform ist, müssen alle folgenden Konformitätsbedingungen erfüllt sein, d. h. für eine Konformität auf Stufe A (die minimale Konformitätsstufe) muss die Webseite alle Erfolgskriterien der Stufe A erfüllen oder es wird eine konforme Alternativversion zur Verfügung gestellt. Die vollständige Richtlinie für barrierefreie Webseiten (WCAG 2.0) ist als deutschsprachige Übersetzung unter http://www.w3.org/Translations/WCAG20-de/ abrufbar.

    So ist z.B. Layout per Tabellen oder Bilder bzw. Animationen ohne beschreibenden Alternativtexte nicht erlaubt. Dies sind aber nur 2 Beispielen aus vielen Kriterien, die erfüllt werden müssen.

    Eigene Webanwendungen benötigen, sofern sie personenbezogene Daten verarbeiten, eine Freigabe durch den Datenschutzbeauftragten.

    Davon unabhängig dürfen grundsätzlich Webseiten der JMU nicht Daten von externen Diensten per JavaScript oder iFrames nachladen, da dann ohne Wissen des Benutzers dessen IP-Adresse an den externen Dienst übermittelt wird. So dürfen auch Ressourcen wie Schriftarten oder JavaScript-Bibliotheken nicht aus öffentlichen CDN-Netzwerken abgerufen werden.

    Die Universität Würzburg und ihre Einrichtungen sind unter der Domain uni-wuerzburg.de im Internet erreichbar. Die Details zur Domainvergabe an der JMU regeln die "Richtlinien zur Vergabe von Domainnamen in der Universität Würzburg".

    Beachten Sie, dass im zentralen WCMS TYPO3 keine neuen Domains mehr vergeben werden, sondern in Analogie zur o.g. Richtlinie neue Auftritte als Pfad unter der entsprechenden Fakultät bzw. Einrichtung angelegt werden.

    Das Rechenzentrum registriert daher nur Subdomains zu "uni-wuerzburg.de" und nicht Domains außerhalb dieser. Auch ist es nicht ratsam, Domains außerhalb der Domain "uni-wuerzburg.de" zu verwenden, da durch die Vernetzung der Seiten der Domain "uni-wuerzburg.de" bei Suchmaschinen wie Google Subdomains zu  "uni-wuerzburg.de" i.A. eine signifikant besseres Ranking erreichen können.

    Alle Webauftritte müssen ein gültiges Impressum und eine gültige Datenschutzerklärung besitzen.

    Egal ob eine Webanwendung selbst entwickelt, eingekauft oder eine Open-Source-Anwendung betrieben wird, es ist stets höchster Wert auf die IT-Sicherheit zu legen. Dies bedeutet z.B. dass jeweils nur die aktuellste Version einer Software zu verwenden ist, bzw. diese regelmäßig upzudaten ist. Rechnen Sie für die jährliche Pflege von Webanwendung ca. 10%-20% der initialen Kosten in Ihr Budget ein.

    Software mit bekannten Sicherheitslücken darf nicht im Netz der JMU betrieben werden!

    Der Dienst Webhosting ist gedacht für Webpräsentationen und aufgrund seiner Architektur nicht geeignet zur Verarbeitung von schützenswerten personenbezogenen Daten. Daher dürfen Sie keine Anwendungen dort betreiben, die personenbezogene Daten verarbeiten.

    Der Dienst Webhosting ist nicht geeignet für professionelle Content Management Systeme wie TYPO3, Drupal oder Joomla, da diese umfassendere Anforderungen an Webserver haben.

    Für Dienste auf dem Webhosting Server ist es notwendig, ein technisches Konzept der Anwendung vorzulegen. Hiervon hängt ab, ob der Dienst genehmigt wird und im zweiten Schritt auch außerhalb des Uni-Netzes freigeschaltet wird.

    Folgende Fragen sollten im Konzept beantwortet werden:

    Barrierefreiheit

    Ist die Seite Barrierefrei nach WCAG 2.1?

    Gibt es eine Barrierefreiheitserklärung?

    Gibt es ein Gebärdensprachen-Video zur Erklärung der Navigation?

    Gibt es eine Erklärung der Seite in einfacher Sprache?

    Datenschutz

    Verarbeiten Sie personenbezogene Daten?

    Wenn ja, welche?

    Gibt es eine Datenschutzfreigabe für Ihre Anwendung?

    Wenn nein, warum nicht?

    Gibt es eine Datenschutzerklärung für die Seite?

    Gibt es ein Impressum für die Seite?

    IT-Sicherheit

    Welche Software wird verwendet?

    Wurde diese extern erstellt?

    Gibt es dafür einen Wartungsvertrag?

    Handelt es sich um eine Eigenentwicklung?

    Welche Technologien werden in diese Fall verwendet?

    Wie sieht das Nachhaltigkeitskonzept zur Eigenentwicklung aus

    Vor allem für eine externe Freischaltung benötigen wir, sobald der Webhost intern eingerichtet wurde, Links auf das eigene Impressum, die eigene Datenschutzerklärung und die eigene Barrierefreiheitserklärung. Außerdem eine Kopie des Antrags für den Eintrag ins Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und evtl. erfolgte Stellungsnahme des Datenschutzbeauftragten (aka "Datenschutzfreigabe").