069 37306888Anfahrt

Neue Datenschutzbestimmungen nach DSGVO

Update 8.5.2018

Aus gegebenem Anlass folgendes Update zu unten stehendem Artikel:

In einem Positionspapier hat die deutsche Datenschutzkonferenz am 26. April(4 Wochen vor Inkrafttreten der DSGVO!!!) ihre Auffassung beschrieben, dass Cookies zukünftig nur noch nach expliziter Einwilligung durch Besucher gespeichert werden dürfen(sog. OPT-IN). Die Nutzung von Trackingdiensten(z.B. Google Analytics) machen auf dieser Basis inhaltlich keinen Sinn mehr - ganz abgesehen von der technischen Umsetzbarkeit.

Bislang waren Datenschutzexperten der Meinung, dass auch unter der DSGVO der Hinweis auf die Speicherung von Cookies und die Möglichkeit der Deaktivierung(sog. OPT-OUT) ausreichen würde. Diese Ansicht steht nun also im deutlichen Widerspruch zur Auffassung der Datenschutzkonferenz. 

Wir empfehlen daher, bis auf weiteres auf den Einsatz von Analyse-/Trackingprogramme wie googleAnalytics und Piwik ganz zu verzichten. Alternativ besteht die Möglichkeit, Tools zur Analyse der Logfiles zu verwenden. Im Hinblick auf Analysen zur Suchmaschineoptimierung empfehlen wir die Verwendung der Google Search Console(benötigt keine Cookies). 

Die genauen Bestimmungen des Positionspapiers vom 26. April findet Sie hier: 

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf


Nach einer zweijährigen Übergangsphase tritt am 25. Mai 2018 die europaweit gültige Datenschutzgrundverordnung (kurz DSGVO) in Kraft. Sie ersetzt zukünftig die bislang geltende EU-Datenschutzrichtlinie aus dem Jahr 1995.

Mit der DSGVO soll sicher gestellt werden, dass personenbezogene Daten bei der automatischen Verarbeitung bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird. Auch die beim Aufruf einer Webseite gespeicherten IP-Adressen von Besuchern stellen im Sinne der DSGVO personenbezogene Daten dar. Da sich auch der Datenschutzhinweis ändern wird, gibt es für nahezu jede Website Änderungsbedarf. Ausnahmen sind bestenfalls rein privat betriebene Websites ohne Werbebanner und Cookie-Verwendung.

Zukünftig ist jeder Website-Betreiber gesetzlich dazu verpflichtet, bestimmte datenschutzrechtliche Bestimmungen einzuhalten.

Hierzu zählen u. a. die folgenden Maßnahmen:

  • Individuell ausgestalteter Datenschutzhinweis auf Ihrer Webseite
  • Hinweis auf die Speicherung personenbezogener Daten auf Ihrer Webseite („Cookies“)
  • Hinweis auf die Nutzung von Dritt-Anbietern wie Google, Facebook oder Twitter
  • Standardisierte Deaktivierung von Social-Media-PlugIns
  • Verschlüsselung der Website mit https
  • Verwendung eines sicheren CMS(z.B. TYPO3 ab Version 7.6)

Im Zuge der DSGVO ist es außerdem erforderlich, einen Auftrag zur Datenverarbeitung (kurz AV-Vertrag) mit Dienstleistern, die theoretisch Zugruff auf die Websitedaten(z.B. Logfiles, eMails, Datenbank etc.) haben, zu schließen. Dies sind z.B. Hostingpartner oder Agenturen und Freelancer, die sich um die Betreuung der Website oder der eMail-Accounts kümmern. In einem AV-Vertrag wird geregelt, wie die Unternehmen den Austausch von personenbezogenen Daten regeln und deren Schutz sicherstellen. Der Abschluss eines solchen Vertrages ist für eine Zusammenarbeit zwingend erforderlich.

Verstöße gegen die DSGVO ab dem 25. Mai 2018 können mit hohen Geldbußen belegt werden können. Eine Umsetzung der notwendigen Maßnahmen ist also dringend zu empfehlen!

Was TYPO3-Anwender beachten müssen

Jede Website muss individuell auf DGSVO-Tauglichkeit überprüft werden. Wir haben auf Basis unserer Erfahrungen ein paar Punkte zusammengefasst, die besonders wichtig sind. Als TYPO3 Agentur betrachten wir diese im folgenden aus dem Blickwinkel von TYPO3:

1. SSL-Verschlüsselung

Sobald Ihre Website personenbezogene Daten von Besuchern abfragt(klassisches Beispiel: Kontaktformular), ist die Verschlüsselung der Website mit SSL Pflicht. Eine verschlüsselte Website erkennen Sie an dem Präfix "https://" in der Adresszeile des Browser. Wie Sie Ihre TYPO3-Website mit SSL verschlüsseln und welche zusätzlichen Maßnahmen(sitemap bei google) erforderlich sind, erfahren Sie hier.

Selbst wenn Sie Ihre Website keine Formulare besitzt, empfehlen wir die Verschlüsselung. Grund: google hat angekündigt ab Sommer 2018 nicht verschlüsselte Website im chrome-Browser als "unsicher" zu markieren. Nähere Infos dazu in diesem heise-Artikel.

2. Cookie-Hinweis

Wer auf seiner Website cookies nutzt ist verpflichtet, dem Besucher einen Hinweis darauf zu geben. Ausgenommen sind wohl cookies, die für den technischen Betrieb der Websites(z.B. Sessioncookies für Warenkorbfunktionen oder geschützte Login-Bereiche) erforderlich sind. Wir empfehlen aber, bei jeglicher Nutzung von cookies einen solchen Hinweis zu platzieren. Auf jeden Fall erforderlich ist der Hinweis bei Verwendung von Analyse-Tools wie googleAnalytics oder Matomo(früher Piwik). Und: In diesen Fällen ist zwingend vorgeschrieben, in der Datenschutzerklärung eine Deaktivierung der cookies durch den Besucher zu ermöglichen. (ACHTUNG: Siehe Update am Anfang dieser Seite)

TYPO3-Anwender können für den cookie-Hinweis die Extension mindshape cookie hint verwenden. Sie ist relativ einfach installierbar und im TYPOSCRIPT konfigurierbar.

3. Social Media Plugins

Social Media Plugins(z.B. Facebook-Likes, Twitter-Einbindung, usw.) informieren die Plattform-Betreiber unaufgefordert über jeden Website-Besucher - allein durch den Aufruf der Seite. Das ist ein Verstoß gegen die DSGVO. Sie müssen in Zukunft Besucher vor der automatischen Weitergabe von Informationen an Social Media Betreiber schützen. Das Problem tritt bei den Plugins zum "liken" oder Einbetten von Content auf(nicht zu verwechseln mit Links zu Ihren Social Madia Accounts, die unkritisch sind). Es gibt hierfür zwar Lösungsansätze(siehe z.B. die Shariff-Lösung von heise). Unsere Empfehlung lautet in dieser Hinsicht aber ganz klar: Entfernen Sie die PlugIns von Ihrer Websites. Erstens bringen sie ohnehin nichts und zweitens verlangsamen sie die Ladezeit der Webseite.

4. Aktuelle TYPO3-Version

Die TYPO3 Association hat einen klaren Release-Plan, aus dem hervorgeht, welche TYPO3-Versionen noch mit Sicherheitsupdates versorgt werden. Dies sind zum aktuellen Zeitpunkt(19.4.2018) die LTS-Versionen 7.6 und v8. Gerne unterstützen wir Sie bei Ihrem Update. Achten Sie außerdem darauf, dass die jeweils aktuellen Sicherheitspatches(die 3. Stelle in der Versionsnummer, z.B. 7.6.26, hier also die 26) eingespielt sind. 

5. Datenschutzhinweis

Der Datenschutzhinweis muss auf jeden Fall angepasst werden. Wir sind keine Juristen und können Ihnen daher keine rechtlich verbindlichen Texte formulieren. Wir können Sie aber auf jeden Fall technisch beraten und darauf hinweisen, welche Komponenten berüchsichtigt werden sollten. Sprechen Sie uns einfach an.

Übrigens: Achten Sie darauf, dass der Datenschutzhinweis auf jeder Seite sichtbar und leicht anklickbar ist.

DSGVO Unterstützung ab TYPO3 v9

Mit der neuen TYPO3 Version 9, die für Herbst 2018 angekündigt ist, soll das Kernsystem um diverse "DSGVO-Stellschrauben" erweitert werden. Hierzu zählen u.a. ob, welche und für wie lange persönliche Daten auf dem System gespeichert werden. Extensions sollen dabei ebenfalls berücksichtigt werden. Außerdem wird es einen neuen Scheduler geben, der nach ein definierten Zeit die IP-Adressen der Besucher anonymisiert.

Mehr zum Thema DSGVO(bzw. im Englischen: GDPR = General Data Protection Regulation) direkt auf der Seite der zuständigen Entwickler: TYPO3 GDPR Initiative.

Beratung und Unterstützung bei der Umsetzung der DGSVO

Gerne unterstützen wir Sie bei der Analyse und Umsetzung der individuellen Anpassungserfordernisse und empfehlen die aus unserer Sicht notwendigen Schritte. Wenn Sie eine TYPO3-Website betreiben helfen wir Ihnen bei der Umstellung auf https, der Einrichtung eines Cookie-Hinweises auf allen Seiten und Einstellung eines korrekten Datenschutzhinweises inkl. der Option, Webanalyse-Cookies zu deaktivieren.

Jetzt kostenlose Beratung anfordern!

Call for Action

Call for Action

Bitte beachten Sie, dass wir grundsätzlich keine juristische Beratung anbieten können. Die Prüfung auf vollständige und korrekte Einhaltung der DGSVO obliegt daher weiterhin Ihnen und macht ggf. die Einbeziehung einer/s Rechtsanwaltes/anwältin erforderlich.