Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist eine vom Europäischen Parlament bzw. Europäischen Rat verabschiedete Verordnung, die dem Schutz personenbezogener Daten von EU-Bürgern dient. Sie wurde im Mai 2016 erlassen und tritt am 25. Mai 2018 in Kraft. Die EU-DSGVO legt u. a. hohe Geldbußen für Verstöße fest - bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem welcher Wert im konkreten Fall höher liegt. Wie bei fast jedem Gesetz zum Schutz der Privatsphäre, benötigt die EU-DSGVO einen ganzheitlichen Ansatz zum Schutz personenbezogener Daten von Kunden und Geschäftspartnern. Dies umfasst die Beachtung von Organisationsstrukturen und -prozessen ebenso, wie technische Schutzmaßnahmen bei Infrastruktur und verwendeter Software. TYPO3 ist als leistungsfähiges quelloffenes Enterprise Web Content Management System steht von Hause aus im Zentrum der Kommunikation mit Kunden und anderen Interessengruppen. Je nach Ausgestaltung der eigenen Marketingprozesse kann es im Rahmen der Neuregelungen der kommenden EU-DSGVO erforderlich sein, Anpassungen vorzunehmen.
Allgemeine Anforderungen der EU-DSGVO an TYPO3-Websites
Die allgemeinen EU-DSGVO-Erfordernisse müssen in der Regel individuell geprüft und analysiert werden. Da IT-Dienstleister und -Agenturen in der Regel keine Rechtsberatung erbringen, sollte eine Kombination aus Rechtsberatung seitens einer Rechtsanwaltskanzlei und technisch-organisatorischer Detail-Expertise durch eine TYPO3-Agentur gewählt werden. Im Netz gibt es hierfür auch vielfältige juristische Quellen und Dienstleistungsangebote, bspw. bei e-recht24.de!
Aus der Natur des Einsatzes eines TYPO3-Systems ergeben sich zumindest folgende technisch-organisatorische Aspekte, die es dabei in der Regel zu analysieren und ggf. anzupassen gilt:
- Eine Datenschutzerklärung beschreibt die notwendigen organisatorischen Maßnahmen, die ein Betreiber einer TYPO3-Website ergreift, um die Privatsphäre von Kunden/ Benutzern zu wahren. Im Hinblick auf die EU-DSGVO gilt es ggf. ältere Datenschutzerklärungen zu aktualisieren oder im Extremfall eine solche erstmalig auf der TYPO3-Website bereit zu stellen. Da es sich im Normalfall um reine Textinhalte handelt, ist die Aufgabe aus TYPO3-Sicht eher eine juristische Frage als ein technisches Problem. Hilfreich sind hier als Ausgangspunkt diverse Generatoren, die im Internet per einfacher Websuche, bspw. mit dem Schlagworten "datenschutzerklärung generator", problemlos auffindbar sind. Diese sollten nach erfolgter Individualisierung allerdings in jedem Fall abschließend juristisch geprüft und via TYPO3 auf der Website jederzeit zugänglich eingepflegt werden.
- Da neben TYPO3 selbst auch weitere Dienstleister und Systeme eingebunden sind (insbesondere Webhoster), ist eine aktualisierte Vereinbarung zur Auftragsverarbeitung zu schließen. Dies muss individuell mit den jeweiligen Dienstanbietern erfolgen. Für TYPO3-Projekte, die im Webhosting den Dienstleister Mittwald nutzen, steht seit einigen Tagen bspw. ein sogenannter "AV-Wizard" bereit, der zur schnellen Erzeugung einer AV-Vertragsvorlage als Ausgangsbasis individueller Regelungen dient. Sprechen Sie dazu Ihren Agenturpartner an.
- Die offensichtlichste Erfassung personenbezogener Daten erfolgt in TYPO3 durch die Bereitstellung von Formularen. In der Regel sind dies Kontakt-Formulare oder bspw. An-/Abmeldefunktionalitäten zu Newslettern. Hier gilt es auf die bereitgestellte Datenschutzerklärung Bezug zu nehmen sowie ggf. die Prozesse in Sachen Datenverarbeitungs-Einwilligung und Double-Opt-In/Werbeeinwilligung sowohl textuell als auch prozessual individuell zu prüfen. Dies gilt u.a. auch für das Thema der (regelmäßigen) Löschung erfasster Daten im System.
- Webtracking: im Normalfall werden auf TYPO3-Websites auch Webanalyse/-tracking-Tools eingesetzt, um Aufschluss über Nutzerverhalten zu geben. Hier gilt es neben einer ggf. nötigen individuellen Betrachtung der Implementierung in jedem Fall entsprechende Informationen über das Webtracking in die Datenschutzerklärung aufzunehmen, die Einbindung des (richtigen) Tracking-Codes zu prüfen / zu aktualisieren (Stichwort Anonymisierung/Pseudonymisierung) sowie via Cookie-Hinweis ein Einverständnis einzuholen bzw. ein Opt-Out zu ermöglichen. Weitergehende Aspekte sind bspw. für Google Analytics in einem Artikel auf der Website Datenschutzbeauftragter-info.de sehr gut beschrieben. Eine damit einhergehende Frage besteht in Hinblick auf die Notwendigkeit der Löschung der Tracking-Daten (Altdaten, laufende automatische Datenlöschung). Hier muss jeweils gesondert abgewägt und entschieden werden, ob und wenn ja in welchem Umfang erfasste Trackingdaten gespeichert bleiben können oder nicht.
- Da TYPO3 zumindest bei komplexeren TYPO3-Installationen immer auch mit Drittanwendungen kommuniziert, gilt es hierbei besondere Sorgfalt walten zu lassen. Welche Drittsysteme sind in welchem Umfang eingebunden? Welche Daten werden aus welchem Grund übertragen? Gibt es Möglichkeiten zu einer besseren Datensparsamkeit oder auch Zentralisierung von Datenströmen. Wir geben hierzu weiter unten Hinweise in Sachen TYPO3 und CRM-Nutzung mit OroCRM.
- Viele TYPO3-Websites verwenden zur Conversion-Optimierung und dem besseren Erfüllen von Nutzerbedürfnissen zudem erweiterte Personalisierungs- und Profilerstellungsfunktionen. Durch die Anforderungen der EU-DSGVO entstehen auch hier ggf. erweiterte Bedarfe an den Schutz der personenbezogenen Daten und es empfiehlt sich, die bereits implementierten oder in Planung befindlichen Personalisierungsprozesse zu prüfen. Katri Metsävuo hat hierzu mit "GDPR - How to continue personalization after May 25th?" einen interessanten und umfangreichen Artikel auf TYPO3.com publiziert, der als Einstieg empfehlenswert ist.
- Weiterhin erfasst auch TYPO3 selbst personenbezogene Daten. Hierzu gibt es neben individuellen Konfigurationslösungen auch eine GDPR-Initiative der TYPO3 Association und eine dazu passende Extension auf Github, auf die wir im folgenden eingehen.
Die TYPO3 EU-DSGVO-Initiative (GDPR Initiative)
Auch für den TYPO3 Core selbst gibt es seit wenigen Tagen spezifische Informationen, auf welche wir hier verweisen möchten. Im Rahmen der Vorbereitungen auf die EU-DSGVO wurde eine eigene Initiative gegründet, die sich mit den für TYPO3 hilfreichen technischen und organisatorischen Aspekten beschäftigt und neben kurzfristigen Entwicklungen auch mittel- und längerfristige Ziele definiert hat. Die EU-DSGVO-Initiative zielt darauf ab, den TYPO3-Kern selbst für die EU-DSGVO vorzubereiten und Kunden, Agenturen und Integratoren Werkzeuge zur Verfügung zu stellen, mit denen sie ihre eigenen Erweiterungen optimieren können, um Datenschutzgesetze einzuhalten. Alle weiteren Informationen finden sich auf TYPO3.org bzw. auf Github.
Mit TYPO3 und einem CRM-System den Erfordernissen (besser) gerecht werden
Generell empfehlen wir den Einsatz eines zentralen und spezialisierten Systems zur Verwaltung aller kundendatenbezogenen Daten und Prozesse. Dies ist in der Regel ein CRM-System, wie bspw. OroCRM. Denn eine Vielzahl der Erfordernisse der EU-DSGVO beziehen sich explizit auf Prozesse und Daten, die in enger Verbindung zu kundenbezogenen Aktivitäten in Marketing, Vertrieb sowie in Bezug auf spezifische digitale Geschäftsmodelle stehen. Doch genau hier liegt in der Praxis das Problem. Nach einer aktuellen Studie der Gartner Inc. (Capterra) nutzt derzeit nur jedes fünfte Unternehmen ein CRM-System zur Verwaltung von Kundendaten und dem ganzheitlichen Management von Kundenprozessen. Oftmals sind noch manuelle Tools wie Excel-Listen oder einfache Werkzeuge zur Kontaktverwaltung von gängigen E-Mail-Clients im Einsatz. Neben der Problematik, dass so Kundendaten nur mühsam gepflegt und aktuell gehalten werden können und deshalb die Gefahr mit sich bringen, veraltet oder vollkommen falsch zu sein, ergeben sich insbesondere aus Sicht der EU-DSGVO erhebliche Probleme. In unserem Blogbeitrag "Den Anforderungen der Datenschutzgrundverordnung (EU-DSGVO) mit einem leistungsfähigen CRM-System begegnen" gehen wir im Detail auf die vielfältigen Aspekte und die wesentlichen Vorteile ein, die durch eine individuelle CRM-Entwicklung - auch im Zusammenhang von CRM-System und CMS-Lösung - entstehen.
Für Unternehmen, die bereits TYPO3 in Kombination mit OroCRM nutzen, steht seitens der Oro Inc. seit einigen Wochen ein umfangreiches Whitepaper bereit, dass wir mit freundlicher Genehmigung der Oro Inc. übersetzt haben und nun auch in deutscher Sprache bereit stellen können.
Die EU-DSGVO und TYPO3 ganzheitlich betrachten
Darüber hinaus gilt es, die sich aus den EU-DSGVO-Regelungen ergebenden Fragen ganzheitlich und im Normalfall unterstützt durch juristische Begleitung zu betrachten. Hilfreich als Einstieg sind hier zudem die Informationsportale der bekannten IT- und Digital-Bundesverbände BVDW und Bitkom. Dort finden sich umfangreiche Informationen, wie Merkblätter und Whitepaper. Zunehmend werden auch Best-Practices und Vertragsvorlagen bereit gestellt, wie zum Beispiel eine Mustervertragsvorlage zur Auftragsverarbeitung seitens des Bitkoms und zu weiterführenden Themen.
Schließlich gilt es ergänzend, den für das eigene Projekt aufgebauten Sicherheitsstandard zu prüfen und ggf. zu optimieren. Neben einer verschlüsselten Datenübertragung mittels SSL bieten sich vielfältige weitere Maßnahmen, um in Sachen Cyber Security auf dem aktuellen Stand zu sein. Seit längerem bieten wir hier beispielsweise eigenentwickelte TYPO3-Extensions zur Erhöhung des Sicherheitsstandards in TYPO3, wie mkphpids (TYPO3-Security und Intrusion Detection Extension) oder mksanitized (Extensions zur automatischen Bereinigung sicherheitsrelevanter Parameter in TYPO3) an.
Haben Sie weitergehende Fragen zur EU-DSGVO und TYPO3?
Sprechen Sie uns gern an.