Neue Datenschutzbestimmungen nach DSGVO

Letzte Änderung:

Was bedeutet DSGVO?

Nach einer zweijährigen Übergangsphase trat am 25. Mai 2018 die europaweit gültige Datenschutzgrundverordnung (kurz DSGVO) in Kraft. Mit der DSGVO soll sichergestellt werden, dass personenbezogene Daten bei der automatischen Verarbeitung bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird. Auch die beim Aufruf einer Webseite gespeicherten IP-Adressen von Besuchern stellen im Sinne der DSGVO personenbezogene Daten dar. Website-Betreiber sind nach DSGVO verpflichtet, angemessene Technische und Organisatorische Maßnahmen (TOM) zu treffen, um die rechtswidrige Datennutzung durch Dritte zu verhindern. 

Verstöße gegen die DSGVO können mit hohen Geldbußen belegt werden können. Eine Umsetzung der notwendigen Maßnahmen ist also dringend zu empfehlen!


Maßnahmen für mehr Datenschutz von TYPO3 Websites

Die Überprüfung der Website auf DSGVO-Konformität sollte in Organisationen höchste Priorität genießen (auch wenn sie etwas lästig, weil technik-lastig, ist). In unserem Artikel zum Thema Topologie einer Website bekommen Sie einen Überblick, wie die (zu schützenden) Datenströme bei einem Webseitenaufruf in den meisten Fällen fließen. 

Wir haben auf Basis unserer Erfahrungen ein paar Punkte zusammengefasst, die besonders wichtig bei der Beachtung der DSGVO-Regeln sind. Als TYPO3 Agentur betrachten wir diese im Folgenden aus dem Blickwinkel von TYPO3:


1. AV-Verträge mit Serviceanbietern

Der "Auftragsverarbeitungsvertrag" (AV-Vertrag) ist eine der wichtigsten formellen Erfordernisse der DSGVO. Sie müssen mit jedem Dienstleister, der Zugriff auf "Ihre Daten" und vor allem denen Ihrer Website-Besucher bekommt und diese verarbeitet, einen solchen Vertrag abschließen. Hierzu zählen neben externen Agenturen und Freelancern auch Ihr Provider und Serviceanbieter wie z.B. Google-Analytics.

Ein AV-Vertrag mit google können Sie wie folgt elektronisch abschließen:

  • Loggen Sie sich mit Ihrem Google-Konto ein
  • Gehen Sie zu Analytics unter https://analytics.google.com 
  • Gehen Sie auf Verwaltung (Zahnrad unten links)
  • Dann auf Kontoeinstellungen
  • Ganz unten können Sie dem "Zusatz zur Datenverarbeitung" zustimmen

2. PHP und TYPO3 aktuell halten

Die DSGVO verpflichtet Websitebetreiber, sichere und "auf dem Stand der Technik" befindliche Software einzusetzen (Artikel 32). Insbesondere (aber nicht nur) betroffen: Die serverseitige Scriptsprache PHP und natürlich TYPO3 selbst. Mehr Infos hierzu in unserem Artikel zu den einzelnen PHP/TYPO3-Versionen und deren Abhängigkeiten

Achten Sie darauf, dass Sie immer eine aktuelle PHP- und TYPO3-Version verwenden. Maßgeblich hierfür sind die jeweiligen Release-Pläne und die damit einhergehenden Zeiträume für den Long Term Support.


3. https nutzen

Sobald Ihre Website personenbezogene Daten von Besuchern abfragt (klassisches Beispiel: Kontaktformular), ist die Verschlüsselung der Website mit SSL Pflicht. Eine verschlüsselte Website erkennen Sie an dem Präfix "https://" in der Adresszeile des Browsers. Definieren Sie hierzu in der "Site Configuration" den "Entry Point" unter Angabe von "https://...". Voraussetzung ist, dass Ihr Server für diese Domain ein Zertifikat bereitstellt (mit LetsEncrypt gibt es bereits kostenlose SSL-Zertifikate auf dem Markt). Erzwingen Sie mit Hilfe der .htaccess oder durch Einstellungen in Ihrem Hostingpaket, dass die Domain bei Aufruf mit "http" immer auf "https" umleitet.

Selbst wenn Ihre Website keine Formulare besitzt, empfehlen wir die Verschlüsselung. Grund: Google markiert nicht verschlüsselte Website im chrome-Browser als "unsicher". Nähere Infos dazu in diesem heise-Artikel.

Stellen Sie sicher, dass die Domain mit und ohne "www" sowie mit und ohne "https" immer auf die Hauptdomain mit vorangestelltem "https://" verweist.

Achten Sie außerdem darauf, dass der HTTP Strict-Transport-Security response header (HSTS) gesetzt ist (siehe Punkt 6), so dass vom Client nur noch https-Anfragen an den Server gestellt werden.


4. Cookie Consent

Wenn Ihre Website Cookies verwendet, müssen Sie hierfür die Websitebesucher VORHER um Erlaubnis ("consent") bitten. Ausgenommen sind Cookies, die für den technischen Betrieb der Websites (z.B. Sessioncookies für Warenkorbfunktionen oder geschützte Login-Bereiche) erforderlich sind. Dies geschieht in der Regel über eine Cookie Consent Box, für die wir eine TYPO3 Extension programmiert haben.

Der reine Hinweis mit einem Link zum Deaktivieren von Cookies (sog. OptOut-Verfahren) ist laut EuGH Urteil nicht ausreichend und somit ein Verstoß gegen die Datenschutzbestimmungen (DSGVO).

WICHTIG:

Eine Consent Box ist nicht nur für Cookies erforderlich, sondern für alle Ressourcen (Bsp.: externe Schriftarten, Verwendung von CDNs, usw.) und Anwendungen (Bsp.: Social Media Integration, iframe-Einbindung, etc.).


5. Social Media PlugIns vermeiden

Social Media Plugins (z.B. Facebook-Likes, Twitter-Einbindung, usw.) informieren die Plattform-Betreiber unaufgefordert über jeden Website-Besucher - allein durch den Aufruf der Seite. Das ist ein Verstoß gegen die DSGVO. Unsere Empfehlung lautet in daher ganz klar: Entfernen Sie die PlugIns von Ihrer Website. Erstens bringen sie ohnehin nichts und zweitens verlangsamen sie die Ladezeit der Webseite.

Wenn Sie dennoch nicht auf Social Media PlugIns verzichten möchten, können Sie diese mit unserer Cookie Extension "consent-pflichtig" machen.


6. HTTP Security Header nutzen

Die Verwendung von HTTP Security Headern ist eine weitere Möglichkeit, die eigene Website sicherer zu machen. Die Header weisen Browser z.B. an, Serveranfragen nur über "https" zu stellen( "HTTP Strict-Transport-Security response header" oder kurz HSTS)  und vermeiden u.a. Angriffe durch Cross Site Scripting, MIME Sniffing und Clickjacking

Ob Ihre Website mit diesen Headern ausreichend geschützt ist, können Sie unter https://securityheaders.com testen.

Im Folgenden eine relativ einfache TYPOSCRIPT-Lösung, um wichtige Sicherheitseinstellungen vorzunehmen:

config.additionalHeaders.10.header = Strict-Transport-Security: max-age=31536000; includeSubdomains
config.additionalHeaders.20.header = Referrer-Policy: strict-origin
config.additionalHeaders.30.header = Feature-Policy: geolocation 'none'; midi 'none'; camera 'none'; usb 'none'; magnetometer 'none'; accelerometer 'none'; vr 'none'; speaker 'none'; ambient-light-sensor 'none'; gyroscope 'none'; microphone 'none'
config.additionalHeaders.40.header = Permissions-Policy: geolocation=(), midi=(), camera=(), usb=(), magnetometer=(), accelerometer=(), vr=(), speaker=(), ambient-light-sensor=(), gyroscope=(), microphone=()
config.additionalHeaders.50.header = Content-Security-Policy: frame-ancestors 'self'

Bitte beachten Sie, dass insbesondere der CSP-Header (Content Security Policy) noch viel weitreichender konfiguriert werden kann. Eine detaillierte Beschreibung würde aber (a) den Rahmen dieses Artikels sprengen und (b) aufgrund der jeweils individuellen Gegebenheiten i.d.R. zu unkonkret ausfallen.


7. Externe Ressourcen lokal einbinden

Häufig werden externe Dateien wie z.B. Schriftarten, das Javascript-Framework jQuery oder das CSS-Framework Bootstrap über sogenannte CDN (Content Delivery Networks) eingebunden. Das sind externe Server- die auf der ganzen Welt verteilt - Ressourcen sehr schnell bereitstellen können. Trotz des Geschwindigkeitsarguments empfehlen wir, diese Dateien über den lokalen Server bereit zu stellen.

Maßnahmen zur lokalen Einbindung von jQuery und/oder Bootstrap:

  1. Download der benötigten Dateien vom externen Server und Upload an geeigneter Stelle auf dem Webserver
  2. Einbindung über „page.includeCSS“ und „page.includeJS“ (TypoScript)

Maßnahmen zur lokalen Einbindung von Google-Fonts:

Google-Fonts werden in der Regel unter der SIL OpenFont Licence veröffentlicht und gelten somit als Open Source. D.h. Sie können weitgehend frei benutzt werden. Wir empfehlen daher, die Fonts lokal auf dem eigenen Server zu installieren und von dort einzubinden.

Hierzu kann man folgende Schritte durchführen:

  1. Aufruf des Tools https://google-webfonts-helper.herokuapp.com/font
  2. Auswahl Font in der linken Spalte
  3. Auswahl Styles (z.B. "200" oder "200italic")
  4. Überprüfung und ggf. Änderung des Pfads zu den Fonts
  5. Kopie CSS und Integration in die betreffende Website
  6. Download Fonts und Upload auf Server der betreffenden Website
  7. Unterbindung des externen Ladens der Fonts

8. Datenschutzhinweis (und Impressum)

Zusätzlich zum Impressum sollte auf jeden Fall eine Seite Datenschutzhinweis existieren. Wir sind keine Juristen und können daher keine rechtlich verbindlichen Texte formulieren. Da die Informationen auch sehr individuell sind, sollten Sie zusammen mit Ihrem Entwickler/Ihrer Agentur auf Juristen mit entsprechender Expertise zurückgreifen. 

Hinweis: Achten Sie darauf, dass der Datenschutzhinweis auf jeder Seite sichtbar und leicht anklickbar ist.


9. Prinzip der Datenminimierung

Was Sie im Rahmen der DSGVO unbedingt beachten sollten, ist das "Prinzip der Datenminimierung"(Art.5 Absatz 1 (c)):

Empfehlungsbeispiele:

  • Für Newsletter-Anmeldungen wird nur die Email-Adresse abgefragt. Wir raten grundsätzlich von personalisierten Newslettern ab.
  • Bei Kontaktformularen werden nur die wirklich erforderlichen Felder abgefragt.
  • Pflichtfelder werden so minimal wie möglich gehalten. Bei einem Rückrufservice z.B. nur die Telefonnummer

Beratung und Unterstützung bei der Umsetzung der DGSVO

Im Rahmen unseres TYPO3 Supports unterstützen wir Sie gerne bei der Analyse und Umsetzung der individuellen Anpassungserfordernisse und empfehlen die aus unserer Sicht notwendigen Schritte. Wenn Sie eine TYPO3-Website betreiben, helfen wir Ihnen bei der Umstellung auf https, der Einrichtung eines Cookie-Hinweises auf allen Seiten und Einstellung eines korrekten Datenschutzhinweises inkl. der Option, Webanalyse-Cookies zu deaktivieren.

Jetzt kostenlose Beratung anfordern!

Call for Action

Call for Action


Bitte beachten Sie, dass wir grundsätzlich keine juristische Beratung anbieten können. Die Prüfung auf vollständige und korrekte Einhaltung der DGSVO obliegt daher weiterhin Ihnen und macht ggf. die Einbeziehung einer/s Rechtsanwaltes/anwältin erforderlich.