TYPO3 – Was muss beachtet werden – DSGVO

Seit dem 25. Mai 2018 ist die neue EU Datenschutz Grundverordnung (DSGVO) ausnahmslos in Kraft getreten. Mit der neuen Verordnung gibt es nicht nur allgemeine Textänderungen, sondern auch an für das CMS TYPO3 ändert sich einiges. Ich möchte Euch in diesem Beitrag einmal ein paar Zusammenfassungen aus dem Internet geben. (Wichtig, dies ist keine Rechtsberatung, sondern gilt nur als Hilfsmittel).

Datenschutz-Generator

Für kleinere Projekte, Private Projekte mit keinen großen Content bzw. speziellen Content usw. können wir den Datenschutz-Generator von der Kanzlei Dr. Thomas Schwenke empfehlen.
Dieser erstellt für unterschiedliche Dienstleister und Funktionen in der Webseite vorgefertigte Datenschutz-Texte.
Zum Datenschutz-Generator

SSL Verschlüssung

Sobald Daten über die TYPO3 Webseite verschickt werden, ist es Pflicht eine https-Domain zu erstellen. SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. Dies ist aber noch keine Pflicht wenn keine Daten über die Webseite verschickt werden. D.h für Kontaktformular, Newsletter-Formular, Onlineshop usw. wird eine SSL-Domain benötigt.
Auch Suchmaschinen belohnen mittlerweile https Domains für ein besseres Ranking.
Zum Beitrag http auf https Umstellen inkl. Checkliste

Formulare: Checkbox zur Zustimmung

Für Formulare jeglicher Art (Kontakt, Newsletter, Bestellung, Kommentarbox usw.) muss mit der neuen Bestimmung auf jeden Fall eine Checkbox für die Zustimmung der Datenschutzrichtlinien eingebaut werden.
Beispiel: Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden.

Die gleichen Richtlinien gelten auch für Kommentarfunktionen!

Analytics-Werte abfragen: GoogleAnalytic / Matomo (Piwik)

Wer zum Beispiel auf seiner Webseite Google-Analytic einsetzt, so müssen hier ein paar Sachen angepasst werden.
Wichtigste Anpassung: ga(’set‘, ‚anonymizeIp‘, true);

Hier eine Checkliste von Punkte die noch zusätzlich eingestellt werden können: Google-Analytic Checkliste

Matomo (Piwik)

  • Auf die aktuelle Version 3.5 updaten (mit GDPR Features)
  • 12 vom Matomo empfohlenen Maßnahmen
  • Die richtigen Einstellungen vornehmen (IP-Anonymisierung, regelmäßige Löschung, ggf. alte Daten komplett löschen, wenn diese nicht anonymisiert waren)

Webfonts: Google-Webfonts

Hier gibt es noch nicht wirklich viele richtige Infos, ein Teil schreibt, es reicht wenn im Datenschutz ein Texthinweis mit den Richtlinien der Google-Webfonts steht, ein Teil schreibt, es müssen die Google Webfonts offline herunter geladen werden und per Hand/Code eingebunden werden.
Wir raten auf jeden Fall zu den Datenschutz-Hinweis.

Cookie-Meldung

Sobald Cookie´s auf der TYPO3 Webseite gesetzt werden, müsst Ihr dem Besucher eine Cookie-Meldung für die Bestätigung vorzeigen!
Mit dem Chrome-Entwicklertool (F12) unter „Application“ -> „Cookies“ könnt Ihr prüfen, ob Cookies abgelegt werden.
Wenn ja, so verwenden wir die TYPO3 Extension: mindshape_cookie_hint
Wir haben in Absprache mit dem Ext.-Entwickler (mindshape GmbH) einige neue Funktionen und Ideen einbauen lassen, diese könnt Ihr in der ChanceLog nachlesen.

YouTube & DSGVO: Videos Datenschutzkonform einbetten

Seit neusten bietet YouTube für das einbetten von YouTube-Video´s eine neue URL youtube-nocookie.com an, diese könnt Ihr unter den Einstellungen anhaken:
Dazu geht man unter dem YouTube-Video auf „teilen“ -> „einbetten“ und setzt ein Häkchen bei „Erweiterten Datenschutzmodus aktivieren„.

Socialmedia Button

Hier möchte ich gerne auf einen externen Artikel verweisen:
Die Nutzung von Social Plugins (z. B. Facebook-“Like“- oder „Gefällt mir“-Button) auf Webseiten bewirkt einen vom Besucher unbemerkten Datentransfer von Daten (insbesondere der IP-Adresse) mit den Servern des sozialen Netzwerks – meist an einen unbekannten Ort. Die Verwendung solcher Social Plugins ist daher derzeit rechtlich äußerst riskant, weil der Internetnutzer weder weiß, welche Daten übertragen werden, noch was mit ihnen geschieht.

Datenschützer kritisieren die Social Plugins daher scharf. Alle Webseitenbetreiber, die Page-Plugins im Einsatz haben, haben deshalb laut der aktuellen Rechtsprechung (LG Düsseldorf, Urteil vom 09.03.2016, Az.: 12 O 151/15) wohl eine Aufklärungs- und Einwilligungspflicht gegenüber den Besuchern. Dies nicht nur innerhalb der Datenschutzerklärung, sondern schon bevor die Daten überhaupt erhoben werden. Ergo: Webseiten dürfen den „Gefällt mir“-Button nicht (mehr) ohne ausdrückliche, vor Einlass auf die Webseite erfolgte Einwilligung auf ihren Webseiten integrieren. Ob Ausweichmöglichkeiten wie die 2-Klick-Lösung oder der Shariff-Button des Rätsels Lösung sind, kann nicht mit Sicherheit gesagt werden.

Artikel hier weiterlesen

Wir verwenden für die Socialmedia Button folgende TYPO3 Extension: rx_shariff
Das Plugin hat nur „Share-Links“ aber speichert seit keine Userdaten. Shariff bietet Euch im Grunde die gleiche Funktion wie die Social Media Buttons, mit dem enormen Vorteil, dass keine Daten automatisch von den Besuchern gespeichert werden. Dies bedeutet, dass es zwischen den Besuchern und den Social Media Kanälen erst dann eine Verbindung gibt, wenn der Besucher aktiv einen Beitrag geteilt hat.
Dies dann in den Datenschutz mit aufnehmen.

Ab TYPO3 9.2.1, 8.7.14 und 7.6.28 gibt es DSGVO Änderungen

Mit den neuen TYPO3 Versionen 9.2.1, 8.7.14 und 7.5.28 sind nun auch ein paar neue DSGVO Änderungen mit eingeflossen! Diese könnt Ihr hier nachlesen:
https://typo3.org/article/typo3-921-8714-and-7628-released/

Hier könnt Ihr nun einen Cron-Task anlegen der die IP Adressen anonymisieren kann.
Ebenso gibt es einen neuen Cron-Task der Logs, Protokolle usw. die älter als xx Tage sind gelöscht werden.

Cookie-Daten werden nun nur noch für eingeloggte TYPO3 User angelegt.
Auch youtube-nocookie.com wurde in die neue TYPO3 Version als Standard-Domain für Youtube-Videos mit aufgenommen.
TYPO3 speichert aber auch IP Adressen in der „indexed_search“ und „sys_log“. Diese können ggf. auch via Cron-Task gelöscht werden.

Personenbezogene Daten in TYPO3 anonymisierten

Für Indexed-Search in den Extension-Settings folgendes einstellen (Anleitung)

Install-Tool: basic.trackIpInStatistic = 2

Für den TYPO3 Core kann man die IP-Adresse anonymisieren über (Anleitung)

$GLOBALS['TYPO3_CONF_VARS']['SYS']['ipAnonymization']

Hier noch eine Anleitung für den Scheduler-Task für die Anonymisierung der Bestandsdaten in den Tabellen (Anleitung).

Version 9.3.0 (Sprint-Release 12.06.2018)

Der Version TYPO3 9.3.0 wurde am 12.06.2018 veröffentlicht.
Der Fokus dieses Sprint-Releases lag auch mit der Verbesserungen bezüglich der DSGVO (GDPR) und allgemein auf erhöhter Sicherheit.
Wie im Changelog zu lesen: https://typo3.org/article/typo3-v930-released/

Dazu gibt es nun auch ein TYPO3 DSGVO/GDPR Team, die nun nach und nach neue Funktionen mit in die TYPO3 Versionen aufnehmen:
https://typo3.org/community/teams/typo3-development/initiatives/gdpr/

Georg Ringer hat dazu eine neue TYPO3 Extension erstellt: tx_gdpr
https://github.com/georgringer/gdpr
Hier gibt es eine Free und eine Pay Version, wobei die Pay-Version nicht gerade billig ist.

Impressum / Datenschutz durch Cookie-Banner verdeckt

Wenn ihr einen Cookie-Hinweis (Cookie-Banner) einbindet, z.B. mit der TYPO3 Extension: mindshape_cookie_hint. So wird womöglich der Link zum Impressum oder zum Datenschutz dadurch verdeckt! Das darf nicht passieren! Wichtig ist immer, dass der Datenschutz immer ersichtlich ist.

Auftragsverarbeitungsvertrag (AV-Vertrag)

Einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.
Hier haben wir einen Muster-Vorlage für den Auftragsverarbeitungsvertrage (AV-Vertrag) von der Firma: activeMind AG
https://www.activemind.de/datenschutz/dokumente/av-vertrag/

TYPO3 Update-Beratung

Sendet uns gerne Eure Anfragen zum Thema DSGVO zu, wir können Eure Webseite prüfen und bei einem TYPO3 Update helfen!
TYPO3 Internetagentur anfragen!

Eure Meinung zu dem Artikel ist gefragt! Schreibt mir ein Kommentar

Hat Euch der Artikel weitergeholfen oder gefallen?
Ich freue mich auf einen Blick auf meine Amazon-Wunschliste. Vielen Dank!

Hat Euch der Artikel geholfen oder gefallen?
Ich freue mich auf einen Blick auf meine Amazon-Wunschliste.
Krypto-Donate an:
BTC: 1Emte6AxnifWqt7N8vSqSF7JK1K6CYuBj4
LTC: Lfs2F8DabYuunxYw2ym9CRLAMBKZUaaBNh
ETH: 0x95298b41564f070bc83bc76159bb7804d26483d6
Vielen Dank!

Ich bin freiberuflicher TYPO3-Entwickler, Web-Entwickler und Frontend-Entwickler. Ich arbeite im und für das Web etwas mehr als 12 Jahre. Mehr Infos zu der TYPO3 Internetagentur - INGENIUMDESIGN.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

4 Kommentare

  1. Johannes C. Laxander

    Danke für die Zusammenfassung.

    Allerdings gehe ich mit der Aussage „Für Formulare jeglicher Art (Kontakt, Newsletter, Bestellung, Kommentarbox usw.) muss mit der neuen Bestimmung auf jeden Fall eine Checkbox für die Zustimmung der Datenschutzrichtlinien eingebaut werden.“ nicht konform. Worauf begründet sich diese Maßnahme?

    Ich frage deshalb, weil ich selbst dieses Thema in der Facebook-Gruppe „DSGVO & TYPO3“ (https://www.facebook.com/groups/2057028634539312/) angestoßen habe, und hier eigentlich keine Bestätigung für eine Checkbox erhalten habe. Im Gegenteil, siehe hier: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/.

  2. Bertram wir haben mal eine Link zu einer Vorlage hinzugefügt.
    Danke Dir

  3. Hallo,

    vielen Dank für die Zusammenfassung; gerade die neuen Funktionen in TYPO3 habe ich zuvor nicht finden können. Einen Hinweis zum „Cookie Hint“. Ganz persönlich gehen mir diese Cookie-Hinweis ziemlich auf die Nerven; besonders in der mobilen Ansicht. Vor lauter Banner kann man die Seite nicht mehr sehen. Wäre es rechtlich sinnvoll, würde ich mich über den Gesetzgeber aufregen, denn jeder kann in seinem Browser den Umgang mit Cookies regeln.

    In Deutschland gab es jedoch noch nie eine gesetzliche Festlegung auf ein Opt-In Verfahren. Und neu: Art. 6 Abs. 1 lit f DSGVO erlaubt die Nutzung von Cookies in bestimmten Fällen, die in den meisten Fällen zutreffen. Dieser Artikel muss in der Datenschutzerklärung erwähnt werden und das war’s.

    Ich würde mich freuen, wenn wir in diesem Zusammenhang nicht das Banner-O-Rama unnötig ausweiten und dieses unnötige aber störende Verfahren Webentwicklern empfehlen.

    Viele Grüße
    Martin

  4. Eine sehr schöne Zusammenfassung, was man in TYPO3 bei der DSGVO beachten sollte. Vielleicht ergänzt du noch einen Hinweis auf die Auftragsverarbeitungs-Verträge (AV-Verträge). Ohne den dürfen Webdienstleister eigentlich nicht mehr arbeiten.

Next ArticleTYPO3 - Livegang Checkliste