Informationen zur DSGVO

Die Datenschutz Grundverordnung (DSGVO) bzw. englisch GDPR (General Data Protection Regulation) bringt einige Neuerungen für Betreiber von Webseiten mit sich. Auf dieser Seite stellen wir wichtige Informationen und Hinweise bereit.

Wichtiger Hinweis

Die Texte auf dieser Seite dienen nur zur Information und stellen keine Rechtsberatung dar. Wir empfehlen bei der Formulierung von Verträgen und Hinweisen auf der Webseite ggf. die Dienste eines Anwalts in Anspruch zu nehmen. Die Informationen haben wir mit großer Sorgfalt zusammengestellt, wir können jedoch keine Haftung dafür übernehmen.
Die Hinweise auf dieser Seite werden laufend aktualisiert. Stand: 24.5.2018

Für weitere Informationen können wir das folgende Buchg empfehlen:

"EU-Datenschutz-Grundverordnung im Unternehmen" von Tim Wybitul 

Einleitung

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Sie gilt einheitlich in der gesamten EU. In weiteren Ländern werden ähnliche Verordnungen auf Basis der DSGVO umgesetzt. 

Die DS-GVO wurde am 14.5.2016 vom EU Parlement verabschiedet und tritt am 25.5.2018 verbindlich in Kraft. Sie löst das bisherige Bundesdatenschutzgesetz (BDSG) ab. Die Regelungen der DS-GVO gelten EU-weit, so dass eine Umsetzung in nationales Recht nicht erforderlich ist. Die Staaten haben jedoch die Möglichkeit, die Regelungen der DS-GVO zu präzisieren, dies geschieht im BDSG-neu.

Die DSGVO gilt für alle, die personenbezogene Daten als Verantwortliche oder im Auftrag verarbeiten und diese Dienste im Gebiet der EU anbieten. Auch Firmen, Webseiten oder Shops außerhalb der EU, die ihre Dienste in der EU anbieten, sind von der DS-GVO betroffen. 

Anwendungsbereich

Die DSGVO betrifft alle Firmen, die personenbezogene Daten verarbeiten. Dazu zählen neben der Webseite auch viele weitere Bereiche, z.B. Lohnabrechnung, Veranstaltungen, Lieferungen, Zahlungsvorgänge, usw.

Die Informationen auf dieser Seite beziehen sich nur auf Webseiten und das damit verbundene Hosting. 

Unterschied DSGVO zum bisherigen BDSG

Viele Vorschriften der DSGVO waren vorher schon im Bundesdatenschutzgesetz geregelt. Für Unternehmen in Deutschland sind daher die Änderungen nicht so gravierend wie vielleicht in anderen Ländern. Trotzdem gibt es einige gravierende Unterschiede:

  • Die Beweislast wird umgekehrt. Bisher musste man einem Unternehmen einen Verstoß gegen das BDSG nachweisen. Künftig muss das Unternehmen nachweisen, dass es nicht gegen die DS-GVO verstoßen hat. Dazu gibt es umfangreiche Dokumentationspflichten auf Seiten der Unternehmen
  • Drastisch höhere Strafen. Verstöße gegen das BDSG wurden bisher mit einem Bußgeld geahndet. Dieses konnte im Einzelfall bis 50.000 oder bis 300.000 Euro (bei Vorsatz) betragen. 
    Im Rahmen der DS-GVO sind Bußgelder bis 20 Mio. Euro oder 4% des Jahresumsatzes möglich. In Artikel 83 der DS-GVO heißt es dazu: "Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen ... für Verstöße gegen diese Verordnung ... in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."

Hinweise für Betreiber von Webseiten

Alle Betreiber von Webseiten sind zur Einhaltung der DS-GVO verpflichtet. Ausgenommen sind lediglich ausschließlich privat betriebene Webseiten. Sobald z.B. ein privates Blog Affiliate Links oder Werbung enthält gilt ebenfalls die DS-GVO.

Zunächst ist der Abschluss eines Vertrags zur Auftragsverarbeitung zwischen dem Betreiber der Webseite und dem Hosting-Anbieter erforderlich. 

Wir bieten unseren Kunden über das Kundenmenü (Menüpunkt Allgmein->DSGVO Vertrag) den Abschluss eines entsprechenden Vertrags an. 

Speicherung von Logdateien

Im Rahmen des Hostings werden Daten in Logdateien gespeichert. Die Speicherung in Logfiles dient Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung dieser Daten zu Marketingzwecken findet nicht statt. In den vorstehenden Zwecken liegt unser berechtigtes Interesse an der Datenverarbeitung.

Hier ist eine Aufstellung der erfassten Daten in Logdateien:

  1. Apache Webserver
    In den Logdateien des Webservers werden bei jedem Zugriff auf die Webseite Daten gespeichert. Die Daten werden für die Sicherstellung des Betriebs und zur Analyse von Angriffen auf die Webseite benötigt. Die Daten werden nach 3 Tagen gelöscht. Es werden die folgenden Daten gespeichert: 
    1. IP-Adresse
    2. Datum und Uhrzeit der Anfrage
    3. Zeitzonendifferenz zu GMT
    4. Inhalt der Webseite
    5. Zugriffsstatus (HTTP-Status)
    6. übertragene Datenmenge
    7. Website, von der Sie auf unsere Website gelangt sind
    8. Webbrowser
    9. Betriebssystem
    10. Sprache und Version des Browsers


  2. FTP/SFTP Server
    In den Logdateien des FTP/SFTP Servers werden bei jedem Zugriff Daten gespeichert. Die Daten werden nach 30 Tagen gelöscht. Es werden die folgenden Daten gespeichert:
    1. IP-Adresse
    2. Username des Benutzers
    3. Datum und Uhrzeit der Anfrage
    4. Zeitzonendifferenz zu GMT
    5. Information, ob eine Datei herunter- oder hochgeladen wurde
    6. Pfad und Dateiname der übertragenen Datei
    7. Übertragene Datenmene
  3. SSH Zugang
    In den Logdateien des Terminaldienstes werden bei der Anmeldung Daten gespeichert. Diese Daten werden nach 3 Tagen gelöscht. Es werden die folgenden Daten  gespeichert:
    1. IP-Adresse
    2. Username des Benutzers
    3. Datum und Uhrzeit der Anfrage
  4. Apache Error Log
    Im Fehlerfall werden Meldungen des Apache Webservers in Logdateien gespeichert. Diese Daten werden nach spätestens 30 Tagen gelöscht. Es werden folgende Daten gespeichert:
    1. IP-Adresse
    2. Datum und Uhrzeit des Fehlers
    3. Fehlercode
    4. Fehlermeldung in Textform
  5. MySQL Error Log
    Im Fehlerfall werden Meldungen des MySQL Datenbankservers in Logdateien gespeichert. Diese Daten werden nach spätestens 30 Tagen gelöscht. Es werden folgende Daten gespeichert:
    1. IP-Adresse
    2. Datum und Uhrzeit des Fehlers
    3. Name der verwendeten Datenbank
    4. Fehlercode
    5. Fehlermeldung in Textform, ggf. inklusive der verwendeten Datenbankabfrage
  6. Mailserver Log
    In den Logdateien der Mailserver werden Metadaten gespeichert und nach 3 Tagen gelöscht. Es werden folgende Daten gespeichert:
    1. Absender
    2. Empfänger
    3. Zeitpunkt des Versands
    4. IP Adresse des Versenders
    5. Größe der E-Mail

Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten von Ihnen findet nicht statt.

Die Logfiles werden nicht im Kundenaccount gespeichert. Für die Apache Zugriffslogs kann der Kunde die Extrahierung der ihn betreffenden Daten sowie die Speicherung im Verzeichnis /weblogs des Kundenaccounts je Domain über das Kundenmenü aktivieren. In diesem Fall ist der Kunde für die Löschung der Daten selbst verantwortlich. Der Umfang der Daten entspricht denen unter 1) genannten Informationen. Bei Aktivierung der Erstellung der extrahierten Apache Zugriffslogs kann festgelegt werden, ob die Daten nach 7 Tagen automatisch gelöscht werden.

Ab dem 25. Mai 2018 erfolgt eine Anonymisierung der IP Adresse in den FTP-Logdateien sowie im Protokoll des Kundenmenüs.

TYPO3 und die DSGVO

Welche Cookies werden von TYPO3 gesetzt?

TYPO3 Version bis 6.1:
Beim Aufruf der Webseite wird ein Session Cookie 'fe_typo_user' gesetzt. Das Setzen von Cookies kann im Install-Tool mit der Einstellung "dontSetCookie" zwar unterbunden werden, dann ist jedoch kein Login (z.B. für geschlossene Benutzergruppen) mehr möglich.

TYPO3 Version ab 6.2:
Ein Cookie 'fe_typo_user' wird nur gesetzt, falls dies erforderlich ist (z.B. für die Login-Funktion). Die Option "dontSetCookie" wurde entfternt, da diese nicht mehr erforderlich ist.

Diese Angaben gelten für die Standardkonfiguration von TYPO3. Beim Einsatz zusätzlicher Funktionen (z.B. Google Analytics, Matomo/Piwik, Facebook Pixel, Affiliate-Programme, etc.) werden weitere Cookies gesetzt.

Werden IP Adressen in TYPO3 gespeichert?

IP Adressen werden in verschiedenen Datenbanktabellen in TYPO3 gespeichert:

Tabelle sys_log:
In dieser Tabelle werden Systemereignisse gespeichert. Dazu gehören Login-Vorgänge in das Backend (Redakteure), aber auch Fehlermeldungen beim Aufruf der Webseite. Die Tabelle sys_log kann über eine Aufgabe im Planer automatisch nach einer einstellbaren Zahl von Tagen gelöscht werden. 

Tabelle index_stat_search:
Bei Nutzung der Extension indexed_search (System Extension) werden Suchanfragen protokolliert.

Tabelle tx_solr_statistics:
Bei Nutzung der Solr Suche (zusätzliche Extension) und Aktivierung der Statistik Funktion werden Suchanfragen zusammen mit der IP Adresse protokolliert.

Tabelle tx_powermail_domain_model_mail:
Beim Einsatz der Extension Powermail (zusätzliche Extension) wird die IP Adresse des Absenders zusammen mit den versendeten E-Mails gespeichert.

Die IP Adressen werden nicht automatisch anonymisiert. Es gibt jedoch inzwischen eine Extension (gdpr), die eine (auch nachträgliche) Anonymisierung von IP Adressen ermöglicht. Diese Extension ist jedoch nur für TYPO3 Version 8.7 und höher verfügbar.

Beim Einsatz von weiteren Extensions speichern diese ggf. auch IP Adressen in der Datenbank.

Welche Daten werden über Redakteure gespeichert?

Zu den Backend-Benutzern in TYPO3 (Redakteure und Administratoren) werden folgende personenbezogene Daten gespeichert:

  • Name und E-Mail Adresse
  • Passwort (verschlüsselt)
  • Details zur Zugangsberechtigung (welche Seiten, Felder und Dateien dürfen bearbeitet werden)
  • Zeitpunkt der letzten Anmeldung
  • Protokoll der vorgenommenen Änderungen

Die Daten werden in den Tabellen be_users, sys_log und sys_history gespeichert. Zusätzlich wird in nahezu allen Datensätzen protokolliert, von welchem Benutzer und an welchem Zeitpunkt diese angelegt wurden (cruser_id und crdate).

Kontakformular, Login: SSL Zertifikat erforderlich

Sofern eine Webseite über ein Formular verfügt (Kontakt- oder Anmelde-Formular) oder eine Login-Funktion bietet, ist laut Telemediengesetz eine verschlüsselte Übertragung der Daten erforderlich. Dazu wird für die Domain(s) ein SSL-Zertifikat eingerichtet. Über einen Eintrag in der .htaccess Datei im Startverzeichnis der Domain sollten dann alle Anfragen, die unverschlüsselt erfolgen, eine Umleitung auf die verschlüsselte Verbindung umgeleitet werden. 

Bei der Umstellung auf https:// muss zudem darauf geachtet werden, dass keine Elemente auf der Webseite (z.B. Javascript Dateien oder iFrames) über eine unverschlüsselte Verbindung eingebunden werden. Hier muss die Enbindung dann ebenfalls auf https:// umgestellt werden. 

Wird auf der Webseite ein <base> Eintrag gesetzt (z.B. in TYPO3 über die Einstellung config.baseURL), so muss diese ebenfalls auf https:// umgestellt werden.

Was muss bei Inhalten von Webseiten beachtet werden?

Für Redakteure ist eine sorgfältige Schulung erforderlich, damit diese mit den gesetzlichen Regelungen zur Speicherung und Veröffentlichung von Inhalten vertraut sind.

Die Inhalte auf einer Webseite können personenbezogene Daten enthalten, z.B. Bilder von Mitarbeitern oder Personen bei Veranstaltungen (Genehmigung zur Veröffentlichung einholen) oder Ergebnislisten beim Sport (z.B. Name, Geburtsjahr, erzielte Leistung).

Der Betreiber einer Webseite sollte auch darauf vorbereitet sein, einer Person Auskunft über die gespeicherten Daten zu geben sowie diese auf Anforderung zu löschen. Eine solche Löschung muss auch in vorhandenen Backups erfolgen, damit bei einer eventuellen Wiederherstellung der Daten gelöschte Datensätze nicht wieder auftauchen.

Einbindung von Social Media Buttons und Google Maps

Das Einbinden von Social Media Buttons und anderer externer Dienste erfolgt in der Regel über ein Schnipsel Javascript Code, der vom jeweiligen Anbieter zur Verfügung gestellt wird. 

Beim Aufruf der Webseite werden jedoch bereits Daten an den externen Anbieter übermittelt, ohne dass der Besucher dem widersprechen könnte. 

Hier kann eine 2-Klick Lösung eingesetzt werden. Der Besucher muss dazu die Datenübermittlung explizit per Klick aktivieren. Von heise.de gibt es hierzu die Shariff-Lösung. Erforderlich ist eine solche Lösung auch z.B. für das Einbinden von Google Maps Karten in eine Webseite. Hierfür kann in unserer TYPO3 Extension maps2 eine Funktion aktiviert werden, bei der die Karte erst nach Klick durch den Besucher angezeigt wird.

Einbindung externer Fonts

Viele Webseiten verwenden spezielle Schriftarten für die Gestaltung. Diese Font-Dateien werden beim Aufruf der Webseite geladen - entweder vom gleichen Server wie die Webseite (datenschutztechnisch unbedenklich) oder von einem externen Dienstleister (z.B. fonts.google.com ). Falls die Daten von einem externen Server geladen werden, erfolgt ebenfalls eine Übertragung personenbezogener Daten: die IP Adresse des Benutzers.

Hier empfiehlt es sich, die Fontdateien lokal auf dem Webspace zu speichern (sofern die Lizenzbedingungen des Anbieters dies zulassen).

Einbindung jQuery und anderer Bibliotheken

Oftmals nutzen Webseiten Javascript-Bibliotheken, wie z.B. jQuery. Diese werden oft direkt vom Anbieter bzw. einer externen Domain geladen. Beim Laden der Bibliothek werden jedoch Daten an den Anbieter übermittelt. 

Hier empfiehlt es sich, die Bibliothek lokal im Hosting Paket zu speichern und von dort in die Webseite einzubinden (sofern dies die Lizenbedingungen gestatten). Das hat den zusätzlichen Vorteil, dass die Webseite auch dann problemlos geladen wird, wenn z.B. der Server des Anbieters nicht erreichbar ist. 

Einsatz von Google Analytics, Matomo/Piwik, etc.

Der Einsatz von Tools zur Analyse der Besucher ist nach wie vor zulässig, jedoch muss darauf geachtet werden, dass eine Anonymisierung der IP Adresse erfolgt. Dies kann in den jeweiligen Tools konfiguriert werden. 

Beim Einsatz externer Werkzeuge (z.B. Google Analytics) ist zudem der Abschluss eines Vertrags zur Auftragsverarbeitung mit dem Anbieter (z.B. Google) erforderlich.

Ein solcher Vertrag ist bei Matomo (früher Piwik) in der Regel nicht erforderlich, da dieses Tool selbst gehostet werden kann und damit keine Übertragung der Daten an einen externen Anbieter erfolgt.

Impressum und Datenschutzhinweis

Jede geschäftlich genutzte Webseite muss über ein Impressum und einen Datenschutzhinweis verfügen. Für beide Informationen sollte jeweils eine eigene Seite eingerichtet werden, die über einen Link direkt von jeder Seite aus erreichbar ist (z.B. im Fussbereich der Seite). 
Achtung: ein eventuell eingeblendeter Cookie Hinweis darf die Links zum Impressum und der Datenschutzseite nicht verdecken!

Wenn man die Inhalte für das Impressum und den Datenschutzhinweis selbst erstellt, sollte man diese möglichst vom einem Anwalt prüfen lassen. Fehlende Angaben oder falsche Formulierungen können zu kostspieligen Abmahnungen führen. 

Es gibt auch spezielle Generatoren zum Erzeugen rechtssicherer Formulierungen für Impressum und Datenschutzhinweis.

Einsatz von E-Mail Newslettern

Wer einen Newsletter per E-Mail verschickt, muss einige wichtige Punkte beachten:

Bei der Anmeldung darf nur die E-Mail Adresse eine Pflichtangabe sein, dies ist die einzigen Information, die für den Versand erforderlich ist. Momentan ist es unklar, ob weitere [freiwillige] Angaben im Anmeldeformular erhoben werden dürfen (daher besser weglassen).

Für die Anmeldung ist das Double-Opt-In Verfahren notwendig. Die Einwilligung sollte dabei als Nachweis für die Anmeldung protokolliert werden.

In jedem verschickten Newsletter ist ein Link zum direkten Abmelden erforderlich. Die Abmeldung sollte unmittelbar erfolgen, es sollte zudem keine weitere Bestätigung der Abmeldung per E-Mail erfolgen.

Wird ein externer Dienstleister für den Versand eingesetzt, muss mit diesem ein Vertrag über die Auftragsverarbeitung abgeschlossen werden. Der Auftragnehmer muss die Regelungen der DSGVO/GDPR beachten (auch wenn er z.B. in den USA sitzt).

Stand der Technik: Software aktuell halten

Gemäß §13, Absatz 7 Telemediengesetz sind gewerbliche Anbieter von Webangeboten dazu verpflichtet, die Webseiten auf dem aktuellen Stand der Technik zu halten. Dazu zählen insbesondere die Verwendung aktueller Software und Sicherheitsupdates. Details dazu finden Sie in den FAQ Seiten des BSI (Bundesamt für Sicherheit in der Informationstechnik) unter den Punkten "Was muss ich als Webseiten-Betreiber nun beachten" und "Was bedeutet 'Stand der Technik'".