So bereiten Sie Drupal Websites auf die DSGVO vor

Die DSGVO ist mittlerweile schon seit dem 25. Mai 2018 in Kraft und beinhaltet die zentralen Datenschutzrichtlinien, mit denen sich jeder Website-Betreiber beschäftigen sollte. Hier erfahren Sie Tipps und Infos, worauf es bei Websites, die mit dem CMS Drupal erstellt wurden, besonders ankommt.

Drupal und die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) oder General Data Protection Regulation (GDPR) auf Englisch ist eine EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt.

Sie ist somit relevant für jeden Website-Betreiber und es drohen sehr hohe Bußgelder bei Verstößen gegen die Richtlinien. Die nachfolgenden Tipps und Informationen sind keine Rechtsberatung sondern nur eine Zusammenfassung unserer Erfahrungen mit Drupal-Projekten.

Wo fallen personenbezogene Daten in Drupal an?

Beispiele von personenbezogen Daten

Zusammengefasst sind personenbezogene Daten solche, die

• sich auf eine natürlich Person (kein Unternehmen etc.)
• beziehen (z. B. inhaltlich Erhebung, aber auch Analyse/Auswertung) und
• Rückschlüsse auf diese Person zulassen.

Dabei müssen diese Rückschlüsse gar nicht gezogen sein, sondern es muss nur technisch (evtl. durch eine Kombination von Daten) möglich sein. Somit fallen zunächst alle denkbaren persönlichen Informationen unter die Vorschrift. Zudem wird alleine beim Aufrufen einer Website ebenfalls eine Vielzahl an technischen Daten übertragen.

Es ist allein wegen der beim Aufruf übertragenen Daten technisch schon nicht möglich, eine Website zu erstellen, die gar keine Berührung mit personenbezogenen Daten hat.

Erhobene Daten in Drupal

Bereits beim Besuch der Website loggt der Webserver und auch das Drupal CMS selbst die IP-Adressen der Nutzer. Sie kommen bei einer Drupal-Website (wie bei eigentlich jeder Website) nicht um eine Datenschutzerklärung herum.

Beispiele für von der DSGVO betroffene Website-Bestandteile sind zum Beispiel:

• Drupal-Logs
• Statistiken, Google Analytics etc.
• Login/Registrierung
• Kontaktformular
• Theme (nutzen häufig Google Fonts, Bootstrap, ...)
• evtl. Werbung
• evtl. Online-Shop
• evtl. externe Medien (YouTube-Videos)

Wann dürfen Daten verarbeitet werden?

Insgesamt gibt es sechs erlaubte Gründe (DSGVO Art. 6) für die Datenverarbeitung. Die folgenden sind dabei vermutlich besonders relevant:

• Einwilligung durch die Person: Bei einem Kontaktformular sollten Sie beispielsweise auf die Datenschutzerklärung hinweisen und ggf. die Einwilligung einholen.
• Rechtliche Verpflichtungen: Die Erhebung von Rechnungsdaten könnte z. B. hierunter fallen.
• Berechtigtes Interesse: Dabei sind vor allem technisch zwingend notwendige Daten gemeint. So ist ein Cookie für eine Warenkorb relevant für die Funktionsfähigkeit der Seite. Dabei müssen Grund und Umfang abgewogen werden. So ist das Loggen von IP-Adressen zur Abwehr von Angriffen zwar ein möglicher Grund, jedoch wäre eine monatelange Speicherung vermutlich nicht mehr verhältnismäßig.

Wie müssen Daten verarbeitet werden?

Beachten Sie, dass die Datenerhebung und -verarbeitung weiteren Grundsätzen unterliegt. So sind Sie verpflichtet möglichst wenig und nur relevante Daten zu Erheben. Zudem darf die Speicherung nur solange wie nötig erfolgen. Achten Sie ebenfalls auf einen ausreichenden Schutz vor unbefugtem Zugriff der Daten.

DSGVO-Umsetzung mit Drupal-Modulen

Zunächst sollte erwähnt sein, dass es nicht das eine Modul für Drupal gibt, mit dem Ihre Website plötzlich DSGVO-konform ist. Für eine rechtssichere Website braucht es weit mehr als ein paar Plugins.

Kontaktformulare

Beachten Sie bei Formularen, z. B. Kontaktaufnahme oder Registrierung, auf die Datenverarbeitung und die Datenschutzerklärung hinzuweisen. Entweder Sie erstellen manuell Checkboxen als Pflichtfeld für die Formulare oder nutzen beispielsweise das Drupal Modul „General Data Protection Regulation Compliance“, welches dies automatisch für sie erledigt.

Unter /admin/config/gdpr/compliance können die Formulare eingestellt werden, für welche ein Datenschutzhinweis inklusive Checkbox angezeigt werden soll.

Das Modul bietet noch einige weitere Funktionen, unter anderem eine Muster-Datenschuterklärung und einen Opt-Out Cookie Banner.

Eine weitere Lösung bietet das sehr mächtige Drupal Webform Modul. Hier müssten die Checkboxen alle einzeln erstellt werden oder man nutzt den Webform Support des GDPR Compliance Moduls.

Cookies

Das bekannteste DSGVO Modul für Drupal ist „EU Cookie Compliance (GDPR Compliance)“. Der Fokus liegt besonders auf der Einwilligung der Cookie-Erlaubnis, wobei die Möglichkeit für ein Opt-In einstellbar ist. Damit entspricht dieses Modul auch den Anforderungen der DSGVO.

Das Modul bietet eine Dokumentation für Drupal 8 und eine Dokumentation für Drupal 7.

Google Analytics

Google Analytics ist ein Drittanbietertool, welches Websitebetreibern hilft, die Seitenbesuche zu tracken und zu analysieren. Da dies nicht technisch notwendig ist, wird aufgrund der Erhebung personenbezogener Daten eine zusätzliche Einwilligung benötigt.

Google Analytics setzt standardmäßig Cookies für das Erkennen von Website-Besuchern ein. Um dies bei ausstehender Erlaubnis zu verhindern, muss das Cookie Compliance Modul entsprechend konfiguriert werden.

Achten Sie also darauf, dass Google Analytics nur Cookies bei einer konkreten Einwilligung setzt und passen Sie Ihre Datenschutzerklärung entsprechend an!

Externe Inhalte

Eingebettete Medien und Drittanbieter senden alleine beim Laden bestimmte Daten weiter, noch bevor eine Zustimmung erteilt werden kann. Beispiele sind:

• YouTube Videos
• Google Webfonts
• Twitter oder Facebook Integration
• Google Analytics

Das Modul „Blizz Vanisher“ verhindert automatisch das Laden aller externer Skripte solange keine Einwilligung des Nutzers erteilt wurde.

Wir empfehlen bei externen Inhalten daher eigene, für die Website passende Module zu entwickeln oder entwickeln zu lassen.