SlideShare a Scribd company logo
1 of 12
Download to read offline
1
TYPO3 & DSGVO
Stand: 01.06.2021
Über den Autor
Oliver Wassenaar
Geschäftsführer, WACON Internet GmbH
Die WACON Internet GmbH ist eine Internetagentur, die sich auf die
Entwicklung, Optimierung und Wartung von Websites auf Basis des
Content Management Systems TYPO3 spezialisiert hat.
@wacon1999 linkedin.com/in/oliver-wassenaar
TYPO3 CMS Certified Consultant
Inhalt
1 Einführung
2 IP-Adressen
3 AV Verträge
4 PHP- und TYPO3 Versionen
5 https
6 Cookie Consent Box
7 Weitere Maßnahmen
8 Kontakt
Die Datenschutzgrundverordnung(DSGVO) ist eine
am 25.5.2018 in Kraft getretene Verordnung der
europäischen Union, die den Umgang mit
personenbezogenen Daten durch Organisationen
(Unternehmen, öffentl. Institutionen, NPOs, usw.)
regelt.
Die DSGVO hat den Schutz der persönlichen
Daten zum Ziel. Unternehmensdaten spielen keine
Rolle.
Einführung
• GDPR: General Data Protection
Regulation(engl. für DSGVO)
• Data owner: Sind die jeweils
betroffenen Personen, deren
Daten verarbeitet werden
• Verstöße gegen die DSGVO
werden mit hohen Geldbußen
geahndet, weshalb es wichtig ist,
dieses Thema ernst zu nehmen.
Die DSGVO beschränkt sich nicht nur auf Websites sondern auf alle digitalen und nicht-
digitalen Verarbeitungsprozesse in Organisationen.
Neben Einschränkungen bei der Verwendung und Speicherung der Daten, werden den
Organisationen Transparenzpflichten gegenüber den “data ownern” auferlegt.
Betroffen sind alle Organisationen, die am Markt der Europäischen Union teilnehmen.
Dies gilt unabhängig davon, ob ein Standort in der EU existiert. Eine in der EU erreichbare
Website ist bereits ausreichend.
Das vorliegende Dokument beschäftigt sich in erster Linie mit den Anforderungen für
Webseitenbetreiber, die das Content Management System TYPO3 verwenden.
Für einige, der hier angesprochenen Punkte, sollten Sie unbedingt eine/n Jurist/in kosultieren.
Diese betrifft insbesondere Verträge und rechtliche Informationen auf der Website(z.B.
Impressum/Datenschutz)
Internetprotokoll-Adressen(IP-Adressen) werden für die technische Kommunikation zwischen
(Web-)server und Browser des Besuchers verwendet.
IP-Adressen sind nach der Entscheidung des Bundesgerichtshof(BGH) vom 16.05.2016 als
persönliche Daten anzusehen (egal ob statisch oder dynamisch).
Diese Entscheidung hat weitreichende Auswirkung auf die Schutzvorkehrungen, die
Webseitenbetreiber berücksichtigen müssen:
• Nahezu alle Ressourcen, die von Drittservern während beim Auruf einer Seite geladen
werden sollen, bedürfen der vorherigen Zustimmung durch den Webseitenbesucher.
IP Adressen
Potenziell beteiligte Komponenten bei einem Webseitenaufruf
Dieser Aspekt hat nichts mit Cookies zu tun und wird leider oftmals ignoriert.
Mögliche Lösungswege hierzu warden in diesem Dokument vorgestellt.
Nachfolgend eine Grafik, die zeigt, wieviele Server und Webanwendungen beim
Aufruf einer einzigen Seite konnektiert werden können. Bei den Schritten 1, 3(hier
sind es gleich mehrere Server) und 4 hinterlässt der Besucher Ihrer Website seine
IP-Adresse.
Der "Auftragsverarbeitungsvertrag"(AV-Vertrag) ist eine der wichtigsten formellen Erfordernisse
der DSGVO. Sie müssen mit jedem Dienstleister, der Zugriff auf "Ihre Daten" und vor allem
denen Ihrer Website-Besucher bekommt und diese verarbeitet, einen solchen Vertrag
abschliessen. Hierzu zählen neben externen Agenturen und Freelancern auch Ihr Provider und
Serviceanbieter wie z.B. google-Analytics.
Häufiger Anwendungsfall: AV Vertrag für GoogleAnalytics
Ein AV-Vertrag mit Google können Sie wie folgt elektronisch abschließen:
• Loggen Sie sich mit Ihrem google-Konto ein
• Gehen Sie zu Analytics unter https://analytics.google.com
• Gehen Sie auf Verwaltung(Zahnrad unten links)
• Dann auf Kontoeinstellungen
• Ganz unten können Sie dem "Zusatz zur Datenverarbeitung" zustimmen
AV Verträge
Die DSGVO verpflichtet Websitebetreiber, sichere und "auf dem Stand der Technik" befindliche
Software einzusetzen(Artikel 32). Insbesondere betroffen: Die serverseitige Scriptsprache PHP
und natürlich TYPO3 selbst. Für beide Systeme gibt es sog. Long Term Support(LTS)-
Versionen, die Sie unbedingt einsetzen sollen. Diese LTS-Versionen haben immer nur eine
begrenzet Laufzeit(für TYPO3 i.d.R. 3 Jahre).
Laut aktuellem Stand(Juni 2021):
• erhält TYPO3 v9 noch bis 30.9.2021 LTS
• wird TYPO3 v10 bis 30.4.2023 als LTS Version verfügbar sein
• TYPO3 basiert auf der Programmiersprache PHP. Auch PHP folgt einem Release-Plan.
• sind alle PHP Versionen einschließlich 7.2 abgelaufen
• läuft PHP 7.3 am 6.12.2021 aus (also in ca. 10 Monaten)
• läuft PHP 7.4 am 28.11.2022 an (also in ca. 22 Monaten)
• ist die aktuellste PHP Version die 8.0 (Veröffentlichung im November 2020)
Daraus ergibt sich die folgende Versionsmatrix:
PHP & TYPO3 aktuell halten
Achten Sie darauf, dass Sie immer eine aktuelle PHP- und TYPO3-Version verwenden.
Massgeblich hierfür sind die jeweiligen Release-Pläne und die damit einhergehenden Zeiträume für
den Long Term Support.
PHP Releaseplan: https://www.php.net/supported-versions.php
TYPO3 Releaseplan: https://typo3.org/cms/roadmap
Sobald Ihre Website personenbezogene Daten von Besuchern abfragt(klassisches Beispiel:
Kontaktformular), ist die Verschlüsselung der Website mit SSL Pflicht.
Eine verschlüsselte Website erkennen Sie an dem Präfix "https://" in der Adresszeile des
Browser. Definieren Sie hierzu in der "Site Configuration" den "Entry Point" unter Angabe von
"https://...". Voraussetzung ist, dass Ihr Server für diese Domain ein Zertifkat bereitstellt(mit
LetEncrypt gibt es bereits kostenlose SSL-Zertifikate auf dem Markt). Erzwingen Sie mit Hilfe
der .htaccess oder durch Einstellungen in Ihrem Hostingpaket, dass die Domain bei Aufruf mit
"http" immer auf "https" umleitet.
Selbst wenn Ihre Website keine Formulare besitzt, empfehlen wir die Verschlüsselung. Grund:
Google markiert nicht verschlüsselte Website im chrome-Browser als "unsicher".
Stellen Sie sicher, dass die Domain mit und ohne "www" sowie mit und ohne "https" immer auf
die Hauptdomain mit vorangestelltem "https://" verweist.
https nutzen
Klicken Sie auf das Schloß-Symbol in der
Browserleiste, um zu überprüfen, ob die Website
wirklich sicher ist (in diesem Fall mit Chrome, geht
aber analog auch mit anderen Browsern).
Wenn hier eine Sicherheitswarnung angegeben
wird, werden meistens externe Ressourcen ohne
https eingebunden.
Wenn Ihre Website Cookies verwendet oder externe Ressourcen einbindet, müssen Sie hierfür
die Websitebesucher vorher um Erlaubnis("consent") bitten. Ausgenommen sind technisch
notwendige Cookies, die den Betrieb der Websites ermöglichen(z.B. Sessioncookies für
Warenkorbfunktionen oder geschützte Login-Bereiche).
Die Zustimmung holt man sich in der Regel über eine Cookie Consent Box, für die wir eine
TYPO3 Extension programmiert haben.
Cookie Consent Box
Die von uns entwickelte TYPO3-Extension WCM ermöglicht nur eine Consent Box, sondern zeigt
im TYPO3 Backend auch an wie oft welche Option von den Besuchern ausgewählt wurde:
Mit externen Ressourcen sind hier Dateien/Daten gemeint, die beim Aufruf einer Seite von
einem anderen Server zusätzlich geladen werden. Ein sehr häufiger Fall ist das Einbinden einer
Google-Schriftart. Technisch verweist eine Webseite dann auf den Google-Server, damit der
Browser sich von dort die Schriftart runterladen kann.
Beispielsnippet innerhalb des HTML-Codes:
<link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Tangerine">
Hier muss also der Browser die Schrift vom Server fonts.googleapis.com laden(und hinterlässt
die eigene IP-Adresse dort), ohne dass der User etwas davon mitbekommt.
Externe Ressourcen
In unserem Artikel zum Thema DSGVO & TYPO3 erläutern wir, wie Sie eine Google-Schriftart
local(also auf dem eigenen Server) einbinden.
Aus der Sicht der Ladezeit-Optimierung(ein wichtiges Kriterium der technischen
Suchmaschinenoptimierung bzw. einer guten User Experience) ist es überlegenswert, nur
websichere Schriftarten zu verwenden. Das Laden einer Schriftart(egal ob local oder extern
eingebunden), ist sehr zeitaufwändig).
Unsere generellen Empfehlungen hinsichtlich externer Ressourcen:
• Installieren Sie externe Ressourcen möglichst auf Ihrem Server und binden Sie sie von dort
ein(z.B. Fonts, Programmier-Bibliotheken wie jQuery und Bootstrap)
• Deaktivieren Sie externe Ressourcen solange keine Zustimmung vom Besucher(z.B. via
Cookie Consent Box) gegeben wurde.
Um Ihre Website möglichst DSGVO-konform zu betreiben, achten Sie - neben den hier
beschriebenen Fällen - auf folgende Maßnahmen:
• Folgen Sie dem Prinzip der Datenminimierung und fragen Sie in Formularen immer nur die
maximal notwendigen Daten ab.
• Löschen Sie in regelmäßigen Abständen persönliche Daten aus der TYPO3-Datenbank.
• Vermeiden Sie Social-Media-PlugIns wie z.B. „Timelines“
• Erstellen Sie eine gültige Impressum- und Datenschutzseite. Beide Seiten sollten auf jeder
Seite leicht zugänglich und idealerweise „Above-the-Fold“(im Sichtbarkeitsbereich des
Displays beim Laden der Seite) sein.
• Ändern Sie Ihre Passwörter(TYPO3-Backendzugänge, Installtool, ssh, usw.) in regelmäßigen
Abständen
• Limitieren Sie die Zugriffe von Redakteuren auf das Notwendigste.
• Halten Sie auch extern genutze Programmbibliotheken(z.B. jQuery oder Bootstrap) auf dem
neuesten Stand.
• Löschen Sie Logdateien regelmäßig.
• Tragen Sie sich in die TYPO3 Announce Mailingliste unter https://lists.typo3.org/cgi-
bin/mailman/listinfo/typo3-announce ein, um über Sicherheitshinweise informiert zu werden.
• Spielen Sie Security-Updates zeitnah ein(siehe „Wie macht man ein TYPO3
Sicherheitsupdate“).
• Nutzen Sie den http-Security Header.
• Beschränken Sie den TYPO3-Backendzugang auf bestimmte IP-Adressen.
• Achten Sie darauf, dass TYPO3 im Live-Modus betrieben wird(damit keine technischen
Fehlermeldungen oder Debuginformationen ausgegeben werden).
• Der Zugang zum TYPO3-Backend darf nur über https erfolgen. Ein http-Zugriff muss immer
auf https umleiten.
Weitere Maßnahmen
Wir hoffen, dass Ihnen dieses kostenlose eBook
weitergeholfen hat. Für ein Feedback wären wir sehr dankbar.
Als Internetagentur sind wir auf die Entwicklung, Optimierung und
den Support von Websites auf Basis von TYPO3 spezialisiert.
Gerne helfen wir Ihnen dabei, Ihre Website DSGVO-konform und sicher
zu betreiben.
Vielen Dank!
www.wacon.de
Nehmen Sie Kontakt mit uns auf

More Related Content

Similar to DSGVO konforme Webseiten mit TYPO3

Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Michael Kirst-Neshva
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien DNUG e.V.
 
Technische SEO Probleme finden mit Tools
Technische SEO Probleme finden mit ToolsTechnische SEO Probleme finden mit Tools
Technische SEO Probleme finden mit ToolsTimon Hartung
 
Bildschirmpraesentation Firefox contra Internet Explorer
Bildschirmpraesentation Firefox contra Internet ExplorerBildschirmpraesentation Firefox contra Internet Explorer
Bildschirmpraesentation Firefox contra Internet ExplorerRoger Ramuz
 
6 verschiedene Arten von Software
6 verschiedene Arten von Software6 verschiedene Arten von Software
6 verschiedene Arten von SoftwareYUHIRO
 
Tracking: Cookies vs. cookieless Tracking
Tracking: Cookies vs. cookieless TrackingTracking: Cookies vs. cookieless Tracking
Tracking: Cookies vs. cookieless TrackingJan Berens
 
Einführung XHTML CSS JS // MM 08-11
Einführung XHTML CSS JS // MM 08-11Einführung XHTML CSS JS // MM 08-11
Einführung XHTML CSS JS // MM 08-11Noël Bossart
 
Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles
Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie CrumblesMögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles
Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie CrumblesRobert Ressmann
 
WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?
WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?
WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?Dieter Ziegler
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?Thomas Stiren
 
Web Content-Management-Systeme the Past - the Present - the Future
Web Content-Management-Systeme the Past - the Present - the FutureWeb Content-Management-Systeme the Past - the Present - the Future
Web Content-Management-Systeme the Past - the Present - the FutureAlexander Loechel
 
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013Michael Kirst-Neshva
 
Google Chrome & Mozilla Firefox fundiert für Beginner - Seminarunterlagen
Google Chrome & Mozilla Firefox fundiert für Beginner - SeminarunterlagenGoogle Chrome & Mozilla Firefox fundiert für Beginner - Seminarunterlagen
Google Chrome & Mozilla Firefox fundiert für Beginner - SeminarunterlagenStefan Kontschieder
 
2017 08-16 mozilla firefox und Google Chrome
2017 08-16 mozilla firefox und Google Chrome2017 08-16 mozilla firefox und Google Chrome
2017 08-16 mozilla firefox und Google ChromeStefan Kontschieder
 
Personalisierung
PersonalisierungPersonalisierung
PersonalisierungUdo Ornik
 

Similar to DSGVO konforme Webseiten mit TYPO3 (20)

Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
 
Technische SEO Probleme finden mit Tools
Technische SEO Probleme finden mit ToolsTechnische SEO Probleme finden mit Tools
Technische SEO Probleme finden mit Tools
 
Bildschirmpraesentation Firefox contra Internet Explorer
Bildschirmpraesentation Firefox contra Internet ExplorerBildschirmpraesentation Firefox contra Internet Explorer
Bildschirmpraesentation Firefox contra Internet Explorer
 
6 verschiedene Arten von Software
6 verschiedene Arten von Software6 verschiedene Arten von Software
6 verschiedene Arten von Software
 
Tracking-Herausforderungen 2020
Tracking-Herausforderungen 2020Tracking-Herausforderungen 2020
Tracking-Herausforderungen 2020
 
Tracking: Cookies vs. cookieless Tracking
Tracking: Cookies vs. cookieless TrackingTracking: Cookies vs. cookieless Tracking
Tracking: Cookies vs. cookieless Tracking
 
Koongo - Die Vorstellung in Deutsch
Koongo - Die Vorstellung in DeutschKoongo - Die Vorstellung in Deutsch
Koongo - Die Vorstellung in Deutsch
 
Einführung XHTML CSS JS // MM 08-11
Einführung XHTML CSS JS // MM 08-11Einführung XHTML CSS JS // MM 08-11
Einführung XHTML CSS JS // MM 08-11
 
Joomla
JoomlaJoomla
Joomla
 
Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles
Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie CrumblesMögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles
Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles
 
WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?
WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?
WordPress vs. TYPO3: Wer wird den Titel "Der beste CMS" gewinnen?
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
 
Web Content-Management-Systeme the Past - the Present - the Future
Web Content-Management-Systeme the Past - the Present - the FutureWeb Content-Management-Systeme the Past - the Present - the Future
Web Content-Management-Systeme the Past - the Present - the Future
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 
TYPO3 CMS 7
TYPO3 CMS 7TYPO3 CMS 7
TYPO3 CMS 7
 
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013
Datensicherheit in der Cloud und ausserhalb - SharePoint Konferenz Wien 2013
 
Google Chrome & Mozilla Firefox fundiert für Beginner - Seminarunterlagen
Google Chrome & Mozilla Firefox fundiert für Beginner - SeminarunterlagenGoogle Chrome & Mozilla Firefox fundiert für Beginner - Seminarunterlagen
Google Chrome & Mozilla Firefox fundiert für Beginner - Seminarunterlagen
 
2017 08-16 mozilla firefox und Google Chrome
2017 08-16 mozilla firefox und Google Chrome2017 08-16 mozilla firefox und Google Chrome
2017 08-16 mozilla firefox und Google Chrome
 
Personalisierung
PersonalisierungPersonalisierung
Personalisierung
 

DSGVO konforme Webseiten mit TYPO3

  • 2. Über den Autor Oliver Wassenaar Geschäftsführer, WACON Internet GmbH Die WACON Internet GmbH ist eine Internetagentur, die sich auf die Entwicklung, Optimierung und Wartung von Websites auf Basis des Content Management Systems TYPO3 spezialisiert hat. @wacon1999 linkedin.com/in/oliver-wassenaar TYPO3 CMS Certified Consultant
  • 3. Inhalt 1 Einführung 2 IP-Adressen 3 AV Verträge 4 PHP- und TYPO3 Versionen 5 https 6 Cookie Consent Box 7 Weitere Maßnahmen 8 Kontakt
  • 4. Die Datenschutzgrundverordnung(DSGVO) ist eine am 25.5.2018 in Kraft getretene Verordnung der europäischen Union, die den Umgang mit personenbezogenen Daten durch Organisationen (Unternehmen, öffentl. Institutionen, NPOs, usw.) regelt. Die DSGVO hat den Schutz der persönlichen Daten zum Ziel. Unternehmensdaten spielen keine Rolle. Einführung • GDPR: General Data Protection Regulation(engl. für DSGVO) • Data owner: Sind die jeweils betroffenen Personen, deren Daten verarbeitet werden • Verstöße gegen die DSGVO werden mit hohen Geldbußen geahndet, weshalb es wichtig ist, dieses Thema ernst zu nehmen. Die DSGVO beschränkt sich nicht nur auf Websites sondern auf alle digitalen und nicht- digitalen Verarbeitungsprozesse in Organisationen. Neben Einschränkungen bei der Verwendung und Speicherung der Daten, werden den Organisationen Transparenzpflichten gegenüber den “data ownern” auferlegt. Betroffen sind alle Organisationen, die am Markt der Europäischen Union teilnehmen. Dies gilt unabhängig davon, ob ein Standort in der EU existiert. Eine in der EU erreichbare Website ist bereits ausreichend. Das vorliegende Dokument beschäftigt sich in erster Linie mit den Anforderungen für Webseitenbetreiber, die das Content Management System TYPO3 verwenden. Für einige, der hier angesprochenen Punkte, sollten Sie unbedingt eine/n Jurist/in kosultieren. Diese betrifft insbesondere Verträge und rechtliche Informationen auf der Website(z.B. Impressum/Datenschutz)
  • 5. Internetprotokoll-Adressen(IP-Adressen) werden für die technische Kommunikation zwischen (Web-)server und Browser des Besuchers verwendet. IP-Adressen sind nach der Entscheidung des Bundesgerichtshof(BGH) vom 16.05.2016 als persönliche Daten anzusehen (egal ob statisch oder dynamisch). Diese Entscheidung hat weitreichende Auswirkung auf die Schutzvorkehrungen, die Webseitenbetreiber berücksichtigen müssen: • Nahezu alle Ressourcen, die von Drittservern während beim Auruf einer Seite geladen werden sollen, bedürfen der vorherigen Zustimmung durch den Webseitenbesucher. IP Adressen Potenziell beteiligte Komponenten bei einem Webseitenaufruf Dieser Aspekt hat nichts mit Cookies zu tun und wird leider oftmals ignoriert. Mögliche Lösungswege hierzu warden in diesem Dokument vorgestellt. Nachfolgend eine Grafik, die zeigt, wieviele Server und Webanwendungen beim Aufruf einer einzigen Seite konnektiert werden können. Bei den Schritten 1, 3(hier sind es gleich mehrere Server) und 4 hinterlässt der Besucher Ihrer Website seine IP-Adresse.
  • 6. Der "Auftragsverarbeitungsvertrag"(AV-Vertrag) ist eine der wichtigsten formellen Erfordernisse der DSGVO. Sie müssen mit jedem Dienstleister, der Zugriff auf "Ihre Daten" und vor allem denen Ihrer Website-Besucher bekommt und diese verarbeitet, einen solchen Vertrag abschliessen. Hierzu zählen neben externen Agenturen und Freelancern auch Ihr Provider und Serviceanbieter wie z.B. google-Analytics. Häufiger Anwendungsfall: AV Vertrag für GoogleAnalytics Ein AV-Vertrag mit Google können Sie wie folgt elektronisch abschließen: • Loggen Sie sich mit Ihrem google-Konto ein • Gehen Sie zu Analytics unter https://analytics.google.com • Gehen Sie auf Verwaltung(Zahnrad unten links) • Dann auf Kontoeinstellungen • Ganz unten können Sie dem "Zusatz zur Datenverarbeitung" zustimmen AV Verträge
  • 7. Die DSGVO verpflichtet Websitebetreiber, sichere und "auf dem Stand der Technik" befindliche Software einzusetzen(Artikel 32). Insbesondere betroffen: Die serverseitige Scriptsprache PHP und natürlich TYPO3 selbst. Für beide Systeme gibt es sog. Long Term Support(LTS)- Versionen, die Sie unbedingt einsetzen sollen. Diese LTS-Versionen haben immer nur eine begrenzet Laufzeit(für TYPO3 i.d.R. 3 Jahre). Laut aktuellem Stand(Juni 2021): • erhält TYPO3 v9 noch bis 30.9.2021 LTS • wird TYPO3 v10 bis 30.4.2023 als LTS Version verfügbar sein • TYPO3 basiert auf der Programmiersprache PHP. Auch PHP folgt einem Release-Plan. • sind alle PHP Versionen einschließlich 7.2 abgelaufen • läuft PHP 7.3 am 6.12.2021 aus (also in ca. 10 Monaten) • läuft PHP 7.4 am 28.11.2022 an (also in ca. 22 Monaten) • ist die aktuellste PHP Version die 8.0 (Veröffentlichung im November 2020) Daraus ergibt sich die folgende Versionsmatrix: PHP & TYPO3 aktuell halten Achten Sie darauf, dass Sie immer eine aktuelle PHP- und TYPO3-Version verwenden. Massgeblich hierfür sind die jeweiligen Release-Pläne und die damit einhergehenden Zeiträume für den Long Term Support. PHP Releaseplan: https://www.php.net/supported-versions.php TYPO3 Releaseplan: https://typo3.org/cms/roadmap
  • 8. Sobald Ihre Website personenbezogene Daten von Besuchern abfragt(klassisches Beispiel: Kontaktformular), ist die Verschlüsselung der Website mit SSL Pflicht. Eine verschlüsselte Website erkennen Sie an dem Präfix "https://" in der Adresszeile des Browser. Definieren Sie hierzu in der "Site Configuration" den "Entry Point" unter Angabe von "https://...". Voraussetzung ist, dass Ihr Server für diese Domain ein Zertifkat bereitstellt(mit LetEncrypt gibt es bereits kostenlose SSL-Zertifikate auf dem Markt). Erzwingen Sie mit Hilfe der .htaccess oder durch Einstellungen in Ihrem Hostingpaket, dass die Domain bei Aufruf mit "http" immer auf "https" umleitet. Selbst wenn Ihre Website keine Formulare besitzt, empfehlen wir die Verschlüsselung. Grund: Google markiert nicht verschlüsselte Website im chrome-Browser als "unsicher". Stellen Sie sicher, dass die Domain mit und ohne "www" sowie mit und ohne "https" immer auf die Hauptdomain mit vorangestelltem "https://" verweist. https nutzen Klicken Sie auf das Schloß-Symbol in der Browserleiste, um zu überprüfen, ob die Website wirklich sicher ist (in diesem Fall mit Chrome, geht aber analog auch mit anderen Browsern). Wenn hier eine Sicherheitswarnung angegeben wird, werden meistens externe Ressourcen ohne https eingebunden.
  • 9. Wenn Ihre Website Cookies verwendet oder externe Ressourcen einbindet, müssen Sie hierfür die Websitebesucher vorher um Erlaubnis("consent") bitten. Ausgenommen sind technisch notwendige Cookies, die den Betrieb der Websites ermöglichen(z.B. Sessioncookies für Warenkorbfunktionen oder geschützte Login-Bereiche). Die Zustimmung holt man sich in der Regel über eine Cookie Consent Box, für die wir eine TYPO3 Extension programmiert haben. Cookie Consent Box Die von uns entwickelte TYPO3-Extension WCM ermöglicht nur eine Consent Box, sondern zeigt im TYPO3 Backend auch an wie oft welche Option von den Besuchern ausgewählt wurde:
  • 10. Mit externen Ressourcen sind hier Dateien/Daten gemeint, die beim Aufruf einer Seite von einem anderen Server zusätzlich geladen werden. Ein sehr häufiger Fall ist das Einbinden einer Google-Schriftart. Technisch verweist eine Webseite dann auf den Google-Server, damit der Browser sich von dort die Schriftart runterladen kann. Beispielsnippet innerhalb des HTML-Codes: <link rel="stylesheet" href="https://fonts.googleapis.com/css?family=Tangerine"> Hier muss also der Browser die Schrift vom Server fonts.googleapis.com laden(und hinterlässt die eigene IP-Adresse dort), ohne dass der User etwas davon mitbekommt. Externe Ressourcen In unserem Artikel zum Thema DSGVO & TYPO3 erläutern wir, wie Sie eine Google-Schriftart local(also auf dem eigenen Server) einbinden. Aus der Sicht der Ladezeit-Optimierung(ein wichtiges Kriterium der technischen Suchmaschinenoptimierung bzw. einer guten User Experience) ist es überlegenswert, nur websichere Schriftarten zu verwenden. Das Laden einer Schriftart(egal ob local oder extern eingebunden), ist sehr zeitaufwändig). Unsere generellen Empfehlungen hinsichtlich externer Ressourcen: • Installieren Sie externe Ressourcen möglichst auf Ihrem Server und binden Sie sie von dort ein(z.B. Fonts, Programmier-Bibliotheken wie jQuery und Bootstrap) • Deaktivieren Sie externe Ressourcen solange keine Zustimmung vom Besucher(z.B. via Cookie Consent Box) gegeben wurde.
  • 11. Um Ihre Website möglichst DSGVO-konform zu betreiben, achten Sie - neben den hier beschriebenen Fällen - auf folgende Maßnahmen: • Folgen Sie dem Prinzip der Datenminimierung und fragen Sie in Formularen immer nur die maximal notwendigen Daten ab. • Löschen Sie in regelmäßigen Abständen persönliche Daten aus der TYPO3-Datenbank. • Vermeiden Sie Social-Media-PlugIns wie z.B. „Timelines“ • Erstellen Sie eine gültige Impressum- und Datenschutzseite. Beide Seiten sollten auf jeder Seite leicht zugänglich und idealerweise „Above-the-Fold“(im Sichtbarkeitsbereich des Displays beim Laden der Seite) sein. • Ändern Sie Ihre Passwörter(TYPO3-Backendzugänge, Installtool, ssh, usw.) in regelmäßigen Abständen • Limitieren Sie die Zugriffe von Redakteuren auf das Notwendigste. • Halten Sie auch extern genutze Programmbibliotheken(z.B. jQuery oder Bootstrap) auf dem neuesten Stand. • Löschen Sie Logdateien regelmäßig. • Tragen Sie sich in die TYPO3 Announce Mailingliste unter https://lists.typo3.org/cgi- bin/mailman/listinfo/typo3-announce ein, um über Sicherheitshinweise informiert zu werden. • Spielen Sie Security-Updates zeitnah ein(siehe „Wie macht man ein TYPO3 Sicherheitsupdate“). • Nutzen Sie den http-Security Header. • Beschränken Sie den TYPO3-Backendzugang auf bestimmte IP-Adressen. • Achten Sie darauf, dass TYPO3 im Live-Modus betrieben wird(damit keine technischen Fehlermeldungen oder Debuginformationen ausgegeben werden). • Der Zugang zum TYPO3-Backend darf nur über https erfolgen. Ein http-Zugriff muss immer auf https umleiten. Weitere Maßnahmen
  • 12. Wir hoffen, dass Ihnen dieses kostenlose eBook weitergeholfen hat. Für ein Feedback wären wir sehr dankbar. Als Internetagentur sind wir auf die Entwicklung, Optimierung und den Support von Websites auf Basis von TYPO3 spezialisiert. Gerne helfen wir Ihnen dabei, Ihre Website DSGVO-konform und sicher zu betreiben. Vielen Dank! www.wacon.de Nehmen Sie Kontakt mit uns auf