Die Datenschutz-Grundverordnung kommt. Was muss ich an meiner TYPO3-Seite anpassen?

Am 25. Mai 2018 tritt in ganz Europa die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie hat tief greifende Auswirkungen auf fast alle Firmen und auch Auswirkungen auf viele TYPO3-Seiten.

Hier beantworten wir die wichtigsten Fragen:

Was ist die DSGVO?

Eine europaweit einheitliche Regelung, die den Umgang mit personenbezogenen Daten regelt.

Was sind personenbezogene Daten?

Alle Daten, die sich einer einzelnen Person zuordnen lassen. Also z.B. Name, Steuernummer, Telefonnummer, Adresse, email. Selbst die IP zählt zu den personenbezogenen Daten, denn aus ihr lässt sich im Prinzip der Anschluss ermitteln, von dem aus eine Anfrage über das Internet getätigt wurde.

Wo tauchen personenbezogene Daten in Typo3-Webseiten auf?

Mögliche Orte:

  • bei den angemeldeten Backend-Benutzern (immer!).

  • bei den angemeldeten Frontend-Benutzern (nur in manchen Typo3-Webseiten)

  • bei der Bestellung von Newslettern

  • in Kontaktformularen

  • in individuellen TYPO3-Erweiterungen; in Frage kommen zB. Umfrage- oder Bewerbungs-Tools.

  • Manche Firmen betreuen über die Website Kunden- und Geschäftsdaten. In diesem Fall finden sich möglicherweise Daten nicht nur in der TYPO3-Datenbank, sondern auch im Filesystem und in anderen Datenbanken.

Was darf ich sammeln?

Generell gilt: So wenig wie möglich, so viel wie nötig. Der Gesetzgeber spricht von „Datenminimierung“.

Beispiel Newsletter: Bei der Anmeldung dürfen Sie email-Adresse des Kunden einfordern (offensichtlich nötig), auch seinen Namen, um ihn personalisiert anreden zu können, nicht aber Informationen, die nichts mit dem Zweck (dem Newsletter-Versand) zu tun haben.

Zur Datenminimierung gehört auch der Grundsatz „data protection by default“ (datenschutz-freundliche Voreinstellungen): Sie müssen Ihre Voreinstellungen so auslegen, dass Sie möglichst sparsam Daten sammlen. Konkret bedeutet das im Fall des Newsletters: Sie dürfen die Bestellung des Newsletters z.B. nicht mit einem vorangeklickten Haken in einem anderen Bestellprozess integrieren.

Wo speichert Typo3 die personenbezogenen Daten?

TYPO3 speichert alle Daten unterschiedslos in einer zentralen Datenbank. Auch im einfachsten Fall sind darin Namen und email-Adressen von Frontend- und Backend-Benutzern vorhanden. Die Datenbank müssen Sie also in jedem Fall ausreichend schützen:

  • technisch: Die Datenbank ist nicht über das Internet auslesbar (durch regelmäßige Updates; das ist schon aus Sicherheitsgründen Ihr ureigenstes Interesse)

  • organisatorisch: Es haben so wenige Menschen wie möglich einen Zugriff auf die Datenbank (auch das ist aus Sicherheitsgründen sowieso zu empfehlen)

  • vertraglich: Alle Personen, die an die Daten gelangen könnten, haben eine Erklärung unterzeichnet, sich an die Grundsätze der DSGVO zu halten.

Verwalten Sie über die Webseite besonders viele personenbezogene Daten, (z.B. Bewerbungsunterlagen, Umfragedaten, Finanzdaten), so sind möglicherweise weitere Systeme an Ihre TYPO3-Anwendung angebunden. Diese müssen dann ebenfalls entsprechend gesichert sein. Im Einzelfall ist eine anwaltliche Beratung erforderlich, um richtig gerüstet zu sein.

Welche Rechte haben meine Kunden?

Die DSGVO hat die Rechte der Kunden weiter geschärft. Diese können jetzt Auskunft einfordern über die gespeicherten Daten und wohin diese eventuell weiter gereicht wurden. Zudem können sie die Löschung der gespeicherten Daten verlangen.

Wie schwierig dies umzusetzen ist, hängt vom Einzelfall ab. In einfachen TYPO3-Installationen müssen Sie nichts unternehmen: Die Anzahl der gespeicherten personenbezogenen Daten ist so gering, dass Sie Auskünfte und Löschungen bequem händisch erledigen können.

Sind viele Daten von vielen Betroffenen gespeichert, ist es sinnvoll über technische Lösungen nachzudenken.

Brauche ich einen Datenschutzhinweis?

Generell: Ja! Nur wenn Sie eine rein private Seite betreiben, sind sie davon befreit.

Die Datenschutzerklärung muss einfach und leicht verständlich sein, sie muss Ihre Kunden informieren, welche Daten Sie speichern, wo sie gespeichert werden und zu welchem Zweck die Daten verwendet werden.

Hat Ihre Firma einen Datenschutzbeauftragten, sollten Sie seine Kontaktdaten nennen.

Nutzt die Webseite externe Datenverarbeiter oder Services muss im Datenschutzhinweis darauf hingewiesen werden. Dazu gehören:

Zu jedem Dienstleister, den Sie auf der Webseite eingebunden haben, müssen Sie einen entsprechenden Abschnitt in der Datenschutzerklärung vorsehen. Dabei müssen Sie auflisten:

  • ob persönliche Daten erhoben werden

  • an wen sie übermittelt werden

  • und wie so dort genutzt werden

Für die Tools müssen Sie jeweils Möglichkeiten zum Opt-Out zur Verfügung stellen. Die großen Anbieter stellen diese Tools jeweils zu Verfügung; Sie können sie dann verlinken.

Es empfiehlt sich, die Datenschutzerklärung im Footer zu verlinken; so ist sie von überall aus gut erreichbar.

Gibt es eine Übergangsphase?

Im Prinzip ja – doch sie endet am 25.5.2018! In Kraft getreten ist das Gesetz bereits am 24.5.2016.

Wer noch nicht gehandelt hat, sollte es jetzt spätestens tun!


Checkliste der wichtigsten Aktionen:

  • Datenbank gegen unberechtigte Zugriffe gesichert

  • TYPO3 und Extensions sind aktuell

  • Keine überflüssigen Daten erhoben

  • Datenschutz-freundliche Voreinstellungen

  • Web-Formulare per htpps

  • Datenschutz-Erklärung angepasst


Hinweis:

Unsere Fragensammlung ersetzt keine juristische Beratung. Zudem muss jede Firma ihren eigenen Umgang mit personenbezogenen Daten im Lichte der DSGVO umfassend regeln; die TYPO3-Webseite ist dabei nur ein Baustein - allerdings ein wichtiger.