Mit dem TYPO3 Update zu mehr Datenschutz - Stichwort DSGVO

Seit TYPO3 v9 berücksichtigt der TYPO3 Core viele Anforderungen, die für Datenschutz und Sicherheit wichtig sind – etwa durch bessere Möglichkeiten, Daten als „sensibel“ zu klassifizieren oder IP-Adressen zu anonymisieren.

Wichtig: DSGVO-Konformität ist nie „nur“ eine CMS-Frage. Entscheidend sind auch Hosting und Server-Konfiguration, eingesetzte Drittanbieter-Tools, Consent-Management, Aufbewahrungs- und Löschkonzepte sowie klare Prozesse und Zuständigkeiten im Unternehmen.

Hinweis: Dieses Informationsangebot ist keine Rechtsberatung! Wir machen darauf aufmerksam, dass diese Informationen lediglich dem unverbindlichen Informationszweck dienen und keine Rechtsberatung im eigentlichen Sinne darstellen. Der Inhalt dieses Artikels kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.

DSGVO – Was bedeutet DSGVO eigentlich?

Die europäische Datenschutz-Grundverordnung gilt als Gesetz zum Schutz der Privatsphäre. Sie umfasst organisatorische Strukturen und Prozesse ebenso wie technische Schutzmaßnahmen bei Infrastruktur und eingesetzter Software – zum Beispiel beim Content-Management-System TYPO3. In der DSGVO ist zudem geregelt, dass eingesetzte Systeme dem aktuellen Stand der Technik entsprechen müssen (Artikel 32). Dazu zählen auch regelmäßige TYPO3 Updates, um bekannte Sicherheitslücken zu schließen.

Daten dürfen laut den Grundlagen der DSGVO nur dann verarbeitet werden, wenn:

• diese rechtmäßig erhoben wurden und die Verarbeitung transparent ist
• die Verarbeitung auf festgelegten und eindeutigen Zwecken basiert
• nur Daten verarbeitet werden, die für den Zweck tatsächlich nötig sind
• die Richtigkeit der Daten gewährleistet ist
• Daten nur so lange gespeichert werden, wie sie benötigt werden
• der Schutz der Daten sichergestellt ist

Zu den datenschutzrechtlichen Bestimmungen zählen zum Beispiel auch folgende Maßnahmen, die wir im Folgenden genauer erläutern:

• Verschlüsselung der Website mit einer SSL-Verschlüsselung
• Hinweis auf die Speicherung personenbezogener Daten, wie zum Beispiel Cookies
• Deaktivierung von Social Media Plug-Ins, wie zum Beispiel einer „like-Funktion“ oder der Einbettung von Content
• Hinweis auf die Nutzung von Technologien der Drittanbietern, wie zum Beispiel Google und Facebook
• Individueller Datenschutzhinweis
  
  

SSL Verschlüsselung – Eine sichere TYPO3 Website

Können Besucher über Ihre TYPO3 Website Daten an Sie senden – etwa über Kontaktformulare, Newsletter-Anmeldungen oder einen Shop? Dann ist eine TLS/HTTPS-Verschlüsselung eine zentrale Maßnahme, um diese Übertragung zu schützen. Welche Maßnahmen im Sinne der DSGVO „angemessen“ sind, hängt vom Risiko ab. Artikel 32 verweist dabei unter anderem auf den Stand der Technik.

Verschlüsselte Websites erkennen Sie am Präfix HTTPS:// in der Adresszeile Ihres Browsers. In der Praxis ist HTTPS heute ohnehin Standard – auch, weil Browser unverschlüsselte Seiten teils deutlich als „nicht sicher“ markieren und Nutzervertrauen darunter leidet.

DSGVO – Denken Sie an Ihre TYPO3 Formulare

Formulare sind der offensichtlichste Weg, personenbezogene Daten zu erfassen: Kontaktformulare, Newsletter-Anmeldungen, Kommentarboxen und mehr. Hier ist es wichtig, dass Sie Ihre Website-Besucher durch eine Checkbox auf die Datenschutzrichtlinien aufmerksam machen und – je nach Kontext – um eine Zustimmung bitten.

Ein weiteres wichtiges Thema ist die (regelmäßige) Löschung der erfassten Daten in Ihrem TYPO3 System, welche in den Datenschutzrichtlinien Ihrer Website erwähnt werden sollte.

Ergänzung aus der Praxis: Prüfen Sie außerdem, ob Sie wirklich alle abgefragten Felder brauchen (Stichwort Datensparsamkeit), wer intern Zugriff auf Formulardaten hat und welche Aufbewahrungsfristen gelten. So bleibt Datenschutz nicht Theorie, sondern funktioniert im Alltag.

Der Hinweis auf Cookies – DSGVO & TYPO3

Bei der Nutzung von Cookies und ähnlichen Technologien (z. B. Tracking-Pixel, Local Storage) sollten Sie als TYPO3 Website-Betreiber transparent informieren. In Google Chrome können Sie zur Überprüfung über die Taste „F12“ das Entwicklertool aufrufen und dort unter „Application“ / „Cookies“ prüfen, ob auf Ihrer TYPO3 Website Cookies gesetzt werden.

In Deutschland gilt zusätzlich: Neben der DSGVO sind auch die Vorgaben des TDDDG relevant (früher TTDSG).
Grundsätzlich gilt: Für nicht notwendige Cookies und Technologien ist eine Einwilligung erforderlich. Technisch notwendige Cookies (z. B. Login, Warenkorb, Sicherheitsfunktionen) kommen in der Regel ohne Opt-in aus.

Jedoch müssen Besucher nicht für alle Cookies Ihrer Website zustimmen. Für Cookies, die allein für den technischen Betrieb der Website erforderlich sind – wie beispielsweise Session-Cookies für die Warenkorbfunktion eines Online-Shops oder geschützte Login-Bereiche – muss keine Zustimmung (Opt-In) eingeholt werden. Dennoch ist es empfehlenswert, auch bei technisch notwendigen Cookies transparent zu bleiben und diese in der Datenschutzerklärung bzw. im Consent-Tool entsprechend zu kennzeichnen.

Des Weiteren ist es wichtig, die Besucher Ihrer TYPO3 Website auf die Verwendung von Analyse-Tools wie Google Analytics oder Matomo hinzuweisen. Diese Tools werden eingesetzt, um Nutzerverhalten zu analysieren und die Website gezielt zu verbessern. Dabei können personenbezogene Daten verarbeitet werden – umso wichtiger ist eine saubere Einordnung im Consent-Management und in der Datenschutzerklärung.

Praxis-Tipp: Schauen Sie zusätzlich im „Network“-Tab nach, welche Drittanbieter-Requests bereits beim ersten Seitenaufruf ausgelöst werden. Gerade dort verstecken sich oft Dienste, die erst nach Einwilligung laden sollten.

DSGVO, TYPO3 und Social Media Plugins

Social Media Plugins – etwa Like-Buttons, Share-Widgets oder eingebettete Feeds – können dazu führen, dass bereits beim Laden der Seite Daten an Plattform-Betreiber übertragen werden. Das ist datenschutzrechtlich heikel, wenn dafür keine passende Rechtsgrundlage besteht oder Nutzer nicht transparent informiert werden.

Es gibt verschiedene Lösungsansätze, zum Beispiel über TYPO3 Extensions: Bewährt haben sich 2-Klick-Lösungen, das Nachladen externer Inhalte erst nach Einwilligung oder datenschutzfreundlichere Einbettungsvarianten, bei denen Inhalte erst durch eine aktive Nutzeraktion geladen werden.

YouTube bietet dafür beispielsweise den „erweiterten Datenschutzmodus“ an (u. a. über youtube-nocookie.com). Sie können auf YouTube ein Video auswählen, auf „Teilen“ klicken, anschließend „Einbetten“ wählen und dort das Häkchen bei „Erweiterten Datenschutzmodus“ setzen.

TYPO3 und DSGVO – Immer Up-to-date im Datenschutz

Eine aktuelle TYPO3 Version ist ein wichtiger Baustein für Datenschutz und Sicherheit. Dank des klaren Release-Plans von TYPO3 ist gut erkenntlich, welche TYPO3 Versionen noch mit Sicherheitsupdates versorgt und durch regelmäßige TYPO3 Updates auf einem sicheren Stand gehalten werden können.

Stand Februar 2026 ist TYPO3 13.4 LTS die aktuelle LTS-Version. Die nächste LTS-Version ist TYPO3 14.3 LTS und ist für den 21. April 2026 vorgesehen. Sie sollten stets prüfen, ob aktuelle Security Patches eingespielt sind. Denn sobald Sicherheitslücken geschlossen werden, werden sie häufig öffentlich – und damit auch für Angreifer interessant.

Eine weitere wichtige DSGVO-Maßnahme ist die Datenschutzerklärung. Diese sollte möglichst einfach zugänglich sein und verständlich erklären, welche Daten verarbeitet werden, welche Drittanbieter-Tools im Einsatz sind und welche organisatorischen Maßnahmen Sie ergreifen, um die Privatsphäre Ihrer Besucher zu schützen.

TYPO3 DSGVO Quick Check (kurz, aber wirksam)

Wenn Sie beim Thema TYPO3 DSGVO schnell ins Handeln kommen wollen, starten Sie am besten mit den Stellschrauben, die in fast jedem Projekt sofort Wirkung zeigen. Die folgenden Quick Wins sind bewusst pragmatisch: Sie reduzieren typische Risiken, verbessern die technische Basis und schaffen Ordnung bei Tools, Daten und Zugriffsrechten – ohne dass Sie dafür gleich alles neu aufsetzen müssen.

• HTTPS/TLS aktiv und korrekt konfiguriert

• Consent-Management sauber aufgesetzt (notwendig vs. optional)

• Drittanbieter (Analytics/Marketing/Embeds) erst nach Einwilligung nachladen

• Formulare: Datensparsamkeit, transparente Hinweise, Löschkonzept

• Logfiles/Backups: Zugriffe und Aufbewahrungsfristen prüfen

• Backend: Rollen und Rechte nach dem Prinzip „so wenig wie nötig“ vergeben