Einfach rechtlich sicher sein.
TYPO3 und die DSGVO

Mit dem TYPO3 Update zu mehr Datenschutz - Stichwort DSGVO

Die Datenschutz-Grundverordnung (DSGVO), die im Mai 2016 vom europäischen Parlament erlassen wurde und anschließend am 25. Mai 2018 in Kraft trat, führte bei vielen Unternehmen vermehrt zu Unsicherheiten, da oft nicht klar war inwieweit die neue Verordnung die eigene Website betrifft. Dabei kamen Fragen auf, wie: Darf ich noch persönliche Daten von meinen Website-Besuchern beziehen? Wie verwende ich Cookies DSGVO konform? Wie verschlüssele ich meine Website mit einer SSL Verschlüsselung?

Seit der TYPO3 v9 werden viele Bestimmungen der DSGVO vom TYPO3 Core berücksichtigt. Diese ermöglichen eine vereinfachte Anpassung Ihrer Website an die neuen Anforderungen, wie bspw. durch das Klassifizieren von Daten als „sensibel“ sowie Anonymisieren der IP-Adressen.

Hinweis: Das Informationsangebot ist keine Rechtsberatung! Wir machen darauf aufmerksam, dass diese Informationen lediglich dem unverbindlichen Informationszweck dienen und keine Rechtsberatung im eigentlichen Sinne darstellen. Der Inhalt dieses Artikels kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.

DSGVO – Was bedeutet DSGVO eigentlich?

Die europäische Datenschutz-Grundverordnung gilt als ein Gesetz zum Schutz der Privatsphäre. Diese umfasst die Beachtung von organisatorischen Strukturen und Prozessen ebenso wie technische Schutzmaßnahmen bei Infrastrukturen und verwendeter Software, bspw. dem Content-Management-System TYPO3. In der DSGVO ist auch geregelt, dass eingesetzte Systeme dem aktuellen Stand der Technik entsprechen müssen (Artikel 32), dazu zählen zum Beispiel regelmäßige TYPO3 Updates zur Behebung von Sicherheitslücken.

Dabei darf man Daten laut den Grundlagen der DSGVO nur dann verarbeiten, wenn:

  • Diese rechtmäßig gegeben wurden und die Verarbeitung transparent ist
  • Die verarbeiteten Daten auf Basis von festgelegten und eindeutigen Zwecken erfolgen
  • Nur Daten verarbeitet werden, die man für einen bestimmten Zweck braucht
  • Die Richtigkeit der Daten gewährleistet ist
  • Die Daten nur solange gespeichert werden, wie sie auch nötig sind
  • Der Schutz der Daten sichergestellt ist

Zu den datenschutzrechtlichen Bestimmungen zählen zum Beispiel auch folgende Maßnahmen, die anschließend genauer erläutert werden:

  • Verschlüsselung der Website mit einer SSL-Verschlüsselung
  • Hinweis auf die Speicherung personenbezogener Daten, wie zum Beispiel Cookies
  • Deaktivierung von Social Media Plug-Ins, wie zum Beispiel einer „like-Funktion“ oder der Einbettung von Content
  • Hinweis auf die Nutzung von Technologien der Drittanbietern, wie zum Beispiel Google und Facebook
  • Individueller Datenschutzhinweis

SSL Verschlüsselung – Eine sichere TYPO3 Website

Kunden können über Ihre TYPO3 Website Daten an Sie schicken? Allein dadurch ist eine SSL-Verschlüsselung auf Grund der DSGVO Pflicht. Denn die SSL-Verschlüsselung dient der sicheren Übertragung von Daten zwischen Server und Computer. Datenübertragungen verlaufen beispielsweise über Kontaktformulare, Newsletter-Formulare oder Online-Shops. Dabei können Sie verschlüsselte Websites an dem Präfix HTTPS:// in der Adresszeile Ihres Browsers erkennen. Falls Sie keine Daten über Ihre TYPO3 Website übertragen, ist diese keine Pflicht. Dennoch ist eine SSL-Verschlüsselung sinnvoll, da Suchmaschinen wie Google Websites mit einer https-Domain besser ranken als Website ohne eine SSL-Verschlüsselung. Ein weiterer Grund ist, dass der Browser Google Chrome nicht verschlüsselte Website als „unsicher“ markiert, was sich wiederum negativ auf die Nutzerzahlen Ihrer Website auswirkt.

DSGVO – Denken Sie an Ihre TYPO3 Formulare

Die Bereitstellung von Formularen ist die offensichtlichste Erfassung von personenbezogenen Daten. Formulare gibt es in jeglicher Art, wie Kontaktformulare, An- bzw. Abmeldefunktionen von Newslettern, Kommentarboxen, etc. Hier ist es wichtig, dass Sie Ihre Website-Besucher durch eine Checkbox auf die Datenschutzrichtlinien aufmerksam machen und sie um eine Zustimmung dieser bitten. Ein weiteres wichtiges Thema ist die (regelmäßige) Löschung der erfassten Daten in Ihrem TYPO3 System, welche in den Datenschutzrichtlinien Ihrer Website erwähnt werden sollte.

Der Hinweis auf Cookies – DSGVO & TYPO3

Bei der Nutzung von Cookies, sind Sie als TYPO3 Website-Betreiber verpflichtet die Nutzer auf die Verwendung dieser hinzuweisen. In Google Chrome können Sie zur Überprüfung über die Taste „F12“ das Entwicklertool aufrufen und dort unter „Application“/ „Cookies“ prüfen, ob auf Ihrer TYPO3 Website Cookies verwendet werden. Es sollte den Besuchern Ihrer TYPO3 Website stets möglich sein diese Cookies zu deaktivieren und trotzdem weiterhin uneingeschränkt die Website zu nutzen.

Jedoch müssen Besucher nicht für alle Cookies Ihrer Website zustimmen. Für Cookies die allein für den technischen Betrieb der Website, wie beispielsweise Session-Cookies für die Warekorbfunktion eines Online-Shops oder geschützte Login-Bereiche erforderlich sind, muss keine Zustimmung (Opt-In) eingeholt werden. Dennoch ist es empfehlenswert bei jeglicher Nutzung von Cookies auf diese hinzuweisen.

Des Weiteren ist es zwingend notwendig die Besucher Ihrer TYPO3 Website auf die Verwendung von Analyse Tools wie Google Analytics oder Matomo hinzuweisen. Die Webanalyse bzw. -tracking Tools werden eingesetzt, um einen Aufschluss über das Nutzerverhalten der Website-Besucher zu erlangen und dieses analysieren zu können. Durch solche Analyse-Tools werden ebenfalls personenbezogene Daten gespeichert und weitergegeben.

DSGVO, TYPO3 und Social Media Plugins

Durch Social Media Plugins, wie beispielsweise der Facebook-Like-Button oder Twitter Einbindungen, übermittelt Ihre TYPO3 System automatisiert Daten an die jeweiligen Plattform Betreiber. Diese Datenübertragung wurde durch die DSGVO verboten, da das Gesetz automatisierte Übertragungen von Daten an Drittanbieter, wie Social Media Plattformen, untersagt und dadurch Website-Besucher schützen möchte.

Es gibt verschiedene Lösungsansätze für das Problem der automatisierten Datenübertragung, in Form von verschiedenen TYPO3 Extensions. Durch diese Extensions werden keine Daten von Besuchern automatisch übermittelt, sondern erst übertragen, wenn diese zugestimmt haben und der Besucher aktiv einen Beitrag beispielsweise teilt.

YouTube zählt zu den Vorreitern im Thema DSGVO-Konformität. Die Plattform bietet schon seit längerer Zeit eine Cookie-freie Einbindung der YouTube-Videos durch die zusätzliche URL: youtube-nocookie.com an. Sie können ganz einfach auf die Plattform gehen, sich ein YouTube Video aussuchen und auf „teilen“ klicken. Anschließend müssen Sie auf Einbetten klicken und dort das Häkchen bei „Erweiterten Datenschutzmodus“ setzen.

TYPO3 und DSGVO – Immer Up-to-date im Datenschutz

Des Weiteren ist es wichtig eine aktuelle TYPO3 Version zu verwenden. Dank dem klaren Release-Plan von TYPO3 ist es gut erkenntlich, welche TYPO3 Versionen noch mit Sicherheitsupdates versorgt und somit durch regelmäßige TYPO3 Updates auf einem sicheren Stand gehalten werden können.

Die aktuellsten LTS-Versionen bilden zurzeit die TYPO3 v9 und v10. Sie sollten stets prüfen ob Sie die aktuellen Security Patches eingespielt haben, um sich vor Sicherheitslücken zu schützen.

Eine weitere wichtige DSGVO Maßnahme ist die Datenschutzerklärung. Diese sollte möglichst einfach für die Nutzer Ihrer Website zugänglich sein, um diese darüber aufzuklären, welche organisatorischen Maßnahmen der Website-Betreiber ergreift um die Privatsphäre der Besucher zu wahren oder welche Tools von Drittanbietern auf der Website eingesetzt werden.