Bildnachweis: ©Jane_Kelly https://www.istockphoto.com/de/portfolio/Jane_Kelly?mediatype=illustration
Content Management Systeme , 16. Juli 2018

CMS und Extensions DSGVO konform verwenden

Mit dem Start der DSGVO am 25. Mai 2018 sind viele Fragen und neue Herausforderungen entstanden.
Aktuelle Fragestellungen, wie zum Beispiel „Cookie Hinweis ja oder nein?“ oder „Darf ich weiter Google Analytics verwenden?“, werden im Netz diskutiert.

Neben den öffentlich stark diskutierten Themen, bringen der CMS Betrieb und die eingesetzten Erweiterungen (Extensions) aber auch weitere Gefahren in Bezug auf die DSGVO Konformität mit sich.

Schreibt das Content Management System mit?

Als wir die ersten Webseiten auf ihre DSGVO Sicherheit überprüft hatten, wurde schnell klar, dass nicht nur der Einsatz von Google Analytics ein Problem darstellt.

Auch im TYPO3-Core werden Daten gespeichert (z. B. System Log, History, Indexed Search Log).

Hier wurde seitens der TYPO3 Entwickler schnell reagiert und mit den Updates TYPO3 9.2.1, 8.7.14 und 7.6.28 eine Funktion zur Anonymisierung der personenbezogenen Daten (Hier IP-Adressen) in den Logdateien hinzugefügt.

Um die personenbezogenen Daten der Datentabellen sys_log und sys_history wieder loszuwerden, können die Einträge regelmäßig gelöscht werden. Dies geht mit einem sogenannten Cronjob und dem Scheduler-Task „garbage collection“, welche über das TYPO3 Backend eingerichtet werden kann.
In der Standardeinstellung werden in der sys_history dabei Einträge gelöscht, die älter als 30 Tage bzw. in der sys_log solche, die älter als 180 Tage sind.

Hier gilt es auch intern zu prüfen, welche Logdaten vom eingesetzten CMS, z. B. WordPress, mitgeschrieben werden und ob diese DSGVO konform im System hinterlegt sind.

Gelöscht ist nicht gleich gelöscht

Ein besonderer Fallstrick für DSGVO stellt auch das Löschverhalten von Datensätzen in TYPO3 dar. Sobald ein Redakteur im Backend einen beliebigen Datensatz löscht, erscheint dieser auch nicht mehr in der Oberfläche des TYPO3 Backends.

Dennoch ist der Datensatz (z. B. die E-Mail eines Newsletterempfängers) noch in der Datenbank vorhanden. Der Datensatz wurde lediglich mit dem Eintrag „gelöscht“ in der Datentabelle versehen.

Hier gilt es solche Datensätze mittels eines Cronjobs regelmäßig aus der Datenbank zu entfernen.

Erweiterungen prüfen

Nicht nur die CMS Systeme selbst schreiben Informationen in die Datenbanken, die zum Teil personenbezogen und somit nicht Datenschutz konform sind.

Eines der bekanntesten Beispiele stellte aktuell die TYPO3 Formular Erweiterung Powermail dar.
Hier wurden bisher standardmäßig per „Default-Einstellung“ sämtliche mit der Erweiterung versandten Mails in der Datenbank gespeichert. Mit der Veröffentlichung der Version 6.0.0 ist die Extension aber nun DSGVO konform aufgestellt.

Grundsätzlich sollten Websitebetreiber prüfen, welche (personenbezogenen) Informationen von den einzelnen Erweiterungen – unabhängig vom eingesetzten CMS – in der Datenbank gespeichert werden.

Über den Autor

Vom Kaufmann über die Landschaftsarchitektur gestalte ich nun den großen Garten des Internets.Für die VisionConnect GmbH arbeite ich im Webdevelopment Bereich an den Möglichkeiten und Visionen des digitalen Zeitalters. Für Marketing und Innovation bin ich immer zu haben und stehe mit meinen Erfahrungen unseren Kunden bei ihren Projekten zur Seite.