Eine Joomla Installation wird durch die neuen Funktionen für Joomla zum Datenschutz für Benutzer nicht automatisch DSGVO-konform. Das war auch vorher nie so. Dazu gehört hier weitaus mehr als eine Checkbox für das Kontaktformular und das Tracken von Aktivitäten, genauer sagt Benutzeraktivitäten.
Joomla!® DSGVO Suite – Informationen – Ist Ihre Internetseite DGSVO konform?
Einleitung
Mit diesem Ratgeber und zugleich auch Anleitung mit vielen Informationen kann jede Website mit Joomla DSGVO Funktionen ausgestattet werden. Natürlich gibt es mehr als ein Forum für Joomla für Hilfestellungen.
Die Zustimmung zum Datenschutz wurde bislang häufig vernachlässigt. Tricks sind zum Glück nicht nötig. Auch keine besonderen Templates. Mit Joomla hat man alle Werkzeuge und Erweiterungen, die benötigt werden. Eine zusätzliche Erweiterung ist nicht erforderlich.
Es gibt Module und Plugins, welche die Möglichkeit bieten, eine Verbesserung mit Joomla in Bezug auf den Datenschutz zu erreichen. Natürlich ist hier insbesondere der Administrator der Website gefordert. Aber er hat nun sehr gute Werkzeuge an der Hand, um die DSGVO mit Joomla besser umzusetzen.
Es geht am Anfang ziemlich trocken los. Ganz bewusst wird im ersten Teil zunächst auf Bilder oder Screenshots verzichtet. Dieser Ratgeber ist lang, sehr lang und ausführlich. Mit zahlreichen Screenshots ab dem dritten Teil, wo es losgeht mit den Joomla DSGVO Funktionen.
Ziele des hier vorliegenden Ratgebers für Joomla oder DGSVO Tipps?
- Das Thema Datenschutz in seiner Handhabung innerhalb von Joomla an sich verstehen. Mit Hilfe der weiter unten verlinkten Generatoren gibt es darüber hinaus sehr viele Informationen von anerkannten Experten zum Thema Datenschutz und Datenschutzerklärung. Der Autor dieses vorliegenden Ratgebers könnte selbst niemals die rechtlichen Zusammenhänge derart aufzeigen wie es Rechtsexperten können.
- Die in Joomla vorhandenen Komponenten und Plugins für die DSGVO verstehen. Alle Funktionen werden einfach und strukturiert erklärt. Alles mit Praxisbezug und Anleitung in Wort und Bild. Dieser Ratgeber hilft dabei, die Funktionen Joomla DSGVO für den Datenschutz und die Benutzeraktivitäten direkt umzusetzen.
- Überraschend mag vielleicht sein, dass dieser Ratgeber das Thema Cookie Banner nicht behandelt. Das ist aber so beabsichtigt, jedenfalls derzeit. Es gibt tonnenweise Informationen im Internet dahingehend, ob ein Cookie Banner nur Hinweischarakter hat oder aber auch Funktionen bieten sollte, wonach der Benutzer sich vorab für oder gegen ein bestimmtes Tracking entscheidet. Bis dahin kommt dieser Ratgeber auch mit dem Hinweis aus, dass es den Cookie Banner in Form von unzähligen Erweiterungen bzw. Module für Joomla gibt.
Inhaltsverzeichnis: Joomla DSGVO Suite
Wichtiger Hinweis
Der Autor dieses Ratgebers ist nicht dazu befugt, rechtliche Beratungen durchzuführen. Er gehört nicht einer Berufsgruppe an, die dazu befähigt und befugt ist. Daher sind alle hier gemachten Ausführungen als Hinweise zu verstehen. Sie wurden nach bestem Wissen und mit äußerster Sorgfalt recherchiert, zusammengetragen und ausschließlich durch den Autor selbst erstellt. Dennoch kann und will der Autor hier keine Gewähr für die Richtigkeit geben und schließt von vornherein jede Haftung im Zusammenhang mit der Umsetzung der hier vorgestellten Möglichkeiten aus.
Eine rechtliche Beratung sollte in jedem Fall in Erwägung gezogen werden.
Datenschutzerklärung – Informationen
Insbesondere eine rechtskonforme Datenschutzerklärung und der rechtskonforme Umgang mit Daten sind wesentliche Aspekte bei einer erfolgreichen Umsetzung einer Website, die im Idealfall dann auch tatsächlich konform mit der DSGVO ist.
Datenschutz Generator DSGVO
Eine sehr gute fachliche Erläuterung zum Begriff der Datenschutzgrundverordnung sowie einen Generator für DSGVO Datenschutzerklärungen gibt es im Blog des Rechtsanwaltes Herrn Dr. Thomas Schwenke: https://drschwenke.de/dsgvo/. Der Generator wird in mehreren führenden Online-Redaktionen empfohlen. Es gibt auch eine eigene Website für den Generator: https://datenschutz-generator.de.
Sehr beliebt und ebenfalls auch bekannt ist der eRecht24 Datenschutz Generator: https://www.e-recht24.de/muster-datenschutzerklaerung.html.
Auch der Generator von der Rechtsanwaltskanzlei Wilde Beuger Solmecke ist sehr empfehlenswert: https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/.
Von Trusted Shops (Trusted Experts) gibt es einen Rechtstexter für eine Datenschutzerklärung nach der DSGVO: https://shop.trustedshops.com/de/rechtstexter-fuer-ihre-datenschutzerklaerung.
Die Aufzählung könnte hier noch beliebig fortgesetzt werden, so groß ist inzwischen das Angebot an Generatoren und Erläuterungen zum Thema Datenschutzgrundverordnung, kurz gesagt: DSGVO.
Durch den Autor dieses Ratgebers wurden ganz bewusst die vier oben genannten Generatoren aufgeführt. Aus den Erfahrungen durch viele Kundenarbeiten und hier auch immer wieder durch die direkte Zusammenarbeit mit den Kunden ergab sich nach mehreren Jahren ein ganz eindeutiges Bild dahingehend, welche Generatoren auch wirklich nachhaltig und zu empfehlen sind.
Abschließend sei hierzu noch erwähnt, dass die Reihenfolge der oben aufgeführten Generatoren keine bestimmte Aussagekraft hat, sondern zufällig zustande gekommen ist.
Hinweise von Joomla
Siehe hierzu auch der Hinweis in den Nachinstallationshinweisen zur Joomla DSGVO Suite. Es wird ausgeführt, dass die neuen Funktionen ab Joomla 3.9 bei der Umsetzung von Datenschutzrichtlinien und beim Einholen der Benutzerzustimmung unterstützen. Das bedeutet, dass Joomla nicht von sich aus allein alle Aspekte der DSGVO erfüllen kann. Hier ist der Anwender gefragt. Joomla ist ein Werkzeugkasten. Die Werkzeuge richtig bedienen und richtig anwenden muss der Mensch selbst.
Joomla bietet also neue Funktionen, die bei der Umsetzung von Datenschutzrechtlinien und beim Einholen der Benutzerzustimmung unterstützen.
Besucher und Benutzer in Joomla
Nur ein kleiner Teil der neuen Funktionen sind für Besucher der Website relevant. Ein Großteil ist für Benutzer mit Login-Daten wichtig und relevant. Einen anonymen Besucher der Website informieren wir mit der Datenschutzerklärung über den Umgang mit seinen Daten. Einen angemeldeten Benutzer hingegen tracken wir im Joomla-System. Wir zeichnen seine Bewegungen auf. Und wir ermöglichen es ihm, einen Antrag aus Auskunft und sogar auf Löschung seiner Daten zu stellen.
Was gibt es in Joomla an (neuen) Funktionen für die DSGVO?
Zwei Komponenten:
- Datenschutz
- Benutzeraktivitäten
Mehr als 10 neue Plugins:
- 6 x vom Typ Privacy
- 3 x vom Typ System
- Je 1 x vom Typ Content, User und Quickicon
Beide Komponenten unterstützen Plugins. Das ist gut so, denn hierdurch ist der Funktionsumfang erweiterbar und auch einfach konfigurierbar.
Vorteil für Dritthersteller: Sie können mit Ihren Erweiterungen darauf aufsetzen. Beispielsweise kann der Hersteller einer Kontaktformularkomponente auf die vorhandenen Plugins in Joomla aufsetzen und muss keine eigenen (neuen) Plugins für bestimmte Funktionen selbst schreiben.
Neues für Besucher der Website in Joomla – Was kann das GDPR Plugin nun konkret?
- Sehr einfache Zustimmung zum Datenschutz im Kontaktformular (Checkbox)
- Plugin: Inhalt – Datenschutzerklärung – Einfache Aktivierung des Plugins für die Anzeige der Checkbox mit einem Hinweis
- Der Hinweis kann individuell über Sprachoverrides geändert werden
Aktivierung des Plugins
Plugin: Inhalt – Datenschutzerklärung aktivieren
Hierdurch ist die Funktion dann standardmäßig im Kontaktformular von Joomla integriert.
Gibt es noch etwas Neues für die (nicht angemeldeten) Besucher einer Website? Nein. Das ist alles.
Neues für Benutzer einer Website
Zur Erinnerung: Mit Benutzer sind angemeldete Besucher gemeint. Benutzer haben also Anmeldedaten für ein Login und verwenden diese auch.
Neu sind die Erweiterungen Datenschutz- und Benutzeraktivitäts-Komponente:
Neue Erweiterung im Backend: Komponente Datenschutz – Neue Funktionen für die DSGVO?
Komponente Datenschutz: Kontrollzentrum
Die Komponente ist modulfähig.
Modul: Alle Anfragen. Es zeigt alle eingegangenen Anfragen von Benutzer an:
Anfrage: Export oder Löschung von Daten
Benutzer können anfordern:
- Seine Daten. Was wird über ihn gesammelt?
- Seine Daten zum Exportieren anfragen
- Antrag auf Löschung seiner Daten
Das System unterscheidet zwischen Anfragen, um gespeicherte personenbezogene Benutzerdaten zu löschen oder diese Daten über einen Export anzufordern.
Hierzu muss auf der Website ein Formular zur Verfügung gestellt werden.
Formular für eine Anfrage aus der Joomla DSGVO Suite
Es wird ein Menüeintrag vom neuen Menüeintragstyp „Anfrageformular“ (Datenschutz >> Anfrage erstellen) erstellt:
Das Formular auf der Website kann z.B. so aussehen:
Der Benutzer kann nun als Anfragetyp „Exportieren“ für den Export seiner Benutzerdaten oder „Löschen“ für das Löschen seiner Benutzerdaten auswählen und die Anfrage absenden. Die Angaben der E-Mail-Adresse ist dabei ebenfalls vorgesehen. Der Anfrageprozess läuft im Rahmen eines Double-Opt-In-Verfahrens ab.
Tipp: Wenn das Formular nicht auf der Website direkt angezeigt werden soll, kann der entsprechende Menüeintrag auch in einem versteckten Menü, so genanntes Schattenmenü oder auch Hidden Menu, erstellt werden. Allerdings muss der Link dann bei einem entsprechenden Anlass oder einer Nachfrage manuell per E-Mail an den Benutzer versendet werden.
Bei vorliegenden Anfragen sieht das In der Komponenten dann unter Datenschutz: Kontrollzentrum wie folgt aus:
Im Modul werden alle Anfragen angezeigt. Es ist sofort zu erkennen, was zum Exportieren und was zum Löschen angefragt bzw. beantragt wurde.
Unter „Anfragen“ wird eine Auflistung angezeigt:
E-Mail mit Double Opt-In
Der Benutzer bekommt eine E-Mail. Er muss zunächst bestätigen, dass er der Inhaber der E-Mail-Adresse ist, die bei der Anfrage angegeben wurde. Hierzu klickt er in seiner Mail auf den entsprechenden Link:
Formular für die Bestätigung
Nachdem der Benutzer den Bestätigungslink angeklickt hat, kommt er auf ein Formular auf der Website geleitet:
Die E-Mail-Adresse muss hier noch einmal erneut eingegeben werden.
Backend: Übersicht Anfragen und Statusprüfung
Im Backend unter Datenschutz: Anfragen sehen die Anfragen nun wie folgt aus:
Demnach hat jetzt eine Anfrage den Status „Bestätigen“.
Export von Daten – Ebenfalls wichtig für die Datenschutzgrundverordnung
Diese Anfrage kann nun aus dem Backend heraus durch Klick auf „Exportieren“ bestätigt werden:
Wahlweise kann jetzt links das Symbol für den Export als XML-Datei oder aber der Export als E-Mail ausgewählt werden.
Die versende E-Mail wird mit einer XML-Datei als Anlage in das E-Mail-Postfach des Benutzers zugestellt:
Hinweis: Die XML-Datei beinhaltet Daten in einem maschinenlesbaren Format.
Mit einem Klick auf die E-Mail-Adresse des betroffenen Benutzers in der Übersicht „Anfragen“ wird ein Aktivitätsprotokoll angezeigt:
Unter Datenschutz: Informationsanfrage überprüfen werden also Details zur Informationsabfrage angezeigt. Das Aktivitätsprotokoll beinhalte alle Aktivitäten Zusammenhang mit der Anfrage des Benutzers.
Export XML-Datei
Der Inhalt der exportierten XML-Datei sieht so aus:
Zustimmungen
Unter Datenschutz: Zustimmungen werden alle Zustimmungen aufgelistet. Die Zustimmungen werden über die Registrierung im Profil des Benutzers eingeholt. Ohne diese Zustimmung kann der registrierte Benutzer keine weitere Seite aufrufen. Wir gehen weiter unten auf diese Funktion ein.
Weitere Einstellungen dazu können im Plugin System – Datenschutz Zustimmung vorgenommen werden. Natürlich muss das Plugin auch aktiviert werden, erst dann werden Zustimmungen wie hier unter Datenschutz: Zustimmungen zu sehen auch protokolliert:
Statusprüfung
Unter Datenschutz-Kontrollzentrum ist das Modul: Statusprüfung aktiv. Hier wird übersichtlich angezeigt, was ggf. noch zu tun ist, um die neuen Funktionen zur DSGVO auch nutzen zu können:
Im Beispiel oben ist ersichtlich, dass die Datenschutzerklärung noch nicht veröffentlicht wurde.
Wichtige Anfragen
Wichtige Anfragen sind Anfragen, die älter als 14 Tage sind. Diese Standard-Option kann direkt in der Komponente in den Optionen geändert werden. Es kann eine Zeit zwischen 1 und 30 Tagen angegeben werden, die verstreichen muss, bis eine Anfrage als Wichtig eingestuft wird.
Datenschutzerklärung
Im Plugin: Inhalt – Datenschutzerklärung kann die Funktion Datenschutzerklärung mit einem Beitrag verknüpft werden:
Im Plugin: System – Datenschutz Zustimmung muss die Funktion ebenfalls mit einem Beitrag verknüpft werden. Ansonsten zeigt die Statusprüfung nicht den Status „Veröffentlicht“ an. In diesem Plugin wird also die Zustimmung zu einer Datenschutzerklärung oder zu Nutzungsbedingungen festgelegt.
Nutzungsbedingungen
Im Plugin Benutzer – Nutzungsbedingungen wird genauso verfahren wie oben beschrieben:
In allen Fällen wurde hier ein Beitrag „Datenschutzerklärung“ erstellt und als Menüeintrag „Datenschutz“ veröffentlicht.
Eine Zustimmung kann also getrennt für die Datenschutzerklärung und für die Nutzungsbedingungen eingeholt werden. Insbesondere für Vereine und/oder Communities ist diese Funktion besonders interessant und wichtig zugleich.
Unter Datenschutz: Kontrollzentrum sieht die Statusprüfung jetzt wie folgt aus:
Anwendungsfall aus der Praxis – Gibt es auch ein Joomla Datenschutz Plugin?
- Ein registrierter Benutzer kann sich im Frontend einloggen
- Benutzer sollen der Datenschutzerklärung oder den Nutzungsbedingungen zustimmen
Erstes Login nach Registrierung
Wenn der Benutzer sich registriert hat, wird er beim ersten Login auf seine Profilseite geleitet. Hier muss er der Datenschutzerklärung oder den Nutzungsbedingungen zustimmen.
Zustimmung zur Datenschutzerklärung
Die Funktion für diese Zustimmung kommt aus dem Plugin: System – Datenschutz Zustimmung:
Ohne seine Zustimmung kann der Benutzer keine andere Seite aufrufen. Erst nach seiner ausdrücklichen Zustimmung kann er sich weiter auf der Website bewegen, sprich andere Seiten aufrufen.
Zur Erinnerung: Alle Aktivitäten des Benutzers werden protokolliert, hier insbesondere die Zustimmung.
Zustimmungen zur Datenschutzerklärung oder den Nutzungsbedingungen können auch regelmäßig eingeholt werden.
Im Plugin: Datenschutz Zustimmung gibt es den Tab „Ablaufdatum“:
Hier kann die Funktion der regelmäßigen Einholung der Zustimmung mit Ja oder Nein eingestellt werden. Die periodische Überprüfung in Tagen kann zwischen 0 und 120 gewählt werden.
Die Zustimmungsdauer kann von 180 bis 720 Tagen lang gewählt werden.
Eine Erinnerungsfunktion von 0 bis 120 Tagen kann gewählt werden, so dann hier dann eine Nachricht mit dem entsprechenden Hinweis vor dem Ablauf der Zustimmung gesendet wird.
Hinweis: Zustimmungen können im Dashboard (Backend) gelöscht werden. In diesem Fall werden betroffene Benutzer beim nächsten Login erneut der Datenschutzerklärung oder den Nutzungsbedingungen zustimmen.
Anmerkungen zur Funktion Datenschutz
- Die IP des Benutzers wird ausnahmslos immer im Protokoll gespeichert. Dies gilt aber nur für die Zustimmungsfunktion in der Komponente Datenschutz. Bei den Benutzeraktivitäten kann die Speicherung der IP des Benutzers in den Optionen der Komponenten deaktiviert werden.
- Eine Automatisierung der Export-Funktion nach erfolgter Anfrage zum Export der Daten ist aktuell nicht mit Bordmitteln möglich.
Neue Erweiterung: Komponente Benutzeraktivitäten
Ab jetzt kann alles an Aktivitäten geloggt bzw. protokolliert werden. Dies gilt auch für Admin etc., also auch für den Benutzerkreis, der verantwortlich ist für das Erstellen von Beiträgen usw.
Protokoll in der Joomla DSGVO Suite
Jede Änderung ist hinsichtlich des Verursachers somit immer und jederzeit nachvollziehbar:
Plugin für Benutzeraktivitäten
Tipp: im Plugin: System – Benutzeraktivitäten kann in den Einstellungen ein Wert für die Tage angegeben werden die vergehen müssen, bis die Protokolle gelöscht werden. Es kann ein beliebiger Wert angegeben werden. Der Wert 30 zum Beispiel bedeutet dann eine Zeit von 30 Tage. Weiter kann hier auch festgelegt werden, welche Ereignisse protokolliert werden. Diese Einstellungen können nur global für alle Benutzer festgelegt werden.
Anmerkungen zur Funktion Benutzeraktivitäten
Zur Erinnerung: Bei entsprechender Einstellung werden alle Aktivitäten getrackt. Die Wege eines Benutzers im Frontend sowie auch im Backend der Website sind somit immer und jederzeit nachverfolgbar, mindestens aber für den Zeitraum des vorliegenden Protokolls.
Schlussbemerkung zu den neuen Komponenten der Joomla DSGVO Suite
Die Informationen in diesem Ratgeber sollen helfen, die Joomla DSGVO Suite besser zu verstehen. Die neuen Erweiterungen ermöglichen unter anderem das Tracken von Benutzern die registriert sind und die Einholung einer Zustimmung zum Datenschutz. Module und Plugins machen die Suite richtig brauchbar, durch die Formulare und der Zustimmung zum Datenschutz ganz besonders für das Frontend. Mit den Erweiterungen und vielleicht etwas Aufwand in Form eigener Anpassung an das genutzte Template sprechen wir hier von großen Verbesserungen für die Umsetzung der DSGVO mit der Joomla DSGVO Suite.