Joomla! und die DSGVO - Die neue Privacy Tool Suite
Nachdem im Mai 2018 europaweit die Anforderungen an den Datenschutz bei Webseiten erheblich verschärft wurden, haben die Joomla! Entwickler mit einem zusätzlichen Joomla! Release reagiert, dass zahlreiche Tools enthält, die es Administratoren erleichtern sollen, den Datenschutzbestimmungen gerecht zu werden. Aber welche Tools beinhaltet das Release im Detail und wie können Sie diese auf Ihrer Webseite konkret nutzen.
Die DSGVO und vergleichbare Regeln in anderen europäischen Staaten haben zu einer erheblichen Verunsicherung bei Webseitenbetreibern geführt, hinsichtlich der Frage, welche Maßnahmen auf der eigenen Webseite ergriffen werden müssen. Einige grundsätzliche Überlegungen, insbesondere im Zusammenhang mit der Nutzung von Visforms-Formularen auf einer Webseite haben wir bereits im Mai 2018 veröffentlicht. Wichtig sind aus unserer Sicht folgende grundsätzliche Regeln:
- Dreh- und Angelpunkt der DSGVO ist es nicht die Erhebung persönlicher Daten zu verhindern, sondern sicherzustellen, dass nicht wahrlos und ohne Wissen und Zustimmung der betroffenen Person persönliche Daten gesammelt, gespeichert, verknüpft und im Sinne eines Profilings gezielt ausgewertet werden. Es muss dem Anwender transparent gemacht werden, welche Daten erhoben, gespeichert und verwendet werden. Dem Anwender steht das Recht zu, dass seine persönliche Daten in einer angemessenen Art und Weise geschützt werden, d.h. je sensibler die Daten, desto höher sind die Anforderungen an ihren Schutz. Darüber hinaus stehen dem Anwender Rechte zu hinsichtlich der Löschung, der Information über und der Berichtigung seiner Daten.
- Der wichtigste Schritt, um Ihre Webseite DSGVO konform zu gestalten ist es, eine sachlich richtige Datenschutzerklärung zu erstellen. Dies ist nur möglich, indem Sie analysieren, welche Daten auf Ihrer Webseite erhoben werden und wie diese gegebenenfalls gespeichert und verarbeitet werden. Es stellen sich also z.B. folgende Fragen. Welche Daten werden erhoben? Wie werden die übermittelten Daten dem Webseitenbetreiber zur Verfügung gestellt? Wie wird der Benutzer informiert? Werden Daten gespeichert und wenn ja wie lange? Diese Informationen müssen Sie dem Anwender in Ihrer Datenschutzerklärung geben. Die Joomla! Privacy Tool Suite stellt Ihnen, als Administrator, hier nützliche Hilfsmittel zur Verfügung.
- Administratoren einfachen Zugang zu Informationen darüber geben, welche datenschutzrelevanten Informationen durch Komponenten gespeichert werden
- Sicherstellen, dass ein Webseitennutzer der Datenschutzerklärung zustimmen muss, bevor er sich auf der Webseite registrieren kann
- Die Möglichkeit bieten, Benutzeraktivitäten zu protokollieren
- Eine Schnittstelle bieten, die es dem Benutzer erlaubt automatisiert Anfragen über gespeicherte Daten zu erstellen und die es dem Webseitenbetreiber erlaubt diese automatisiert bis hin zum Export der Daten zu bearbeiten
Wie kann Ihnen die Joomla! Privacy Tool Suite helfen, Ihre Webseite DSGVO konform zu gestalten?
Die Joomla! Privacy Tools lassen sich ganz grob in folgende Kategorien unterteilen:
Administratoren einfachen Zugang zu Informationen darüber geben, welche datenschutzrelevanten Informationen durch Komponenten gespeichert werden
In der Administration Ihrer Webseite finden Sie in der Hauptnavigation unter dem Bereich "Benutzer" nun einen neuen Untermenüpunkt "Datenschutz". In der Sub-Navigation auf der linken Seite Ihrer Webseite finden Sie dann einen Menüeintrag "Datenschutzhinweis". Hier finden Sie eine Auflistung aller datenschutzrelevanten Informationen des Joomla! Core und der mit dem Joomla! Core ausgelieferten Komponenten und Plugins. Diese Informationen sollen Ihnen helfen, in Ihrer Datenschutzerklärung sachlich korrekte Aussagen zu machen.
Auch jeder Entwickler von Joomla! Erweiterungen kann datenschutzrelevante Information zu seiner Erweiterung an dieser Stelle anzeigen. Auch wenn im Moment, wenige Tage nach dem Release von Joomla! 3.9 sicher noch nicht viele Entwickler diese Informationen bereitstellen, wird dies in Zukunft wohl der Fall sein.
Sicherstellen, dass ein Webseitennutzer der Datenschutzerklärung zustimmen muss, bevor er sich auf der Webseite registrieren kann
Die Joomla! Privacy Tool Suite bietet Ihnen die Möglichkeit, sicherzustellen, dass ein Benutzer sich nur dann auf Ihrer Webseite registrieren kann, wenn er der Datenschutzerklärung zugestimmt hat. Da insbesondere mit der Benutzerregistrierung mehr persönliche Daten erhoben werden, als wenn ein Nutzer Ihre Webseite unangemeldet und unregistriert nutzt, ist dies ein erster Schritt DSGVO-Konformität zu erreichen. (Aus unserer Sicht müssten ein ähnliches Feature auch für die Joomla! Kontakt Komponente angeboten werden, das in der ersten Version der Joomla! Privacy Tool Suite aber nicht enthalten ist).
Dieses Feature wird über das System Plugin "System - Datenschutz Zustimmung" aktiviert. Weiterhin benötigen Sie eine Datenschutzerklärung, die in Form eines Joomla! Beitrags vorliegt.
Gehen Sie in die Pluginverwaltung auf Ihrer Webseite, suchen Sie das Plugin "System - Datenschutz Zustimmung" und öffnen Sie das Plugin zur Bearbeitung. Damit das Plugin arbeiten kann, müssen Sie den Beitrag, der die Datenschutzerklärung enthält, in der Pluginkonfiguration auswählen. Anschließend können Sie das Plugin aktivieren. Wenn Sie nun im Frontend Ihrer Webseite auf das "Registrieren" Formular gehen, sehen Sie am Ende des Registrieren-Formulars eine neue Sektion zur Datenschutzerklärung. Nur wenn der Benutzer dieser zustimmt, kann er sich registrieren.
Alle Nutzer, die sich registriert haben, bevor das Plugin aktiviert wurde und deren Zustimmung zur Datenschutzerklärung noch nicht eingeholt wurde, werden automatisch, wenn sie sich das nächste Mal auf Ihrer Webseite anmelden wollen, auf eine Seite weitergeleitet, auf der Sie die Datenschutzerklärung akzeptieren müssen.
Die Sektion zur Datenschutzerklärung enthält einen Link, der die Datenschutzerklärung in einem modalen Fenster öffnet. Dies geschieht über den Joomla!-Mechanismus, der es erlaubt nur den Komponenten-Anteil einer Webseite anzuzeigen, indem man der Url den Parameter tmpl=component anhängt. Damit die Darstellung korrekt funktionieren kann muss Ihr Template diesen Parameter unterstützen, indem es eine Datei component.php bereitstellt.
Bitte beachten Sie auch, dass wenn Sie andere Komponenten als die Joomla! Core Benutzerkomponete verwenden um Benutzerregistrierung zu erlauben, die Aktivierung des Plugin "System - Datenschutz Zustimmung" vermutlich zu Problemen bei der Benutzerregistrierung über diese externe Komponente führt.
Benutzeraktivitäten zu protokollieren
Mit Hilfe des neuen Plugin "System - Benutzeraktivitäten" können Sie eine Protokollierung von Benutzeraktivitäten für alle Joomla! Core Komponenten aktivieren. Das Protokoll finden Sie dann in dem neuen Untermenü "Benutzeraktivitäten" in der Benutzervewaltung Ihrer Webseite. Sie können die Protokollierung für jede Joomla! Core Komponente individuell an-/abstellen. Klicken Sie hierzu in der Benutzeraktivitätensicht oben rechts auf den "Optionen" Button und wählen Sie die Komponenten, für die Sie Aktivitäten protokollieren wollen, aus.
Ist dasPlugin "System - Benutzeraktivitäten", so kann jeder Benutzer als individuelle Datenschutzmaßnahme in der Benutzerverwaltung festlegen, für welche Komponenten er die Protokollierung seiner Aktivitäten erlauben will.
Protokolliert werden Aktionen wie, ändern, veröffentlichen, verstecken, löschen, etc.
Erweiterungsentwickler haben die Möglichkeit Aktivitäten Ihrer Erweiterung ebenfalls über diesen Mechanismus protokollieren zu lassen. Wir werden diese Möglichkeit für unsere Formularkomponente Visforms mit dem nächsten Release zur Verfügung stellen.
Eine Schnittstelle bieten, die es dem Benutzer erlaubt automatisiert Anfragen über gespeicherte Daten zu erstellen und die es dem Webseitenbetreiber erlaubt diese automatisiert bis hin zum Export der Daten zu bearbeiten
Die Joomla! Privacy Tool Suite kommt mit einem neuen Set von Menüeinträgen der Rubrik "Datenschutz". Insbesondere der Menüeintragstyp Datenschutz -> Anfrage erstellen erlaubt es Ihnen sehr einfach, Ihren Benuter eine Schnittstelle zu bieten, über die Sie automatisiert eine Anfrage zu gespeicherten Daten stellen können. Fügen Sie einfach Ihrem Benutzermenü einen Menüeitrag vom Typ Datenschutz -> Anfrage hinzu.
Der Benutzer kann zwischen einer Datenauskunfsanfrage und einer Lösch-Anfrage auswählen. Stelle ein Benutzer eine solche Anfrage, werden Seitenadministratoren automatisch per Mail informiert. In der Benutzerverwaltung unter dem neuen Punkt "Datenschutz" finden Sie in der Sub-Navigation auf der linken Seite einen Menüeintrag "Anfragen". Hier können Sie die Benutzeranfrage einsehen und die Datenauskunftsanfrage mit einem Mausklick beantworten bzw. bei einer Lösch-Anfrage den Benutzeraccount mit einem Mausklick anonymisieren.
Die Datenschutzabfrage kann von Erweiterungsentwicklern einfach erweitert werden, so dass auch die gespeicherten Informationen ihrer Erweiterung in der Datenschutzabfrage enthalten ist. Wir werden diese Möglichkeit für unsere Formularkomponente Visforms mit dem nächsten Release zur Verfügung stellen.