Content Management Systeme DSGVO-konform konfigurieren

Datenschleuder Content Management System...

Werbung
Eine wichtige Aufgabe: Die Beachtung der DSGVO beim Betrieb eines Content Management Systems.
Eine wichtige Aufgabe: Die Beachtung der DSGVO beim Betrieb eines Content Management Systems.
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…

Viele Websites werden auf Basis eines Content Management Systems (CMS) entwickelt. Teils geschieht dies aus Kostengründen, teils aber auch, weil sich so schnell und einfach komplexe Community-Funktionen wie Nutzerkommentare und viele andere interaktive Elemente realisieren lassen.

Bislang wurde der Datensammelwut mancher CMS wenig Beachtung geschenkt. Doch seit Einführung der Datenschutz-Grundverordnung (DSGVO) hat sich dies schlagartig geändert:

Das Thema Datenschutz wandelte sich sozusagen über Nacht vom notwendigen Übel hin zu einer essentiellen Komponente, die für den rechtssicheren Betrieb einer Website unerlässlich ist.

Zugriffs-Statistiken, interessenbasierte Werbung, User-Tracking, Verwaltung nutzergenerierter Inhalte – all diese Dinge gilt es nun, datenschutztechnisch unter einen Hut zu bringen.

Oberste Premissen der DSGVO…

Die DSGVO basiert, vereinfacht formuliert, auf zwei Grundgedanken:

  • Datensparsamkeit – also die Minimierung der über Dritte aufgezeichneten und verwerteten personenbezogenen Daten.
  • Transparenz – Offenlegung der Nutzung aller personenbezogenen Daten.

Die DSGVO gilt für alle nicht-privaten Websites, darunter fallen sämtliche kommerziellen Web-Angebote einschließlich solche von Vereinen, Nichtregierungs-Organisationen (NGOs) und Bloggern, deren Inhalte sich an europäische Nutzer richten.

… und was CM Systeme leisten müssen

Daraus ableitend ergeben sich für den Betreiber einer Website die folgenden Aufgabenstellungen:

  • Ermittlung aller automatisch oder manuell gesammelten Nutzerdaten und deren Verwendung.
  • Führung von Nachweisen zur Einwilligung in die Datensammlung durch betroffene Nutzer.
  • Vermeidung unnötiger Datensammlungen, die sich nicht mit Artikel 6 DSGVO („Rechtmäßigkeit der Verarbeitung“) begründen lassen.
  • Zugänglichmachung der Nutzerdaten bei Bedarf zur Erfüllung von Auskunftspflichten gemäß Artikel 15 DSGVO.
  • Gewährleistung weiterer Rechte betroffener Personen, gemäß Artikel 16 bis 21 DSGVO (Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie damit assoziierten Mitteilungspflichten und Widerspruchsrechten).

Grundsätzliche Anforderungen der DSGVO an Websites

Impressum

Die Angabe von Anbieterinformationen ist zwar keine neue Errungenschaft der DSGVO, diese erweitert selbige jedoch auf die Nennung eines Ansprechpartners für datenschutzrelevante Fragen („Verantwortliche Stelle für die Datenverarbeitung“, Datenschutzbeauftragter).

Es reicht jedoch aus, wenn diese Angaben in der Datenschutzerklärung selbst erfolgen.

Datenschutzerklärung

Die extensive Aufklärung des Nutzers über die Aufzeichnung und Verwendung seiner Daten ist nun verpflichtender Bestandteil einer jeden Website. Dabei muss die Datenschutzerklärung in einer verständlichen und leicht zugänglichen Form vorliegen.

Lesetipps zum Thema Datenschutzerklärung:

Cookie-Hinweis

Da nahezu alle Content Management Systeme mehr oder weniger extensiv Cookies selbst bei „einfachen“ Websites einsetzen, ist ein Cookie-Banner mehr oder weniger verpflichtend.

Gemäß §15 Abs. 3 Telemediengesetz (TMG) genügt die Unterrichtung mit Verweis auf das mögliche Widerspruchsrecht (welches dann z.B. in der Datenschutzerklärung detailliert ausgeführt werden kann).

Lesetipps zum Thema Cookies:

Verschlüsselung bei Nutzung von Formularen

Die Nutzung eines SSL-Zertifikats (z.B. als kostenlose Variante von Let’s Encrypt) gehört inzwischen zum guten Ton und wird von den meisten Webentwicklern empfohlen.

Sobald eine Website jedoch Formulare zur Datenübermittlung implementiert, wird ein solches Zertifikat zur Pflicht, da alle personenbezogenen Daten verschlüsselt übertragen werden müssen.

Tipps zur Konfiguration von CM Systemen

Einwilligungserklärung einholen

Für Kommentarbereiche, Diskussionsforen und andere Community-Dienste, die eine Anmeldung erfordern, sollte die explizite Erlaubnis zur Sammlung und Speicherung personenbezogener Daten eingeholt werden.

Idealerweise erfolgt dies bei der erstmaligen Registrierung und wird zusammen mit den Accountdaten des Nutzers in der Datenbank hinterlegt.

Die meisten Content Management Systeme bieten dies inzwischen als fest implementierten Bestandteil der Nutzerverwaltung an. Für externe Plugins ist gegebenenfalls ein Update erforderlich.

Externe Webfonts deaktivieren

Die Einbindung extern gehosteter Webfonts von Google oder anderen Anbietern ist integraler Bestandteil des Layouts vieler Themes. Für den Besucher einer Website bedeutet dies aber auch, daß bei jedem Aufruf seine IP-Adresse an einen Dritten übertragen wird. Im Sinn der DSGVO ein No-Go.

Abhilfe schafft hier entweder die konsequente Deaktivierung von Webfonts und Beschränkung auf Standardschriftarten. Oder aber die lokale Einbindung der Fontsdateien, beispielsiwese mittels Plugins.

Aber Vorsicht – nicht alle Webfonts dürfen aus lizenzrechtlichen Gründen lokal installiert werden. Wird dies vom Lizenzinhaber untersagt, bleibt nur die Suche nach einer alternativen Schrift.

Stichwort „Emojis“

Manche Content Management Systeme binden weitere externe Zeichensätze zur Darstellung von Emojis („Smileys“) und anderen Sonderzeichen automatisch ein. Auch hier gilt: Lokal laden oder deaktivieren.

Plugins, Addons und Extensions prüfen

Ein weiteres Problem besteht in den für die meisten Content Management Systemen angebotenen Zusatzprogramme, gemeinhin als Plugins oder Addons bezeichnet. Viele davon sind nämlich ziemlich geschwätzig und leiten ungefragt Nutzerdaten an Dritte weiter oder implementieren externe Dienste.

Hier hilft nur das Testen jedes einzelnen genutzten Plugins – und gegebenenfalls dessen Deaktivierung. Es sei denn natürlich, die Datensammlung lässt sich in Einklang mit Artikel 6 DSGVO begründen (z.B. berechtigtes Interesse).

Vorsicht ist an dieser Stelle geboten, sobald Plugins Daten an Server außerhalb der europäischen Union senden. In diesem Fall muss gewährleistet sein, daß auch dort alle Vorschriften der DSGVO zum Tragen kommen. Siehe Artikel 44 DSGVO („Allgemeine Grundsätze zur Datenübermittlung“).

Manche Plugins, beispielsweise Analyse-Tools für die Besucherzählung wie Google Analytics oder Matomo, können personenbezogene Daten vor Verarbeitung anonymisieren und lassen sich so (zumindest eingeschränkt) weiter einsetzen.

Website mit Entwickler-Tools des Browsers testen

Einige Webbrowser (z.B. Firefox) liefern spezielle Tools, welche den Datenverkehr einer Website graphisch aufbereitet darstellen können.

Diese Funktionen waren zwar ursprünglich für das Debugging bei Darstellungsproblemen gedacht, können aber auch dazu genutzt werden, um festzustellen, mit welchen Servern sich eine Website verbindet.

Als Webmaster lässt sich so relativ gut nachvollziehen, auf welche externen Dienste die eigene Website zugreift – und ob diese in der Datenschutzerklärung in ausreichender Weise beschrieben wurden.


Stand der Informationen: September 2018
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag !

Werbung