Neue Datenschutzbestimmungen nach DSGVO
Letzte Änderung:
Was bedeutet DSGVO?
Nach einer zweijährigen Übergangsphase trat am 25. Mai 2018 die europaweit gültige Datenschutzgrundverordnung (kurz DSGVO) in Kraft. Mit der DSGVO soll sichergestellt werden, dass personenbezogene Daten bei der automatischen Verarbeitung bestmöglich geschützt sind und so deren ungewollte Weitergabe an Dritte verhindert wird. Auch die beim Aufruf einer Webseite gespeicherten IP-Adressen von Besuchern stellen im Sinne der DSGVO personenbezogene Daten dar. Website-Betreiber sind nach DSGVO verpflichtet, angemessene Technische und Organisatorische Maßnahmen (TOM) zu treffen, um die rechtswidrige Datennutzung durch Dritte zu verhindern.
Verstöße gegen die DSGVO können mit hohen Geldbußen belegt werden können. Eine Umsetzung der notwendigen Maßnahmen ist also dringend zu empfehlen!
TTDSG ab 1.12.2021
Ab dem 01.12.2021 tritt das Telekommunikation-Telemedien-Datenschutz-Gesetz(kurz TTDSG) in Kraft. Es ersetzt die bisherigen Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) im Hinblick auf die EU-weit geltende DSGVO.
Das TTDSG geht über die Vorschriften der DSGVO hinaus:
- es schützt Informationen mit und ohne Personenbezug(also auch Geschäftsinformationen)
- der geschützte Endnutzer kann eine natürliche oder juristische Person sein
Ausnahmen von der Einwilligungspflicht von Cookies gibt es nur noch in zwei Fällen(§25 Abs. 2 TTDSG):
- Wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- Wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Verstöße gegen das TTDSG gelten als Ordnungswidrigkeit und können mit Bußgeldern in Höhe von bis zu 300.000 Euro bestraft werden.
Maßnahmen für mehr Datenschutz von TYPO3 Websites
Die Überprüfung der Website auf DSGVO-Konformität sollte in Organisationen höchste Priorität genießen (auch wenn sie etwas lästig, weil technik-lastig, ist). In unserem Artikel zum Thema Topologie einer Website bekommen Sie einen Überblick, wie die (zu schützenden) Datenströme bei einem Webseitenaufruf in den meisten Fällen fließen.
Wir haben auf Basis unserer Erfahrungen ein paar Punkte zusammengefasst, die besonders wichtig bei der Beachtung der DSGVO-Regeln sind. Als TYPO3 Agentur betrachten wir diese im Folgenden aus dem Blickwinkel von TYPO3:
1. AV-Verträge mit Serviceanbietern
Der "Auftragsverarbeitungsvertrag" (AV-Vertrag) ist eine der wichtigsten formellen Erfordernisse der DSGVO. Sie müssen mit jedem Dienstleister, der Zugriff auf "Ihre Daten" und vor allem denen Ihrer Website-Besucher bekommt und diese verarbeitet, einen solchen Vertrag abschließen. Hierzu zählen neben externen Agenturen und Freelancern auch Ihr Provider und Serviceanbieter wie z.B. Google-Analytics.
Ein AV-Vertrag mit google können Sie wie folgt elektronisch abschließen:
- Loggen Sie sich mit Ihrem Google-Konto ein
- Gehen Sie zu Analytics unter https://analytics.google.com
- Gehen Sie auf Verwaltung (Zahnrad unten links)
- Dann auf Kontoeinstellungen
- Ganz unten können Sie dem "Zusatz zur Datenverarbeitung" zustimmen
2. Eingesetzte Software aktuell halten
Die DSGVO verpflichtet Websitebetreiber, sichere und "auf dem Stand der Technik" befindliche Software einzusetzen (Artikel 32). Insbesondere (aber nicht nur) betroffen: Die serverseitige Scriptsprache PHP und natürlich TYPO3 (siehe auch PHP/TYPO3-Versionen und deren Abhängigkeiten) und das clientseitige JavaScript-Framework jQuery (so finden Sie heraus, welche jQuery-Version SIe verwenden)
Achten Sie darauf, dass Sie immer eine aktuelle PHP- und TYPO3-Version verwenden. Maßgeblich hierfür sind die jeweiligen Release-Pläne und die damit einhergehenden Zeiträume für den Long Term Support.
3. https nutzen
Sobald Ihre Website personenbezogene Daten von Besuchern abfragt (klassisches Beispiel: Kontaktformular), ist die Verschlüsselung der Website mit SSL Pflicht. Eine verschlüsselte Website erkennen Sie an dem Präfix "https://" in der Adresszeile des Browsers. Definieren Sie hierzu in der "Site Configuration" den "Entry Point" unter Angabe von "https://...". Voraussetzung ist, dass Ihr Server für diese Domain ein Zertifikat bereitstellt (mit LetsEncrypt gibt es bereits kostenlose SSL-Zertifikate auf dem Markt). Erzwingen Sie mit Hilfe der .htaccess oder durch Einstellungen in Ihrem Hostingpaket, dass die Domain bei Aufruf mit "http" immer auf "https" umleitet.
Selbst wenn Ihre Website keine Formulare besitzt, empfehlen wir die Verschlüsselung. Grund: Google markiert nicht verschlüsselte Website im chrome-Browser als "unsicher". Nähere Infos dazu in diesem heise-Artikel.
Stellen Sie sicher, dass die Domain mit und ohne "www" sowie mit und ohne "https" immer auf die Hauptdomain mit vorangestelltem "https://" verweist.
Achten Sie außerdem darauf, dass der HTTP Strict-Transport-Security response header (HSTS) gesetzt ist (siehe Punkt 6), so dass vom Client nur noch https-Anfragen an den Server gestellt werden.
4. Cookie Consent
Wenn Ihre Website Cookies verwendet, müssen Sie hierfür die Websitebesucher VORHER um Erlaubnis ("consent") bitten. Ausgenommen sind Cookies, die für den technischen Betrieb der Websites (z.B. Sessioncookies für Warenkorbfunktionen oder geschützte Login-Bereiche) erforderlich sind. Dies geschieht in der Regel über eine Cookie Consent Box, für die wir eine TYPO3 Extension programmiert haben.
Der reine Hinweis mit einem Link zum Deaktivieren von Cookies (sog. OptOut-Verfahren) ist laut EuGH Urteil nicht ausreichend und somit ein Verstoß gegen die Datenschutzbestimmungen (DSGVO).
WICHTIG:
Eine Consent Box ist nicht nur für Cookies erforderlich, sondern für alle Ressourcen (Bsp.: externe Schriftarten, Verwendung von CDNs, usw.) und Anwendungen (Bsp.: Social Media Integration, iframe-Einbindung, etc.).
5. Social Media PlugIns vermeiden
Social Media Plugins (z.B. Facebook-Likes, Twitter-Einbindung, usw.) informieren die Plattform-Betreiber unaufgefordert über jeden Website-Besucher - allein durch den Aufruf der Seite. Das ist ein Verstoß gegen die DSGVO. Unsere Empfehlung lautet in daher ganz klar: Entfernen Sie die PlugIns von Ihrer Website. Erstens bringen sie ohnehin nichts und zweitens verlangsamen sie die Ladezeit der Webseite.
Wenn Sie dennoch nicht auf Social Media PlugIns verzichten möchten, können Sie diese mit unserer Cookie Extension "consent-pflichtig" machen.
6. HTTP Security Header nutzen
Die Verwendung von HTTP Security Headern ist eine weitere Möglichkeit, die eigene Website sicherer zu machen. Die Header weisen Browser z.B. an, Serveranfragen nur über "https" zu stellen( "HTTP Strict-Transport-Security response header" oder kurz HSTS) und vermeiden u.a. Angriffe durch Cross Site Scripting, MIME Sniffing und Clickjacking.
Ob Ihre Website mit diesen Headern ausreichend geschützt ist, können Sie unter https://securityheaders.com testen.
Im Folgenden eine relativ einfache TYPOSCRIPT-Lösung, um wichtige Sicherheitseinstellungen vorzunehmen:
config.additionalHeaders.10.header = Strict-Transport-Security: max-age=31536000; includeSubdomains
config.additionalHeaders.20.header = Referrer-Policy: strict-origin
config.additionalHeaders.30.header = Feature-Policy: geolocation 'none'; midi 'none'; camera 'none'; usb 'none'; magnetometer 'none'; accelerometer 'none'; vr 'none'; speaker 'none'; ambient-light-sensor 'none'; gyroscope 'none'; microphone 'none'
config.additionalHeaders.40.header = Permissions-Policy: geolocation=(), midi=(), camera=(), usb=(), magnetometer=(), accelerometer=(), vr=(), speaker=(), ambient-light-sensor=(), gyroscope=(), microphone=()
config.additionalHeaders.50.header = Content-Security-Policy: frame-ancestors 'self'
config.additionalHeaders.60.header = X-Content-Type-Options: nosniff
Bitte beachten Sie, dass insbesondere der CSP-Header (Content Security Policy) noch viel weitreichender konfiguriert werden kann. Eine detaillierte Beschreibung würde aber (a) den Rahmen dieses Artikels sprengen und (b) aufgrund der jeweils individuellen Gegebenheiten i.d.R. zu unkonkret ausfallen.
7. Externe Ressourcen lokal einbinden
Häufig werden externe Dateien wie z.B. Schriftarten, das Javascript-Framework jQuery oder das CSS-Framework Bootstrap über sogenannte CDN (Content Delivery Networks) eingebunden. Das sind externe Server- die auf der ganzen Welt verteilt - Ressourcen sehr schnell bereitstellen können. Trotz des Geschwindigkeitsarguments empfehlen wir, diese Dateien über den lokalen Server bereit zu stellen.
Maßnahmen zur lokalen Einbindung von jQuery und/oder Bootstrap:
- Download der benötigten Dateien vom externen Server und Upload an geeigneter Stelle auf dem Webserver
- Einbindung über „page.includeCSS“ und „page.includeJS“ (TypoScript)
Maßnahmen zur lokalen Einbindung von Google-Fonts:
Google-Fonts werden in der Regel unter der SIL OpenFont Licence veröffentlicht und gelten somit als Open Source. D.h. Sie können weitgehend frei benutzt werden. Wir empfehlen daher, die Fonts, die man unter https://fonts.google.com/ herunterladen kann, lokal auf dem eigenen Server zu installieren und von dort einzubinden.
8. Datenschutzhinweis (und Impressum)
Zusätzlich zum Impressum sollte auf jeden Fall eine Seite Datenschutzhinweis existieren. Sie dient dazu, datenschutzrechtlichen Informationspflichten nachzukommen. Inhalt und Umfang der Datenschutzseite hängen davon ab, welche Verarbeitungen auf der Website stattfinden. Da eine IP-Adresse ein personenbezogenes Datum darstellt, verarbeitet jede Website zumindest diese Daten(da sie für die technische Verbindung/Kommunikation zwischen Besucher-Gerät und Webserver erforderlich ist) und benötigt somit zwingend einen Datenschutzhinweis.
Mit der Datenschutzerklärung kommt der Verantwortliche einer Website seinen Verpflichtungen gem. Art. 12 EU-DSGVO ff. nach.
Wir sind keine Juristen und können daher keine rechtlich verbindlichen Texte formulieren. Da die Informationen auch sehr individuell sind, sollten Sie zusammen mit Ihrem Entwickler/Ihrer Agentur auf Juristen mit entsprechender Expertise zurückgreifen.
Hinweis: Achten Sie darauf, dass der Datenschutzhinweis auf jeder Seite sichtbar und leicht anklickbar ist.
9. Prinzip der Datenminimierung
Was Sie im Rahmen der DSGVO unbedingt beachten sollten, ist das "Prinzip der Datenminimierung"(Art.5 Absatz 1 (c)):
Empfehlungsbeispiele:
- Für Newsletter-Anmeldungen wird nur die Email-Adresse abgefragt. Wir raten grundsätzlich von personalisierten Newslettern ab.
- Bei Kontaktformularen werden nur die wirklich erforderlichen Felder abgefragt.
- Pflichtfelder werden so minimal wie möglich gehalten. Bei einem Rückrufservice z.B. nur die Telefonnummer
10. Regelmäßige Datenbereinigung
Achten Sie darauf, dass persönliche Daten nur so lange wie nötig gespeichert werden. Die Logfiles des Webservers sollten anonymisierte IP-Adressen enthalten und spätestens nach 60 Tagen gelöscht werden.
Anfragen/Bestellungen oder andere Formulare mit Personenbezug sollten ebenfalls regelmäßig gelöscht werden.
TYPO3 bietet einen scheduler-Task "Table garbage collection", mit dem solche Aufgaben automatisiert durchgeführt werden können(siehe: https://docs.typo3.org/c/typo3/cms-scheduler/master/en-us/Installation/BaseTasks/Index.html).
Beratung und Unterstützung bei der Umsetzung der DGSVO
Im Rahmen unseres TYPO3 Supports unterstützen wir Sie gerne bei der Analyse und Umsetzung der individuellen Anpassungserfordernisse und empfehlen die aus unserer Sicht notwendigen Schritte. Wenn Sie eine TYPO3-Website betreiben, helfen wir Ihnen bei der Umstellung auf https, der Einrichtung eines Cookie-Hinweises auf allen Seiten und Einstellung eines korrekten Datenschutzhinweises inkl. der Option, Webanalyse-Cookies zu deaktivieren.
Jetzt kostenlose Beratung anfordern!
Bitte beachten Sie, dass wir grundsätzlich keine juristische Beratung anbieten können. Die Prüfung auf vollständige und korrekte Einhaltung der DGSVO obliegt daher weiterhin Ihnen und macht ggf. die Einbeziehung einer/s Rechtsanwaltes/anwältin erforderlich.