Drupal Webseiten und die DSGVO
Drupal Webseiten und die Datenschutzgrundverordnung (DSGVO) - Hintergrundbild Nick Hillier von Unsplash

Drupal / Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 tritt die EU-weite Datenschutz-Grundverordnung (DSGVO) in Kraft. 

Diese betrifft auch den Betrieb von Webseiten die auf Drupal als Content Management System basieren.

Als Hersteller und Hoster von vielen Webseiten basierend auf Drupal haben wir uns eingehend mit der DSGVO befasst und stellen hier die wichtigsten Maßnahmen vor, die Webseitenbetreiber ergreifen sollten, um sich entsprechend der Datenschutz-Grundverordnung zu verhalten.

Überblick

Im Jahr 2016 wurde eine EU-weite Richtlinie zum Schutz personenbezogener Daten beschlossen. Diese Richtlinie wird in Deutschland im Rahmen der Datenschutz-Grundverordnung (DSGVO) umgesetzt und tritt am 25. Mai 2018 in Kraft.

Die Verordnung regelt den Umgang mit personenbezogenen Daten in Unternehmen, mit dem Ziel, diese abzusichern und einheitliche Regelungen für den Umgang damit herzustellen. Das betrifft so gut wie alle Unternehmen, da die meisten personenbezogene Daten in irgendeiner Form erheben und verarbeiten (z.B. aufgrund eines Kontaktformulars auf der Webseite).

Erweiterte Rechte für Verbraucher

Verbraucher haben das Recht die Verarbeitungsprozesse ihrer personenbezogenen Daten einzusehen, der Verarbeitung zu widersprechen oder sogar die vollständige Löschung ihrer Daten zu verlangen ("Recht auf vergessen werden" Art. 17 DSGVO).

Dies gilt ebenfalls für Dritte, an die personenbezogene Daten weitergegeben wurden (Google, Piwik, Mailchimp, Cleverreach, CRM, ERP, Helpdesk, Backups, Hosting-Provider, u.s.w).

Bei personenbezogenen Daten handelt es sich um alle Daten, die einer identifizierten Person zugeordnet werden können (Art. 4 DSGVO Abs. 1). Dies umfasst auch online-Kennungen wie IP-Adresse und Cookies.

Mehr Pflichten für Unternehmen

Um Verbrauchern ihre Rechte einzuräumen, sind Unternehmen verpflichtet alle Erhebungs- und Verarbeitungsprozesse aufzulisten und abzusichern.

Dazu gehört u.A. die sichere Konfiguration eingesetzter Software und die Beschränkung des Zugangs zu personenbezogenen Daten auf das notwendige Personal.

Z.B. sollten bei Drupal-Webseite regelmäßig alle Sicherheitsupdates eingespielt werden, und es sollte überprüft werden, welche Benutzer auf personenbezogene Daten (z.B. Kontaktformular, Bestellungen, Benuzterkonten, u.s.w.) Zugriff haben.

Weiterhin müssen Unternehmen ihre Verbraucher über den Umfang und die Gründe für die Datenerhebung informieren und ausreichende Kontaktmöglichkeiten bieten, damit Betroffene Anfragen in Bezug auf ihre Daten stellen können.

Die könnte z.B. durch den Einsatz einer passenden Cookie-Verwendungswarnung und eine rechtlich abgesicherte Datenschutzerklärung umgesetzt werden.

Mögliche Strafen

Bei Verstößen gegen die Datenschutz-Grundverordnung drohen ab Mai Bußgelder in Höhe von bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes betroffener Unternehmen.

Änderungen für den Betrieb von Webseiten

Um Drupal-Webseiten entsprechend der DSGVO zu betreiben, empfehlen wir die Umsetzung folgender Maßnahmen.

Technische Absicherung

Folgende Maßnahmen zur technischen Absicherung sollten im Rahmen der Datenschutz-Grundverordnung umgesetzt werden:

  • Ausschließlich verschlüsselten Zugriff auf Webseiten zulassen
    • Installation eins SSL-Zertifikats (HTTPS)
    • sFTP oder SSH statt FTP
  • Zeitnahe oder automatische Installation von Sicherheitsupdates
  • Verschlüsselung von Backups

Erstellung eines Verzeichnisses aller Datenverarbeitungsprozesse

Im Rahmen der DSGVO sind Unternehmen verpflichtet, alle Erhebungs- und Verarbeitungsprozesse personenbezogener Daten sowie die damit verbundene Folgeverarbeitung durch Dritte systematisch zu verzeichnen.

Üblicherweise werden auf Drupal-Webseiten folgende personenbezogenen Daten erfasst, die im Rahmen der DSGVO verzeichnet werden müssen:

  • Verbindungsdaten (Cookies, IP-Adressen, etc.)
  • Tracking-Daten (Google Analytics, Matomo (Piwik), etc.)
  • Newsletter-Daten (Mailchimp, Cleverreach, Campaign Monitor, etc.)
  • Social-Media-Daten (Facebook, Twitter, Google, etc.)
  • Web-Formulare (Kontaktformular, Feedback, Reklamation, etc.)
  • Benutzerdaten (Anmeldedaten, Kaufdaten, Bearbeitungsdaten, etc.)

Für jede Erfassung müssen mindestens folgende Informationen aufgelistet werden:

  • Bezeichnung
  • Datenkategorie(n)
  • Betroffene Personen
  • Zweck / Begründung der Erhebung  und Verwendung
  • Rechtsgrundlagen
  • Datenquellen
  • Information der Betroffenen
  • Empfänger / Transfer Drittländer
  • Löschung
  • Einschränkung der Verarbeitung
  • Schutzmaßnahmen

 

Beispiel:

Bezeichnung
  • Newsletter
Datenkategorien
  • Stammdaten
  • Anmeldedaten
  • Nutzungsdaten
Betroffene Personen
  • Newsletterempfänger
Zweck
  • Personalisierte Ansprache
  • Nachweis Anmeldung
  • Optimierung der Inhalte
Rechtsgrundlagen
  • Art. 6 DSGVO, Abs. 1
Datenquellen
  • Anmeldung Webseite
  • Ausdrückliche Einwilligung durch Double-Opt-In
Infromation der Betroffenene
  • Beschreibung von Umfang und Zweck der Verarbeitung
  • Möglichkeit zum Widerruf
  • Hinweis auf Datenschutzerklärung
  • Hinweis auf Versanddienstleister Mailchimp
Empfänger / Transfer Drittländer
Löschung
  • Bei Abmeldung oder Antrag auf Löschung
Einschränkung der Verarbeitung
  • Aufbewahrung als Geschäftspost 6 Jahre, §257, Abs. 1 HRB
Schutzmaßnahmen
  • Zugriff nur über verschlüsselte Verbindung
  • Verschlüsselte Backups
  • Zugriff auf personenbezogende Daten nur durch Verarbeiter (Marketingmitarbeiter) und Systemadministratoren
  • Link auf  Information zur unternehmensweiten Absicherung von personenbezogenen Daten

Überprüfung und ggfs. Anpassung und Absicherung aller Datenverarbeitungsprozesse

Um entsprechend der Datenschutz-Grundverordnung zu agieren, müssen Unternehmen alle Datenverarbeitungsprozesse überprüfen und ggfs. anpassen und absichern.

Bei Webseiten kommen in der Regel eine Vielzahl von Verarbeitungsprozessen zum Einsatz, die im Rahmen der DSGVO angepasst und abgesichert werden müssen.

Folgende Maßnahmen werden bei Betrieb von Webseiten mit Drupal üblicherweise zur Einhaltung der Datenschutz-Grundverordnung vorgenommen:

  • Anpassung der Nutzerberechtigungen
  • Ausschluss von nicht notwendigen personenbezogenen Daten
  • Verschlüsselung / Anonymisierung / Pseudonymisierung personenbezogener Daten in Backups und Exporten
  • Überprüfung der Datenübertragung an Dritte
    • Verschlüsselte Übertragung
    • Anonymisierung / Pseudonymisierung
    • Ausschluss von nicht notwendigen personenbezogenen Daten

Erstellung der Bearbeitungsprozesse für Anfragen (z.B. Auskunft über die personenbezogenen Daten)

Im Rahmen der DSGVO sind betroffene Personen berechtigt, Auskunft über gespeicherte personenbezogene Daten anzufordern, sowie deren Berichtigung, deren Einschränkung oder deren vollständige Löschung zu beantragen.

Für diese Vorgänge müssen Prozesse erstellt und dokumentiert werden, damit die Bearbeitung der Anfragen von Betroffenen im Rahmen der Fristen (üblicherweise 1 Monat) erfolgen kann (Art. 12 DSGVO ff.).

Bei Drupal Webseiten könnte ein Antrag auf Auskunft z.B. folgendermaßen bearbeitet werden:

  1. Datenerhebung aus Benutzerkonto
  2. Datenerhebung aus Newsletter-Anmeldung
  3. Datenerhebung aus Kontaktformular
  4. Datenerhebung aus E-Mails*
  5. Datenerhebung aus Support-Anfragen*
  6. Datenerhebung aus Verträgen*
  7. Dokumentation aller Daten*
  8. Übermittlung der Daten an den Betroffene*

* Diese Schritte hängen mit dem Vorgang zusammen, betreffen aber nicht unmittelbar die Datenerhebung und Verarbeitung im Rahmen der Webseite.

Erstellung der notwendigen rechtlichen Hinweise

Die Datenschutz-Grundverordnung regelt, dass betroffene Personen ausreichend auf die Erfassung und Verarbeitung von personenbezogenen Daten hingewiesen werden (Art. 13 DSGVO ff.).

Bei Webseiten umfasst dies z.B. folgende Punkte:

  • Anpassen der Datenschutzhinweise
  • Anzeige von Informationen zum Zeitpunkt der Datenerfassung
    • Hinweis auf Cookies für alle Besucher
    • Hinweis auf Umfang und Zweck bei expliziter Datenerfassung (z.B. beim Kontaktformular oder bei der Bestellung)
    • Hinweis auf Ansprechpartner für personenbezogene Daten (Datenschutzbeauftragter)
  • Erstellung von Kontaktmöglichkeiten für Auskunft-, Berichtigung-, Widerruf- und Löschung personenbezogener Daten

Für rechtliche Fragen können wir die Kanzlei Kolonko & Dammeier aus Frankfurt empfehlen, mit der wir in allen rechtlichen Fragestellungen eng zusammen.

Erstellung der Kontaktmöglichkeiten für Auskunft-, Berichtigung-, Widerruf- und Löschung personenbezogener Daten

Um betroffenen Personen im Rahmen der DSGVO ausreichend Möglichkeiten für Auskunft-, Berichtigung-, Widerruf- und Löschung personenbezogener Daten zu bieten, sollte auf Webseiten für diese Vorgänge eigene Kontaktmöglichkeiten vorgesehen werden.

Unterstützung durch 1xINTERNET

Gerne können wir Sie bei der Umsetzung der DSGVO in Bezug auf ihre Webseite und den damit zusammenhängenden Prozessen unterstützen.

Bei rechtliche Fragen arbeiten wir hierbei mit der Kanzlei Kolonko & Dammeier aus Frankfurt  zusammen.

Kontaktieren Sie uns über das Kontaktformular, schreiben Sie uns eine E-Mail oder rufen Sie uns an.

Links

Überblick auf Wikipedia

Den deutschen Text in übersichtlicher Form gibt es hier und hier

Überblick über das Gesetzt auf der Webseite der EU

Überblick und Leitfäden zum Thema DSGVO vom Branchenverband Bitkom

Haftungsausschluss

Die hier dargestellten Informationen dienen lediglich dem unverbindlichen Informationszweck und stellen keine Rechtsberatung im eigentlichen Sinne dar.

Für eine Rechtsberatung wenden Sie sich bitte an Ihren Anwalt. Gerne verweisen wir in diesem Zusammenhang an die Kanzlei Kolonko & Dammeier aus Frankfurt, mit der wir bei rechtlichen Fragen zusammenarbeiten.

 

Baddý Breidert

»Gerne beraten wir Sie für Ihre Softwareprojekt. Nehmen Sie einfach Kontakt mit uns auf!«

– Baddý Breidert M. Sc., CEO

Phone: +49 69 976 711 50
Email: office@1xinternet.de