DSGVO und TYPO3: Was ist zu tun?

Ab dem 25. Mai 2018 endet die Schonfrist für die Einführung der Datenschutz-Grundverordnung (DSGVO, englisch: GDPR). Nach diesem Datum drohen hohe Strafen für die Nicht-Einhaltung der Datenschutz-Richtlinie. Mit dem Betrieb einer TYPO3-Webseite werden immer verschiedene personenbezogene Daten gesammelt und verarbeitet. Was müssen TYPO3-Webseitenbetreiber und Agenturen tun, um den DSGVO/GDPR-Anforderungen zu genügen? Wir wir betreuen über 100 TYPO3-Webseiten für unsere Kunden. Folglich mussten wir uns mit dem Thema TYPO3 und DSGVO auseinandersetzen – sowohl für uns selbst, als auch für unsere Kunden. Wir gehen die einzelnen Punkte und Maßnahmen durch, die wir bei unseren Seiten umgesetzt haben, um datenschutzkonform zu werden. Wir freuen uns auf Kommentare und Anregungen, um diese Auflistung hier zu vervollständigen, aber auch offene Fragen zu beantworten. Inhalte

• TYPO3-Programmierer vs. DSGVO-Juristen
• Unser Vorgehen bei der DSGVO-Analyse
• Schritt 1: TYPO3-Webseiten analysieren
• Schritt 2: Datenschutzerklärung prüfen und anpassen
• Schritt 3: TYPO3 und Daten absichern
• Schritt 4: Statistik-Tools (Matomo/Piwik, Google Analytics)
• Schritt 5: Social-Media-Plugins
• Schritt 6: Kontaktformulare (Forms, Powermail)
• Schritt 7: Newsletter (direct mail, dmail subscription, register address)
• Schritt 8: YouTube Videos datenschutzkonform einbinden
• Schritt 9: Extern eingebundene Ressourcen
• Schritt 10: TYPO3 Core & DSGVO
• Schritt 11: FE-User und Logins
• Schritt 12: DSGVO Dokumentation/Verfahrensverzeichnis
• Hilfe: Der User ruft an

TYPO3-Programmierer vs. DSGVO-Juristen

Für lange Zeit haben überlegten wir, ob man als Developer überhaupt unseren Kunden sagen können, was sie zu tun haben – denn als Nicht-Juristen können wir nicht garantieren, dass unsere Maßnahmen auch rechtssicher sind. Dann merkten wir: die Juristen haben zwar schöne Powerpoints, Formulare und Vorlagen, aber keine Antworten auf technische Fragen. Insofern sind wir als TYPO3-Developer mit unserem technischen Wissen gefordert, unseren Kunden technische Lösungen (in DSGVO-Deutsch: TOM – technische und organisatorische Maßnahmen) vorzuschlagen, damit Ihre Webseite die Anforderungen der DSGVO bestmöglich erfüllt.

Unser Vorgehen bei der DSGVO-Analyse

In unserer Analyse stellten wir uns deshalb folgende Fragen:

• Wo werden auf der TYPO3-Webseite personenbezogenen Daten (z.B. Mailadressen, Namen, IP-Adressen etc.) erfasst, gespeichert, verändert, gelöscht?
• Wie kann man es schaffen, dass so wenig wie möglich personenbezogenen Daten erhoben oder gespeichert werden? Oder wie kann man ggf. diese Daten von Anfang an pseudonymisieren?(Stichwort: Privacy by Design)
• Wie kann man diese personenbezogenen Daten besser schützen? (Stichwort: Absicherung der TYPO3-Webseite)
• Wie kann man einmal erhobene personenbezogene Daten auch wieder (fristgerecht) löschen?
• Wird vom Besucher eine Einwilligung eingeholt und transparent gemacht, dass welche Daten erhoben werden?

Was sind also die Maßnahmen, die man ergreifen sollte, um die TYPO3-Webseite datenschutzkonform zu machen?

1. Schritt: TYPO3-Webseite + DSGVO-Analyse

Als Erstes sollte man analysieren: Wo werden bei meiner TYPO3-Webseite überhaupt personenbezogene Daten erfasst, potentiell gespeichert oder verarbeitet und werden die User auch darüber informiert? Folgende Punkte sollte man deshalb bei Seiner Webseite untersuchen:

•  
• Datenschutzerklärung: Habe ich eine Datenschutzerklärung auf meiner Webseite? Ist diese einfach erreichbar? Beinhaltet sie alle notwendigen Punkte?
• Sicherheit: Ist meine Webseite ausreichend abgesichert?
• Statistik-Tools: Verwende ich Statisktik-Tools wie Piwik/Matomo, GoogleAnalytics?
• Social-Media-Plugins: Verwende ich Share-Buttons, Facebook-Boxen oder extern eingebunden Inhalte wie Tweets, YouTube-Videos, Präsentationen etc.)?
• Extern eingebundene Ressourcen: Werden von meiner Webseite extern gehostete Ressourcen geladen (z.B. Webfonts, JavaScript- oder CSS-Libraries)?
• Formulare: Verwende ich Formulare auf meiner Webseite (z.B. mit Forms oder Powermail oder eigenen Extensions)?
• Newsletter-Anmeldungen: Habe ich auf meiner Seite eine Newsletter und/oder eine Newsletter-Anmeldung (z.B. mit Direct Mail Subscription, Register-Address oder externen Newsletter-Tools).
• TYPO3-Core: Welche Daten werden vom TYPO3-Core gespeichert (z.B. System Log, History, Indexed Search Logs)?
• Extern eingebunde Werbung: Binde ich externe Werbung ein (z.B: Google AdSense, Affiliate-Tools)?
• Sonstiges: Gibt es andere Stellen, an denen personenbezogene Daten erhoben, gespeichert oder verarbeitet werden (z.B. Logins, Intranets, Kommentarfunktion, Bestellfunktion, Webshops etc.)?

Wer einen diese Punkte auf seiner TYPO3-Webseite findet, sollte sich aus unserer Sicht überlegen, welche technische und organisatorischen Maßnahmen zu ergreifen sind um den Anforderungen der DSGVO zu genügen. Haben wir etwas vergessen? Wer hier noch mehr Punkte sieht – bitte ab in die Kommentare damit! Danke!

2. Schritt: Datenschutzerklärung prüfen und anpassen

Der erste Schritt ist aus unserer Sicht die oben aufgeführte Analyse der eigenen Webseite. Stelle ich bei der Analyse fest, dass ich mit meiner Webseite personenbezogene Daten erfasse, dann muss ich dies auch in der Datenschutzerklärung erklären. Da auch wir keine Juristen sind, empfehlen wir hier erst einmal, mit einem Online-Datenschutz-Generator anzufangen. Wir fanden den Online-Generator von der Deutschen Gesellschaft für Datenschutz ganz hilfreich. Was dort nicht abgedeckt ist, sollte man vielleicht mit seinem Datenschutz-Juristen besprechen oder nach besten Wissen und Gewissen selbst tippen.

3. Schritt: TYPO3 absichern

Wer mit seiner TYPO3-Webseite personenbezogene Daten erhebt, sollte diese Daten für eine höhere DSGVO-Konformität ausreichend absichern. Dazu gehören auf jeden Fall regelmäßige Sicherheits-Updates von TYPO3-Core und Extensions (am besten gleich den Newsletter der TYPO3 Security Bulletin bestellen). Zweitens sollte man TYPO3 richtig absichern. Hierzu gehören Maßnahmen wie sichere Passwörter, SSL-Verschlüsselung, Serverhygiene und die richtigen Einstellungen im TYPO3-Install-Tool sowie den Extensions. Der Artikel: TYPO3 ausreichend absichern ist zu diesem Thema ein ganz guter Einstieg. Wir wollen diesem Thema nicht noch einen Artikel widmen – es gibt schon genügend davon. Zwei Maßnahmen, die wir dem Artikel noch hinzufügen können sind:

• Passwortrichlinien für TYPO3-Backend-User einführen (Extension "Make BE user password really secure" oder   m:e Backend Security)
• Absichern von Ordnern: Wenn es Ordner gibt, in denen möglicherweise personenbezogene Daten gespeichert werden (z.B. für Bewerbungsformulare oder in Intranets), so sollte man diese mit der .htaccess absichern.
• Vergibt man z.B. in Intranets Zugriff auf Dateien mit personenbezogenen Daten (z.B. Liste mit Mitgliedern oder Kontaktdaten), dann empfehlen wir die TYPO3-Extension FAL Secure Download, um solche Dateien „sicher“ zugänglich zu machen.

4. Schritt: Statistik-Tools & DSGVO

Wer auf seiner Webseite PIWIK/Matomo, Google Analytics oder andere Statistik-Tools nutzt, muss aus unserer Sicht aktiv werden. Achtung: Am 3. Mai 2018 wurde gemeldet (z.B. bei Golem.de), dass aus Sicht deutscher Datenschützer ein Tracking ohne vorheriger Einwillung nicht DSGVO-konform sei. Das würde die gängige Praxis (Cookie Hinweis + Opt-Out) komplett auf den Kopf stellen. Wir sollten alle beobachten, wie diese Diskussion weitergeht! However. Solange wir nicht Genaueres wissen, sollten aus unserer Sicht folgende Maßnahmen ergriffen werden:

Generell

• Datenschutzhinweis anpassen
• Eine Opt-Out-Funktion einbauen
• Cookie Hinweis einbauen
• In den Admin-Panels der Statistik-Tools eine Löschfrist einstellen (bei Matomo gehen 3 Monate, Bei Google Analytics derzeit – glaube ich – minimal 14 Monate)

Matomo (vormals: Piwik) + DSGVO

• Auf die aktuelle Version 3.5updaten (mit GRDP Features)
• Dann die die 12 vom Matomo empfohlenen Maßnahmen umsetzen.
• Die richtigen Einstellungen vornehmen (IP-Anonymisierung, regelmäßige Löschung, ggf. alte Daten komplett löschen, wenn diese nicht anonymisiert waren)

Google Analytics + DSGVO

• Neue Auftragsverarbeitungsvertrag (AVV) schließen. Ab 25. Mai 2018, wenn die EU-Datenschutzgrundverordnung (DSGVO) das deutsche Bundesdatenschutzgesetz ersetzt, entfällt die bislang erforderliche Schriftform hierfür, und deutsche Webseitenbetreiber dürfen Auftragsverarbeitungsverträge per Mausklick abschließen: Dazu einfach in der Verwaltungsansicht von Google Analytics auf Kontoebene in den Kontoeinstellungen ganz unten auf „Zusatz anzeigen“ klicken, dann auf „Zustimmen“ und schließlich abspeichern. Man muss auch eine neue AVV mit Google schließen müssen, wenn der bisherige ADV-Vertrag vor August 2016 abgeschlossen wurde!
• Tracking-Code anpassen (Opt-Out- und Anonymisierungs-Option) und einbauen
• Dieser Beitrag zu Google-Analytics und DSGVO ist lesenwert!

Schritt 5: Social-Media-Plugins und DSGVO

Social Media Elemente wie eingebundene Share-Buttons, Facebook-Boxen oder Embedded Tweets werden vom oft von Fremdservern oder über externe Services geholt. Bezüglich der Like und Share-Buttons würde ich empfehlen, die einfach selber zu bauen als Link mit einem SharerUrl-Parameter (dann werden keine vom User für deren Aufruf übertragen). Eine andere Option ist die TYPO3-Extension Heise Shariff (EXT: rx_shariff) zu nutzen. Damit kann man datenschutzkonforme Share-Button mit der Anzahl der Shares/Likes haben, die aber von TYPO3 per Ajax-Request geholt und ausgegeben werden. Wie das geht, kann man sich im Tx_News Detail-Template abschauen (Achtung: nicht den Namespace im Header vergessen).

Schritt 6: Kontaktformulare (Forms, Powermail) + DSGVO

Mit Kontaktformularen werden fast immer personenbezogene Daten (z.B: Mailadresse, Name, IP) abgefragt . Daher muss man die Webseitenbenutzer zu Beginn des Nutzungsvorgangs, aber spätestens vor Absenden des Formulars über Art, Umfang und Zweck der Erhebung sowie Verwendung von personenbezogenen Daten sowie über die Verarbeitung der Daten in allgemein verständlicher Form aufklären.

• Ein Link auf Ihre vollständige Datenschutzerklärung ist i.d.R. eine simpel umsetzbare Möglichkeit, den Informationspflichten zu genügen.
• Um ganz sicher zu gehen, könnte man über eine Checkbox als Pflichtfeld die Bestätigung der Nutzungsbedingungen abfragen. In Powermail müsste man dazu die Konstante plugin.tx_powermail.settings.misc.htmlForLabels = 1 setzen (Vgl TypoScript Code). Das ist zwar dirty (weil damit XSS möglich wird), aber eine bessere Lösung sehe ich gerade nicht.

Datensicherheit

Zudem nennt Art. 32 Abs. 1 Satz 1 Hs. 2 DSGVO konkrete als Maßnahme zur Datensicherheit die Pseudonymisierung und Verschlüsselung personenbezogener Daten.

• Pseudonymisierung macht aus unserer Sicht hier nicht so richtig Sinn, da man der Person ja auch zurückschreiben will. Insofern muss man es mit dem Zweck rechterfertigen, dass hier personenbezogene Daten erfasst werden.
• Wir selbst arbeiten gerade noch an einer PGP-Extension für den TYPO3-Mailversand. Wer da noch mithelfen will, kann sich gerne bei uns melden.

Löschung

Aus unserer Sicht müssen aber auch alte Powermail-Formular-Antworten fristgerecht gelöscht werden (z.B. nach 3 Monaten/90 Tagen). Powermail-Versionen ab 3.0 haben dafür schon einen Scheduler-Task »garbage collection« voreingerichtet. Bei Powermail-Versionen kann man dazu einen eigenen Task (laut der Doku) einrichten. Dazu muss folgender Code in die AdditionalConfiguration.php (oder ext_localconf.php der eigenen Theme-Extension) einfügen:

$GLOBALS['TYPO3_CONF_VARS']['SC_OPTIONS']['scheduler']['tasks']['TYPO3\CMS\Scheduler\Task\TableGarbageCollectionTask']['options']['tables']['tx_powermail_domain_model_answers'] = array( 'dateField' => 'tstamp',
	'expirePeriod' => '90'
);
$GLOBALS['TYPO3_CONF_VARS']['SC_OPTIONS']['scheduler']['tasks']['TYPO3\CMS\Scheduler\Task\TableGarbageCollectionTask']['options']['tables']['tx_powermail_domain_model_mails'] = array(
	'dateField' => 'tstamp',
	'expirePeriod' => '90'
);

Dann steht auch ein Task für das Löschen von tx_powermail_domain_model_mails und tx_powermail_domain_model_answers zur Verfügung im Task-Planer.

Powermail-Update

Am 7.5.2018 gab es kam zudem die neue Powermail-Version 6.0.0 heraus - ein Release welches ausschließlich GDPR beinhaltet (siehe Release Notes Powermail).

Schritt 7: Newsletter und DSGVO (direct mail, direct mail subscription, register address)

Newsletter-Anmeldungen sind personenbezogene Daten (schon wegen der E-Mail-Adresse). Bereits nach dem Bundesdatenschutzgesetz (BDSG) musste man nachzuweisen, wie E-Mail-Adressen im Verteiler gelandet sind. Ein so genanntes „Double-Opt-In“ genügte i.d.R. um diese Anforderung zu erfüllen. Double-Opt-In heißt:

1. ein Newsletterempfänger trägt die Mailadresse ins Formular ein und
2. bestätigt diese durch einen Klick in der E-Mail.

Dies haben wir für die meisten unserer Kunden auch so eingerichtet.

Newsletter vor der DSGVO

Schon im BDSG gab es eine Nachweispflicht, ein Double-Opt-In tatsächlich erfolgt ist. Dazu bieten wir unseren Kunden schon lange bei jedem Newsletter-Einbau in TYPO3 ein Logging-Tool für Direct Mail Subscription und Register Address an, das die Online-Anmeldung (!) mit den zwei Stufen: 1. Eintrag, 2. Bestätigung gemeinsam mit dem Empfänger-Datensatz speichert. Damit waren unser Kunden bisher auf der sicheren Seite und Sie können aus unserer Sicht die Newsletter-Empfänger-Liste weiter verwenden. Achtung: Man hat aber aus unserer Sicht aber ein rechtliches Problem (das nun auch hohe Strafen nach sich ziehen kann), wenn:

• Bisher kein Double-Opt-In mit Logging-Tool verwendet wurde oder
• Newsletter-Empfänger auf einem anderen Wege als die Online-Anmeldung in die Datenbank/Verteiler aufgenommen wurden (z.B. durch einen manuellen Import)

denn ggf. kann man nicht nachweisen, dass die Empfänger der Verarbeitung zugestimmt haben.

Was ändert sich mit der DSGVO?

Auch hier können wir nur bei Juristen nachlesen und ihnen Glauben schenken – z.B. diesen Artikel hier: E-Mail-Marketing 2018: Was ändert sich durch die DSGVO in Bezug auf Newsletter?) So wie wir die Lage verstehen, kann man die alten Newsletter-Empfänger weiter verwenden, wenn diese BDSG-konform erfasst wurden. Man sollte jetzt aber zusätzlich eine eindeutige Einwilligung einholen und in der Datenschutzerklärung alle Punkte beachten (siehe hier). Technische lösen wir das

• mit dem Logging-Tool (für direct mail subscription und register address), dass die Stufen 1+2, die IP-Adresse auch den Einwilligungstext speichert und
• einer Checkbox im Newsletter-Anmelde-Tempalte mit einem Text wie: „ [ x ] Mit Eintrag Ihrer E-Mail-Adresse erlauben Sie uns, Ihre personenbezogenen Daten zu erheben, zu speichern und zu nutzen und erlauben, Ihnen in unregelmäßigen Abständen Informationen zum Datenschutz und unseren Leistungen/News zu schicken. Mehr Informationen finden Sie in unseren Hinweisen zum Datenschutz“
• Die Datenschutzerklärung prüfen/anpassen

Was tun, wenn ihre Empfänger nicht BDSG-konform erfasst sind Was tun mit den Newsletter-Empängern in der Datenbank, die nicht BDSG-konform erfasst wurden, weil das Double-Opt-In nicht protokoliert wurde oder weil sie dies Empfänger manuell eingetragen/importiert haben? Wie dargelegt, war aus unsere Sicht ein solches Mailing datenschutzrechtlich schon immer bedenklich. Aber außer im Business-Bereich hat bisher kaum jemand geklagt. Dies ändert sich mit der DSGVO, da nun aber Verstöße gegen den Datenschutz verfolgt werden müssen und hohe Strafen drohen. Eigentlich darf man diesen Personen aus unserer Sicht keine Mail mehr schicken und müsste sie eigentlich löschen. Um dies zu umgehen, haben wir ein Newsletter-Bestätigungs-Tools konzipiert (aber noch nicht programmiert!),

• bei dem man einstellen kann, nach welchem Kriterium die Newsletter-Empfänger noch einmal angemailt werden
• das eine E-Mail gemäß diesem Kriterium an die richtigen Empfänger abschickt
• diese Mail beinhaltet ein kurzes Anschreiben, den Einwilligungstext (z.B. der von oben) und einen Button zur Bestätigung der Mailadresse
• mit Klick auf den Button öffnet sich die Webseite, der Kunde erhält eine Meldung wie „Vielen Dank für die Bestätigung Ihre E-Mail-Adresse“
• damit wird in den Newsletter-Empfänger-Datensatz noch einmal in der Datenbank korrekt geloggt (mit Datum+Aktion, IP, Einwilligungstext)

Das Tool ist noch nicht fertig programmiert, Wer daran mitarbeiten will ist herzlich eingeladen. Bitte uns einfach kontaktieren. Wer das Logging-Tool braucht, kann sich gerne bei uns melden via dsgvo(at)undkonsorten.com. Siehe auf unser Tutorial zu TYPO3 Direct Mail

Schritt 8: YouTube Videos + DSGVO

Auch eingebundene YouTube-Videos holen Daten von YouTube ab und verbinden sich mit vielen Servern. Leseempfehlung mit Maßnahmen dazu: YouTube & DSGVO: Videos datenschutzkonform einbetten. Wenn man die Videos selbst mit dem HTML-Element eingebunden hat, so muss man die Embed-Url umstellen auf youtube-nocookie.com:

<iframe src="https://www.youtube.com/..."></iframe>

</iframe>

auf

<iframe src=""https://www.youtube-nocookie.com/..."></iframe>

</iframe>

Mit den nächsen TYPO3-Upates soll dies auch so in den TYPO3-Core wandern, sagt diese Präsentation zu TYPO3 und GDPR. In mit der TYPO3-Extension GDPR von Georg Ringer wird laut Dokumentation noch ein Consent-Overlay über das Video gelegt, das den User warnt, dass mit dem Anschauen des Videos Daten von YouTube übertragen werden.

Schritt 9: Extern eingebundene Ressourcen & DSGVO

Schön war die Zeit, als man einfach und bedenkenlos von GoogleFonts die Schriften oder von einem CDN die jQuery oder Bootstrap-Dateien einbinden konnte. Aus meiner Sicht sollte man dies aber aus Datenschutzgründen unterlassen. Ein Schelm war denkt, Google würde den User über die eingebundenen Fonts tracken ;) Also am Besten mal den HTML-Quelltext, die CSS und das JavaScript-Dateien aufmachen und prüfen, ob extern eingebundene Ressourcen existieren. Mit einer Suche im TypoScript nach

• includeCSS (+ includeCSSLibs, includeCSSLibs)
• includeJS (+ includeJSFooter, includeJSFooterlibs, includeJSLibs)

und in den Fluid-Templates nach

• <script
• <v:asset, {v:asset
• HeaderAssets
• FooterAssets

sollte man extern eingebunden Ressourcen auf die Spur kommen. Es gibt auch ggf. TYPO3-Extensions mit deren Hilfe die JS-Einbindung gemanaged wird. Wenn man hier externe Quellen findet, sollte man diese lokal abspeichern und einbinden.

Schritt 10: TYPO3 Core & DSGVO

Auch TYPO3 selbst speichert personenbezogne Daten. In der Diskussion zu TYPO3 und DSGVO wurde festgestellt, dass in folgenden TYPO3-Core-Tabellen personenbezogene Daten gespeichert werden:

• field »log_data« and »IP« und in table »sys_log«
• field »IP« in table »index_stat_search«

Aus meiner Sicht kann man Erhebung der Daten in der sys_log und sys_history durchaus in der Datenschutzerklärung rechtfertigen: Sie werden für die Sicherheit des Systems benötigt, z.B. Angriffsversuche (»failed login attemps«) auf das TYPO3-Backend zu finden oder auch um versehntlich gelöschte (personenbezogenen) Daten als Redakteur auch wieder herstellen zu können oder um auch ggf. nachweisen zu können, wer Daten gelöscht oder verändert hat.

Personenbezogene Daten in TYPO3 anonymisierten

Es wird jedoch auch bald die Möglichkeit geben, hierfür die IP-Adressen anonymisiert zu speichern. Mit den TYPO3-Versionen 9.2.1, 8.7.14 und 7.6.28 (am 22.05.2018 veröffentlicht) gibt es Anonymisierungseinstellungen im Install-Tool - siehe hier: a. Dann kann man für Indexed-Search in den Extension-Settings folgendes einstellen (vgl. hier

basic.trackIpInStatistic = 2

Für den TYPO3 Core kann man die IP-Adresse anonymisieren über (vgl. hier) 

$GLOBALS['TYPO3_CONF_VARS']['SYS']['ipAnonymization']

Zudem wird es einen Scheduler-Task für die Anonymisierung der Bestandsdaten in den o.g. Tabellen geben (vgl. hier).

Personenbezogene Daten in TYPO3 regelmäßig löschen

Dennoch sollte man auch diese Informationen nicht ewig speichern. Um die personenbezogenen Daten wieder loszuwerden, kann man die Einträge in der sys_log und sys_history regelmäßig löschen. Dies geht mit einem Cronjob und dem Scheduler-Task »garbage collection«. Per default sind werden in der sys_history dabei Einträge gelöscht die älter als 30 Tage und in der sys_log solche die älter als 180 Tage sind. Diese Einstellungen kann man auch anpassen (hier die Doku dafür).

Schritt 11: FE-User, Logins

Auch FE-User sollten – besonders wenn Sie über Intranets an personenbezogene Daten kommen – nicht vergessen werden. Hier sehen wir folgende Maßnahmen:

• Sichere Passwörter für FE-User erzwingen mit der Extension Force fe user data update
• Datenschutzerklärung: Aufklären, welche Daten werden zu welchem Zweck von FE-Usern gespeichert werden?

Schritt 12: DGSVO-konforme Dokumentation und Verfahrensverzeichnis

Da laut DSGVO alle Prozesse/Tätigkeiten bei denen personenbezogene Daten anfallen auch dokumentiert werden müssen, sollten die bei der Analyse gefundenen Einfallstore und die ergriffenen technischen und organisatorischen Maßnahmen (TOM) bzgl. Eurer TYPO3-Webseite auch in einem so genannten Verarbeitungsverzeichnis festgehalten werden. Wir haben uns dazu ein Template erstellt, in dem wir die o.g. Punkte bereits aufgeführt habe. Bei Interesse daran, sprecht und bitte an via dsvo(at)undkonsorten.com.

Hilfe: Der User ruft an.

Die oben genannten Punkte lösen aber nicht nicht die Probleme beim Arbeiten mit personenbezogenen Daten. User haben das Recht, der Speicherung und Verwendung ihrer Daten auch zu widersprechen. Doch wie löscht man denn eigentlich endgültig einen Newsletter-Empfänger oder einen Intranet-User, wenn dieser beim Kunden anruft oder eine Mail schreibt? De facto kann dies derzeit eigentlich nur ein Admin über die Datenbank selbst lösen (aber nicht ein „normaler“ TYPO3-Redakteur). In der Praxis hieße dies, dass jedes Mal die Agentur aktiv werden müsste. Die Extension »GDPR« von Georg Ringer ermöglicht in der Bezahl-Version (ab € 240 für private oder € 1.450 für Business-Anwender) diese Probleme zu beheben. Damit können Datensätze im TYPO3-Backend für Redakteure und Admins versteckt und auch randomisiert werden (siehe hier).

Sehenswert: TUG München + DSVO

Hier das Video der TUG München zur Datenschutz-Grundverornung. Interessant vor allem die Diskussion/Fragen am Ende. Der Rechtsanwalt macht dabei ziemlich klar, dass auch die Agenturen und Developer verantwortlich sind, dass eine Seite die rechtlichen Vorausetzungen erfüllt! <iframe src="https://www.youtube-nocookie.com/embed/aER0ZzL4HY4" width="435" height="255" frameborder="0" allowfullscreen="allowfullscreen"></iframe>

Haben wir etwas vergessen?

Wenn wir etwas übersehen haben sollten, lass es uns bitte wissen. Wer Hilfe braucht, das Logging-Tool für Direct Mail oder uns bei dem Tool für die Newsletter-Bestätigung mithelfen oder uns finanziell dafür unterstützen will -- bitte melden [  dsgvo(at)undkonsorten.com, typo.slack.com > Thomas Alboth ] oder einen Kommentar hinterlassen. Danke!