Seit dem 25. Mai 2018 ist die neue EU Datenschutz Grundverordnung (DSGVO) ausnahmslos in Kraft getreten. Mit der neuen Verordnung gibt es nicht nur allgemeine Textänderungen, sondern auch an für das CMS TYPO3 ändert sich einiges. Ich möchte Euch in diesem Beitrag einmal ein paar Zusammenfassungen aus dem Internet geben. (Wichtig, dies ist keine Rechtsberatung, sondern gilt nur als Hilfsmittel).

Datenschutz-Generator

Für kleinere Projekte, Private Projekte mit keinen großen Content bzw. speziellen Content usw. können wir den Datenschutz-Generator von der Kanzlei Dr. Thomas Schwenke empfehlen.
Dieser erstellt für unterschiedliche Dienstleister und Funktionen in der Webseite vorgefertigte Datenschutz-Texte.
Zum Datenschutz-Generator

SSL Verschlüssung

Sobald Daten über die TYPO3 Webseite verschickt werden, ist es Pflicht eine https-Domain zu erstellen. SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. Dies ist aber noch keine Pflicht wenn keine Daten über die Webseite verschickt werden. D.h für Kontaktformular, Newsletter-Formular, Onlineshop usw. wird eine SSL-Domain benötigt.
Auch Suchmaschinen belohnen mittlerweile https Domains für ein besseres Ranking.
Zum Beitrag http auf https Umstellen inkl. Checkliste

Formulare: Checkbox zur Zustimmung

Für Formulare jeglicher Art (Kontakt, Newsletter, Bestellung, Kommentarbox usw.) muss mit der neuen Bestimmung auf jeden Fall eine Checkbox für die Zustimmung der Datenschutzrichtlinien eingebaut werden.
Beispiel: Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden.

Die gleichen Richtlinien gelten auch für Kommentarfunktionen!

Analytics-Werte abfragen: GoogleAnalytic / Matomo (Piwik)

Wer zum Beispiel auf seiner Webseite Google-Analytic einsetzt, so müssen hier ein paar Sachen angepasst werden.
Wichtigste Anpassung: ga(’set‘, ‚anonymizeIp‘, true);

Hier eine Checkliste von Punkte die noch zusätzlich eingestellt werden können: Google-Analytic Checkliste

Matomo (Piwik)

• Auf die aktuelle Version 3.5 updaten (mit GDPR Features)
• 12 vom Matomo empfohlenen Maßnahmen
• Die richtigen Einstellungen vornehmen (IP-Anonymisierung, regelmäßige Löschung, ggf. alte Daten komplett löschen, wenn diese nicht anonymisiert waren)

Webfonts: Google-Webfonts

Hier gibt es noch nicht wirklich viele richtige Infos, ein Teil schreibt, es reicht wenn im Datenschutz ein Texthinweis mit den Richtlinien der Google-Webfonts steht, ein Teil schreibt, es müssen die Google Webfonts offline herunter geladen werden und per Hand/Code eingebunden werden.
Wir raten auf jeden Fall zu den Datenschutz-Hinweis.

Cookie-Meldung

Sobald Cookie´s auf der TYPO3 Webseite gesetzt werden, müsst Ihr dem Besucher eine Cookie-Meldung für die Bestätigung vorzeigen!
Mit dem Chrome-Entwicklertool (F12) unter „Application“ -> „Cookies“ könnt Ihr prüfen, ob Cookies abgelegt werden.
Wenn ja, so verwenden wir die TYPO3 Extension: mindshape_cookie_hint
Wir haben in Absprache mit dem Ext.-Entwickler (mindshape GmbH) einige neue Funktionen und Ideen einbauen lassen, diese könnt Ihr in der ChanceLog nachlesen.

YouTube & DSGVO: Videos Datenschutzkonform einbetten

Seit neusten bietet YouTube für das einbetten von YouTube-Video´s eine neue URL youtube-nocookie.com an, diese könnt Ihr unter den Einstellungen anhaken:
Dazu geht man unter dem YouTube-Video auf „teilen“ -> „einbetten“ und setzt ein Häkchen bei „Erweiterten Datenschutzmodus aktivieren„.

Socialmedia Button

Hier möchte ich gerne auf einen externen Artikel verweisen:
Die Nutzung von Social Plugins (z. B. Facebook-“Like“- oder „Gefällt mir“-Button) auf Webseiten bewirkt einen vom Besucher unbemerkten Datentransfer von Daten (insbesondere der IP-Adresse) mit den Servern des sozialen Netzwerks – meist an einen unbekannten Ort. Die Verwendung solcher Social Plugins ist daher derzeit rechtlich äußerst riskant, weil der Internetnutzer weder weiß, welche Daten übertragen werden, noch was mit ihnen geschieht.

Datenschützer kritisieren die Social Plugins daher scharf. Alle Webseitenbetreiber, die Page-Plugins im Einsatz haben, haben deshalb laut der aktuellen Rechtsprechung (LG Düsseldorf, Urteil vom 09.03.2016, Az.: 12 O 151/15) wohl eine Aufklärungs- und Einwilligungspflicht gegenüber den Besuchern. Dies nicht nur innerhalb der Datenschutzerklärung, sondern schon bevor die Daten überhaupt erhoben werden. Ergo: Webseiten dürfen den „Gefällt mir“-Button nicht (mehr) ohne ausdrückliche, vor Einlass auf die Webseite erfolgte Einwilligung auf ihren Webseiten integrieren. Ob Ausweichmöglichkeiten wie die 2-Klick-Lösung oder der Shariff-Button des Rätsels Lösung sind, kann nicht mit Sicherheit gesagt werden.

Artikel hier weiterlesen

Wir verwenden für die Socialmedia Button folgende TYPO3 Extension: rx_shariff
Das Plugin hat nur „Share-Links“ aber speichert seit keine Userdaten. Shariff bietet Euch im Grunde die gleiche Funktion wie die Social Media Buttons, mit dem enormen Vorteil, dass keine Daten automatisch von den Besuchern gespeichert werden. Dies bedeutet, dass es zwischen den Besuchern und den Social Media Kanälen erst dann eine Verbindung gibt, wenn der Besucher aktiv einen Beitrag geteilt hat.
Dies dann in den Datenschutz mit aufnehmen.

Ab TYPO3 9.2.1, 8.7.14 und 7.6.28 gibt es DSGVO Änderungen

Mit den neuen TYPO3 Versionen 9.2.1, 8.7.14 und 7.5.28 sind nun auch ein paar neue DSGVO Änderungen mit eingeflossen! Diese könnt Ihr hier nachlesen:
https://typo3.org/article/typo3-921-8714-and-7628-released/

Hier könnt Ihr nun einen Cron-Task anlegen der die IP Adressen anonymisieren kann.
Ebenso gibt es einen neuen Cron-Task der Logs, Protokolle usw. die älter als xx Tage sind gelöscht werden.

Cookie-Daten werden nun nur noch für eingeloggte TYPO3 User angelegt.
Auch youtube-nocookie.com wurde in die neue TYPO3 Version als Standard-Domain für Youtube-Videos mit aufgenommen.
TYPO3 speichert aber auch IP Adressen in der „indexed_search“ und „sys_log“. Diese können ggf. auch via Cron-Task gelöscht werden.

Personenbezogene Daten in TYPO3 anonymisierten

Für Indexed-Search in den Extension-Settings folgendes einstellen (Anleitung)

Install-Tool: basic.trackIpInStatistic = 2

Für den TYPO3 Core kann man die IP-Adresse anonymisieren über (Anleitung)

$GLOBALS['TYPO3_CONF_VARS']['SYS']['ipAnonymization']

Hier noch eine Anleitung für den Scheduler-Task für die Anonymisierung der Bestandsdaten in den Tabellen (Anleitung).

Version 9.3.0 (Sprint-Release 12.06.2018)

Der Version TYPO3 9.3.0 wurde am 12.06.2018 veröffentlicht.
Der Fokus dieses Sprint-Releases lag auch mit der Verbesserungen bezüglich der DSGVO (GDPR) und allgemein auf erhöhter Sicherheit.
Wie im Changelog zu lesen: https://typo3.org/article/typo3-v930-released/

Dazu gibt es nun auch ein TYPO3 DSGVO/GDPR Team, die nun nach und nach neue Funktionen mit in die TYPO3 Versionen aufnehmen:
https://typo3.org/community/teams/typo3-development/initiatives/gdpr/

Georg Ringer hat dazu eine neue TYPO3 Extension erstellt: tx_gdpr
https://github.com/georgringer/gdpr
Hier gibt es eine Free und eine Pay Version, wobei die Pay-Version nicht gerade billig ist.

Impressum / Datenschutz durch Cookie-Banner verdeckt

Wenn ihr einen Cookie-Hinweis (Cookie-Banner) einbindet, z.B. mit der TYPO3 Extension: mindshape_cookie_hint. So wird womöglich der Link zum Impressum oder zum Datenschutz dadurch verdeckt! Das darf nicht passieren! Wichtig ist immer, dass der Datenschutz immer ersichtlich ist.

Auftragsverarbeitungsvertrag (AV-Vertrag)

Einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) muss nach EU-Datenschutz-Grundverordnung (DSGVO) jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister verarbeiten lässt. Unter der alten Terminologie des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.
Hier haben wir einen Muster-Vorlage für den Auftragsverarbeitungsvertrage (AV-Vertrag) von der Firma: activeMind AG
https://www.activemind.de/datenschutz/dokumente/av-vertrag/

TYPO3 Update-Beratung

Sendet uns gerne Eure Anfragen zum Thema DSGVO zu, wir können Eure Webseite prüfen und bei einem TYPO3 Update helfen!
TYPO3 Internetagentur anfragen!