SEO-News

DSGVOAm 25. Mai tritt die Datenschutzgrundverordung (DSGVO) in Kraft. Viele Webseitenbetreiber sind derzeit auf der Suche nach Lösungen, wie sie die sehr kritischen Anforderungen der DSGVO erfüllen können. Dabei haben es Nutzer von WordPress leichter als Joomla-User. Für WordPress gibt es bereits eine sehr große Anzahl von Plugins zum Thema DSGVO, während sich die wesentlich kleinere Joomla-Entwicklergemeinde noch schwer damit tut. Gerade Webseiten, die unter Joomla betrieben werden, stellen im Hinblick auf die DSGVO eine Herausforderung dar. In diesem Beitrag sollen einige der zu beachtenden Fallstricke beschrieben und Möglichkeiten aufgezeigt werden, wie damit umgegangen werden kann.

Zunächst ein Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Er basiert vielmehr auf eigenen Erfahrungen im Umgang mit Joomla und soll lediglich Anregungen liefern. Ein Anspruch auf Vollständigkeit wird nicht erhoben. Die letztendliche Klärung, ob eine Webseite DSGVO-konform ist oder nicht, sollte einem darauf spezialiserten Anwalt oder Juristen überlassen werden.

Noch etwa vier Wochen, dann tritt die EU-Datenschutzgrundverordung (DSGVO) in Kraft. Auch wenn der 25. Mai als Datum seit Jahren bekannt ist, fangen viele Webseitenbetreiber erst jetzt damit an, ihre Seiten umzustellen.
Dabei ist es mit einer Anpassung der Datenschutzhinweise nicht getan. Vor allem technisch ist vieles umzustellen, um dem Grundsatz der Datensparsamkeit zu entsprechen. Damit ist gemeint, dass nur so viele Daten erhoben, erfasst und gespeichert werden, wie aus technischer und wirtschaftlicher Sicht nur unbedingt möglich.

Joomla ist dabei eine wirkliche Herausforderung. Der Grund dafür ist, dass Joomla von Haus aus einige Schwächen in für die DSGVO relevanten Punkten besitzt. Dazu kommt, dass die Auswahl der für die Anpassung an die DSGVO-Anforderungen verfügbaren Plugins noch recht gering ist.

 

Cookies

Das größte Problem bei der Verwendung von Joomla sind die vom Content Management System gesetzten Cookies. Joomla setzt verschiedene dieser Cookies, um beispielsweise eine Nutzersession zu definieren.

In Bezug auf die DSGVO gibt es verschiedene Quellen, die jeweis unterschiedliche Vorgehensweisen für den Umgang mit Cookies fordern. Auf der einen Seite gibt es diejenigen, die behaupten, ein reiner Cookie-Hinweis mit einem Link auf die Datenschutzerklärung würde genügen. Andere sind der Meinung, dass bereits jetzt keine Cookies mehr gesetzt werden dürfen, bevor der Nutzer zugestimmt hat. Wer sichergehen möchte und die zweite Variante implementieren will, wird bei Joomla auf Probleme stoßen. Zwar gibt es Plugins, die das Blockieren von Cookies versprechen, doch greifen diese nicht bei allen Plugins. Oftmals werden die Cookies per JavaScript blockiert, was aber nicht für Cookies greift, die das Flag "httpOnly" tragen. Mit diesem Flag soll die Gefahr von Cross Site Scripting bzw. Cross Site Request Forgery reduziert werden.

Nur eines der getesteten Plugins war in der Lage, Joomla-Cookies komplett zu blockieren: ePrivacy Directive. Allerdings gibt es keine Gewähr, dass dies auch auf anderen Webseiten so ist, denn je nach Konfiguration und Art der installierten Plugins kann es zu Abweichungen kommen.

 

e-Pivacy für Joomla: Konfiguration

 

Das vollständige Blockieren der Cookies hat einen Nachteil: Die Administration einer Joomla-Seite funktioniert nicht mehr wie zuvor. Oft passiert es, dass man während des Editierens eines Artikels einfach ausgeloggt wird.

Ob diese Einschränkungen die (vermeintliche) Sicherheit in Bezug auf DSGVO aufwiegen, muss jeder selbst entscheiden. Dabei sollte bedacht werden, dass es spätestens mit Inkrafttreten von ePrivacy im kommenden Jahr zu einer weiteren Verschärfung der Cookie-Thematik kommen dürfte. Wer sich jetzt schon darauf vorbereitet, ist dann im Vorteil.

 

Shariff / Social Media

Dass die von den sozialen Netzwerken angebotenen Widgets problematisch in Bezug auf den Datenschutz sind, ist inzwischen weitläufig bekannt. Dass jedoch auch die lange Zeit propagierten Zwei-Klick-Lösungen nicht notwendigerweise ausreichen, um den Anforderungen der DSGVO zu genügen, ist für viele eine neue Information.

Zu empfehlen ist, wenn man der Mehrzahl der aktuell gegebenen Emfpehlungen folgen möchte, der Einsatz von Shariff. Dabei handelt es sich um einen sogenannten "Wrapper", der dafür sorgen soll, dass die Nutzerdaten nicht ohne deren Wissen an die sozialen Netze übertragen werden.

Zum Glück gibt es auch für Joomla bereits Plugins, mit denen sich Shariff einfach einbinden lässt, wie zum Beispiel MyShariff.

 

Newsletter

Newsletter stellen ein heikles Thema in Bezug auf den Datenschutz dar. Ein Grund dafür ist der Anmeldeprozess: Für die Registrierung zu einem Newsletter müssen Nutzerdaten wie zum Beispiel die E-Mail-Adresse erhoben werden.
Bevor ein Nutzer diese Daten absendet, muss er gemäß DSGVO jedoch über die Datenschutzhinweise aufgeklärt werden und diese auch akzeptieren ("Opt-In"). Nicht alle Newsletter-Plugins erfüllen diese Anforderung. Plugins, die dazu auf Joomlas native Nutzerregistrierung setzen, lassen diese Funktion meist missen.

Enthalten ist ein Opt-In zum Beispiel in AcyMailing.

 

Interne Suche

Die interne Suche (Site Search) ist ein wichtiges Navigationselemen, besonders auf umfangreichen Webseiten. Alles, was nicht direkt über das Menü einer Webseite erreichbar ist, kann über eine Suchfunktion bereitgestellt werden.

Eingegebene Suchanfragen stellen aber persönliche Daten dar, die möglicherweise auf dem Server gespeichert werden. Werden diese Suchanfragen dann noch mit den IP-Adressen der Nutzer kombiniert, steigt die Brisanz dieser Daten weiter an.

Joomla ermöglich das Deaktivieren des Loggens eingegebener Suchanfragen. Ob das im Sinne der DSGVO ausreicht, darf bezweifelt werden.

Eine klare Empfehlung kann in diesem Punkt nicht gegeben werden. Im Zweifelsfall mag es ratsam sein, die interne Suche bis zur endgültigen Klärung der Rechtslage zu deaktivieren.

 

Kommentare

Bei Kommentaren und Kommentar-Plugins verhält es sich im Grunde wie beim Newsletter: Die Registrierung neuer Nutzer sollte eine Zustimmung zu den Datenschutzhinweisen per Opt-In enthalten. Leider ist die Anzahl der für Joomla erhältlichen Kommentar-Plugins begrenzt. Die meisten davon setzen auf Joomlas natives Registrierungs-Modul. Hier ist eine Opt-In-Möglichkeit aber nicht vorgesehen.

Vorsicht ist auch geboten bei Kommentar-Plugins, die ein Login über soziale Netzwerke wie Facebook erlauben, denn auch hier werden Nutzerdaten an Dritte übertragen.

Kommentarlösungen externer Anbieter, die per iFrame in die Seite integriert werden, sind im Hinblick auf DSGVO übrigens ebenfalls zu hinterfragen. Schließlich werden die Daten auf die Server eines Drittanbieters übertragen.
Solche Lösungen sollten zuvor mit einem Fachmann auf Rechtskonformität besprochen werden, bevor sie zum Einsatz kommen.

 

Captcha

Unklar ist die Situation aktuell auch in Bezug auf den Einsatz von Captchas - vor allem dann, wenn sie von einem externen Anbieter geladen werden. Bindet man zum Beispiel das ReCaptcha von Google in ein Kontaktformular ein, um Spam zu vermeiden, werden Daten der Besucher an das Google-Rechenzentrum geschickt. Das wiederum kann im Hinblick auf die DSGVO problematisch sein.

Klare Empfehlungen zum Einsatz von Captchas zu geben, ist aufgrund der noch nicht geklärten Situation schwierig. Es ist aber wahrscheinlich besser, auf lokale Lösungen zu setzen, von denen auch zahlreiche Lösungen für Joomla zur Verfügung stehen, oder gänzlich auf Captchas zu verzichten, bis hier mehr Klarheit herrscht.

 

Kontaktformular

In einem engen Zusammenhang mit Captchas stehen Kontaktformulare. Auch diese sind relevant für die DSGVO, weil auch hier Nutzerdaten übertragen werden. Wenn ein Kontaktformular verwendet wird, sollte hier ebenfalls eine Opt-In-Lösung eingesetzt werden, bei welcher der Nutzer vor dem Absenden die Datenschutzerklärung akzeptieren muss.

Alternativ kann man auch einfach auf ein Kontaktformular verzichten - die Angabe einer Telefonnummer und einer E-Mail-Adresse sollten genügen. Das Deaktivieren des Kontaktformulars in Joomla ist über die globale Konfiguration möglich.

 

GDPR-Plugin für Joomla

Eines der wenigen Plugins, die es aktuell für Joomla und DSGVO gibt, ist "GDPR". Das Plugin bietet eine Reihe von interessanten Features wie

  • einen Cookie Hinweis
  • die Möglichkeit, Formulare mit einem Opt-In auszustatten
  • das Loggen von Änderungen bei User-Einträgen
  • den Export von Profilen als CSV- oder Excel-Datei (kann relevant werden, wenn eine Prüfung ins Haus steht)
  • das nachträgliche Einholen der Zustimmung zur Datenschutzerklärung von bereits zuvor registrierten Nutzern

Das Plugin ist noch recht jung und liegt derzeit in der Version 1.1 vor. Die genannten Features machen es in der Tat zu einer prüfenswerten Alternative für Joomala-Webseiten, wobei insbesondere die Möglichkeit, Formulare mit einem Opt-In auszustatten, interessant sein dürfte.

 

Ausblick auf neue Joomla-Versionen: Wird es native DSGVO-Konformität geben?

Vermutlich wird die DSGVO in der weiteren Entwicklung des Joomla-Kernsystems eine wichtige Rolle spielen. Es belibt zu hoffen, dass in nächster Zeit eine neue Version des CMS herauskommen wird, die das System besser auf die verschärften Datenschutzanforderungen ausrichtet. Wünschenswert wären vor allem Verbesserungen im Umgang mit Cookies sowie die Möglichkeit, von Haus aus alle Formulare mit einem Pflicht-Opt-In zu versehen. Es ist aber zu erwarten, dass derlei Änderungen für WordPress, das am weitesten verbreitete CMS, deutlich früher verfügbar sein werden als für Joomla.

 

Fazit

Joomla-Webseiten auf die Anforderungen der DSGVO auszurichten, ist eine große Aufgabe. Vor allem solche Komponenten, bei denen Nutzerdaten erhoben und verarbeitet werden, sind dabei kritisch zu betrachten. Kommentar-, Newsletter-und andere Plugins sollten daher genau unter die Lupe genommen werden. Aber auch die interne Suche und Kontaktformulare können kritisch sein.

Der Umgang mit Cookies stellt momentan noch das größte Ärgernis dar. Wer sie einfach abschaltet, handelt sich dafür Probleme bei der Verwaltung von Joomla ein. Zuverlässig funktionierende Plugins gibt es dazu erst wenige.

Im Zweifelsfall kann nur dazu geraten werden, alles abzuschalten, was nicht unbedingt für den Betrieb der Webseite erforderlich ist, und abzuwarten, wie sich die Rechtsprechung in einzelnen Fällen konkretisieren wird.

 

Weiterführende Links zur Anpassung von Webseiten und Blogs an die DSGVO

extrawerbung: DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?

datenschmutz: Wie setze ich die Anforderungen der DSGVO für meine Website um?

 

Titelbild © Matthias Enter - Fotolia.com 

 


Christian Kunz

Von Christian Kunz

SEO-Experte.
Sie benötigen Beratung für Ihre Webseite? Klicken Sie hier


Anzeige

SEO-Vergleich


SEO-Newsletter bestellen

Im monatlichen SEO-Newsletter erhaltet Ihr eine Übersicht der jeweils zehn wichtigsten SEO-Meldungen des Monats. Mit dem SEO-Newsletter bleibt Ihr auf dem Laufenden.
Ich bin mit den Nutzungsbedingungen einverstanden

Anzeige

rnkeffect

Premium-Partner (Anzeige)


Anzeigen sedo

SEO Agentur aus Darmstadt

SEO-Vergleich

Online Solutions Group


Onsite-Optimierung

Onsite-Optimierung

 

Sprecher auf

SEO- und Suchmaschinenblogs

SEO-FAQ

Bild © FM2 - Fotolia.com

SEO selber machen

SEO selber machen

Bekannt aus

Website Boosting


Internet World Business

SEO United


The SEM Post


Webselling

Jetzt vernetzen

SEO-Glossar

SEO-Glossar

 

SEO im Ohr, der Podcast von SEO Südwest: aktuell Folge

SEO-Beratung

Wir bringen gemeinsam Ihre Webseite in Google nach vorne. Profitieren Sie von jahrelanger SEO-Erfahrung.

Social Networks und RSS-Feed

Auszeichnungen

seo19 sieger sichtbarkeit 2020 200x200px