Drupal und DSGVO: Alles, was Sie wissen müssen

Es wurde viel über die neue Datenschutz-Grundverordnung (DSGVO) der EU geschrieben. Kurz vor dem 25. Mai ist die Suche nach Informationen zur DSGVO-Konformität im Internet allgegenwärtig. 

In meinem vorherigen Blogbeitrag Was ist die DSGVO? Nutzerrechte und Business Guidelines haben wir einen umfassenden Leitfaden darüber gegeben, was die DSGVO ist. Wir haben die Leitprinzipien und die Rechte der betroffenen Personen im Detail erläutert. In diesem Blogbeitrag werden wir darauf eingehen, wie sich die EU-DSGVO auf Ihr Unternehmen auswirken wird. Und was Sie tun können, wenn Ihre Website auf Drupal basiert. 

Im späteren Teil werden wir Fragen beantworten wie "Wie erfüllt Drupal die DSGVO?" und vor allem - Ist Drupal bereit für die DSGVO-Konformität?

Eine kurze Zusammenfassung zur DSGVO 

Die EU-Datenschutz-Grundverordnung (DSGVO) wird die EU-Datenschutzrichtlinie 95/46/EG von 1995 ersetzen und soll die Datenschutzgesetze in ganz Europa "harmonisieren". Die DSGVO konzentriert sich auf die Art und Weise, wie Informationen von Unternehmen erfasst und anschließend genutzt werden. 

Die Verordnung tritt am 25. Mai 2018 in Kraft und wurde im April 2016 verabschiedet, nachdem sie im Januar 2012 erstmals vorgeschlagen worden war. Der Zeitraum von zwei Jahren hat Unternehmen und öffentlichen Stellen Zeit gegeben, sich auf die bevorstehende Veränderung vorzubereiten.

Ihr Ziel ist es, alle EU-Bürger zu schützen und vor allem zu befähigen, wobei ein besonderer Schwerpunkt auf der Einwilligung des Nutzers liegt, während gleichzeitig die Datensicherheit streng gehandhabt und die Art und Weise, wie Organisationen in der gesamten Region an den Datenschutz herangehen, neu gestaltet wird. 

Wie wirkt sich das auf mein Unternehmen aus? 

Die neue Datenschutzverordnung setzt die Verbraucher in den Fahrersitz, und die Pflicht zur Konformität liegt bei den Unternehmen.

TL;DR

1. Auch außerhalb der EU ansässige Organisationen unterliegen der DSGVO, wenn ihre betroffenen Personen aus der EU stammen.
2. Jeder Schritt der Datenerfassung sollte die eindeutige Zustimmung des Nutzers beinhalten.
3. Sie betrifft auch KMUs.
4. Es muss ein Datenschutzbeauftragter ernannt werden.
5. Sie wird sich auf die Art und Weise auswirken, wie Kundenbindung sowie Vertrieb und Marketing in Ihrem Unternehmen ablaufen.
6. Die Strafen sind recht hoch.

Unternehmen, die personenbezogene Daten von in der Union ansässigen betroffenen Personen verarbeiten, fallen ebenfalls in den Geltungsbereich der DSGVO, unabhängig vom Standort des Unternehmens. Dies bedeutet, dass Nicht-EU-Organisationen, die bisher nicht unter das DPA fielen, weil sie einen EU-Markt oder EU-Bürger ansprechen, nun unter die DSGVO fallen.

Die Nachricht "Wir verwenden Cookies" reicht nicht mehr aus. Um das neue EU-Datenschutzgesetz einzuhalten, muss die Website klar darlegen, wo und wie sie die Informationen verwenden wird. Sie muss dem Nutzer auch eine klare Möglichkeit geben, sich davon abzumelden. 

Viele Leute denken, dass die DSGVO nur die größeren Organisationen betreffen wird, aber die DSGVO gilt auch für jedes Unternehmen, das personenbezogene Daten verarbeitet, auch für solche mit weniger als 250 Mitarbeitern. Es wird jedoch anerkannt, dass KMUs weniger Ressourcen haben oder dass sie im Vergleich geringere Mengen an sensiblen und nicht-sensiblen Daten verarbeiten. Aus diesem Grund kann ein KMU von einigen der strengeren Maßnahmen (wie z. B. der Notwendigkeit, einen Datenschutzbeauftragten zu ernennen) befreit sein. 
Die DSGVO betrifft Ihr Marketing und Ihre Kundenbindung

Da ein großer Teil des Schwerpunkts auf die "Einwilligung des Verbrauchers" und die Transparenz gelegt wurde, sind die Bedingungen für die Einholung der Einwilligung strenger. Der Einzelne muss das Recht haben, seine Einwilligung jederzeit zu widerrufen, und es wird davon ausgegangen, dass die Einwilligung nur dann gültig ist, wenn für verschiedene Verarbeitungstätigkeiten separate Einwilligungen eingeholt werden. 

Die untenstehenden Statistiken von Statista.com machen deutlich, dass eine große Anzahl von Agenturen sich auf die neue Verordnung vorbereitet, indem sie ihre Arbeitsweise ändern. 

Einfach ausgedrückt: Auch außerhalb der EU ansässige Organisationen unterliegen der DSGVO, wenn ihre betroffenen Personen aus der EU stammen.

Während 44 % der Agenturen ihre Verträge und Datenschutzrichtlinien aktualisieren, haben 26 % ihre Produkte überprüft und geändert. Gleichzeitig entwickeln 22 % völlig neue Marketingstrategien und 15 % ändern die Art und Weise, wie sie ihre Produkte verkaufen.

Es wäre nicht falsch zu sagen, dass die DSGVO die Art und Weise beeinflussen wird, wie Organisationen arbeiten und ihre Produkte vermarkten. 

DSGVO-Konformität mit Google Analytics

Unter der DSGVO sind Sie bei der Verwendung von Google Analytics auf Ihrer Website ein Datenverarbeiter. Da Sie die Kontrolle darüber haben, welche Daten gesendet werden und welche nicht. Google hat in seiner offiziellen Erklärung sein Engagement für die Einhaltung der DSGVO erklärt. Dort wurde erläutert, dass bestimmte Maßnahmen in Bezug auf Datenschutz und Datenverarbeitung getroffen wurden. 

Google ermutigt jedoch auch "Datenverantwortliche", wachsam zu sein, wie sie Daten sammeln und verarbeiten. 

Anleitung: So machen Sie Ihre Drupal-Website DSGVO-konform

Die Community hat sich zum Ziel gesetzt, Menschen aus allen Lebensbereichen zusammenzubringen und als Team zu arbeiten. Hier sind einige der Module, die Ihnen dabei helfen können. Hier sind die folgenden Möglichkeiten, um Ihre Drupal-Site DSGVO-konform zu machen.

1. Drupal GDPR Compliance Team

   Eines der besten Dinge an der Drupal-Community ist, dass man nicht lange warten muss, um ein Problem zu beheben. Das Gleiche gilt für die DSGVO. Das Drupal GDPR Compliance Team soll als Anlaufstelle für die Drupal-Community dienen, um Anstrengungen zur Verbesserung des Drupal-Frameworks für die DSGVO-Konformität zu diskutieren und zu koordinieren. 

   Sie können die Arbeit anderer Mitglieder ergänzen, indem Sie sicherstellen, dass es nicht zu Doppelarbeit kommt, die Zusammenarbeit fördern und den Agenturen und Unternehmen helfen, das neue EU-Datenschutzgesetz schnell zu bewältigen. Ein Warnhinweis, der angebracht wurde, lautet: Dieses Modulprojekt wird keine Software-Tools hervorbringen. 

   Drupal verfügt über einige großartige Tools und Module, die Ihnen helfen sollen, die oben genannten Ziele zu erreichen.  

2. Modul - Datenschutz-Grundverordnung
   Das Modul Datenschutz-Grundverordnung soll Website-Administratoren helfen, die von der Union festgelegten Richtlinien und Gesetze zu befolgen.

   Die Installation und Verwendung dieses Moduls bedeutet nicht, dass Ihre Website DSGVO-konform wird. Da die DSGVO das gesamte Unternehmen betrifft, soll dieses Modul helfen, seine Drupal-Beziehungen zu verstehen und (versucht) Hilfsmittel bereitzustellen, um Ihre Website DSGVO-konform zu machen.

   Eine Checkliste für Website-Administratoren wird bereitgestellt, die eine automatisierte Inhalts-, Modul- und Konfigurationserkennung (z. B. Cookie-Einwilligung, Überprüfung, ob eine Datenschutzrichtlinienseite vorhanden ist usw.) sowie eine Statuszeile auf der Statusberichtsseite enthält.
   

   Ein GDPR-Consent-Submodul, mit dem "Vereinbarungen" eingerichtet und die Einwilligung pro Benutzer verfolgt werden kann, ist ebenfalls verfügbar. Derzeit ist es nur für Drupal 8 verfügbar.
   
   Ein GDPR-Felder-Submodul (derzeit nur für Drupal 8) zur Kennzeichnung personenbezogener Daten auf Feldebene ist ebenfalls verfügbar. Dies dient zu Dokumentationszwecken, zur Bearbeitung eingehender Anfragen. Sagen wir zur Löschung von Daten, die vom kommenden GDPR-Aufgaben-Submodul bearbeitet werden.

   Der Drush-Befehl (drush gdpr-sql-dump) wird verwendet, um Daten zu verschleiern. Das Hauptziel hierbei ist es, Entwickler daran zu hindern, auf Benutzerdaten zuzugreifen.

   Es verwendet auch Hidden Author, ein Modul, das es Benutzern mit den entsprechenden Berechtigungen ermöglicht, Nodes und Kommentare (über NodeComment) zu posten, ohne ihren Benutzernamen preiszugeben. Dies steht im Einklang mit den Richtlinien, und nur Benutzer mit der Berechtigung "siehe Originalautor" erhalten Zugriff auf diese Informationen

3. Modul - General Data Protection Regulation Compliance 
   Da die Verantwortung für die Einhaltung der Vorschriften bei den Unternehmen liegt, ist es eine große Hilfe, wenn die Unternehmen eine Checkliste zur Hand haben, ohne kleinere Details zu übersehen. Das Modul General Data Protection Regulation Compliance hilft Ihnen bei der Einhaltung der Vorschriften, indem es Ihnen die folgenden Funktionen bietet:

   * Formular-Kontrollkästchen
   * Pop-up-Benachrichtigung
   * Richtlinienseite

   Für eine eindeutige Einwilligung des Nutzers ist es wichtig, dass der Nutzer alles über die Erhebung und Verarbeitung der Daten weiß. Dafür ist es wichtig, dass Sie als Organisation Ihre Formulareinstellungen einfach ändern, Benutzerregistrierungen und -anmeldungen erstellen, Kontaktformulare hinzufügen und bearbeiten und Nodes einfach hinzufügen können. 

   Das Modul ist auch mit eu_cookie_compliance kompatibel und einfach zu verwenden mit 
   * Benutzer- / Gastanzeige
   * Mit einer übersetzbaren Pop-up-Vorlage

   Da die Vorschriften unterschiedliche Bedingungen für einen Gastbenutzer und einen authentifizierten Benutzer definieren, ist es wichtig, dass jeder Benutzer die beste Erfahrung hat.  

   Mit diesem Modul können Sie auch Ihre eigene Richtlinienseite erstellen oder den Link ersetzen und den Cache leeren, falls Ihnen diese nicht gefällt.
   

4. Modul - GDPR Consent
   Mit dem Modul GDPR Consent können Sie die Einwilligung zur GDPR-Datenverarbeitung von angemeldeten Benutzern über die Website einholen.
   Das Modul befindet sich jedoch in der Beta-Version (nicht im endgültigen Zustand) und ist nur für Version 7 anwendbar.
    
5. Modul - Commerce GDPR
   Das Modul Commerce GDPR ist nur für Version 7 verfügbar. Es fügt Funktionen zur Datenanonymisierung hinzu, sodass die Daten weiterhin für statistische und historische Zwecke verfügbar sind, aber keine Identifizierung eines Benutzers ermöglichen und der Shop die GDPR-Richtlinie einhält.

Security by Design

Abgesehen von allen Klauseln und Richtlinien ist die DSGVO mehr als nur eine Datenverordnung. Sie ist eine Richtlinie zur Sicherung der Informationen, die den Nutzern einen klaren Vorteil verschafft. Eine der Kernpraktiken, die unabhängig von jeglicher Verordnung befolgt werden sollte, ist "Security by Design". 

Security by Design bedeutet, die Software von Grund auf so zu konzipieren, dass sie gesichert ist, um die Auswirkungen zu minimieren, wenn eine Sicherheitslücke entdeckt wird. Die Sicherheit von Anfang an zu erhöhen. Dies bedeutet, die besten Sicherheitspraktiken auf Architekturebene zu befolgen, anstatt erst nach dem Aufbau der Website. 

Dies stellt sicher, dass das Design unabhängig von einem vernünftigen Ansatz, der später zur Behebung des Problems gewählt wird, sicher bleibt. Es muss eine einheitliche Methodik angewendet werden, um die Vermögenswerte vor den Bedrohungen zu schützen. 

Sobald die Anforderungen erfasst wurden, kann die Architektur festgelegt und andere Elemente wie Trusted Execution Environment, Secure Boot, Secure Software Update usw. später besprochen werden.

Einige Datenschutzpraktiken, die Sie befolgen müssen
Die DSGVO wird fast alle Website-Betreiber betreffen. Das Beste, was Sie tun können, ist, jeden Schritt von der Datenerfassung bis zur Verarbeitung transparent zu halten. Sie können die folgenden Schritte unternehmen, um die neue Verordnung einzuhalten

Machen Sie die Nutzereinwilligung zu Ihrer obersten Priorität: Artikel 12 des offiziellen Dokuments besagt: "Die Informationen sind schriftlich oder auf andere Weise, gegebenenfalls auch elektronisch, bereitzustellen.." Ihre Drupal-Website muss ein solches Formular zusammen mit der Cookies-Popup-Nachricht bereitstellen. Dies sollte die mögliche Verwendung von Informationen und die Opt-out-Nachricht enthalten. 

Halten Sie Ihre Kommunikation transparent: Artikel 15, der die Rechte auf Auskunft der betroffenen Personen behandelt, besagt auch, dass die Einwilligung klar sein muss und dies die mögliche Verwendung von Informationen einschließen sollte. Das Cookie-Einwilligungsformular sollte auch enthalten, wo die Informationen verwendet werden. 

Halten Sie die Informationen transparent: Ein Benutzer hat das Recht, die Löschung von Daten von der Website sowie die Datenübertragbarkeit manuell anzufordern. Nicht nur das Konto deaktivieren, sondern die Daten vollständig aus der Datenbank löschen. Überprüfen Sie Ihre aktuelle Datenschutzrichtlinie und erwähnen Sie klar, dass nach der Implementierung der DSGVO alle notwendigen Änderungen vorgenommen werden.  

Benachrichtigung bei Verstößen: Informieren Sie die Benutzer innerhalb von 72 Stunden über den Verstoß. Wenn Sie als Organisation einen Datenschutzbeauftragten ernennen müssen, der für die Sicherheit der Daten verantwortlich ist.

Ist Drupal bereit für die DSGVO-Konformität?

Obwohl die Community gerüstet ist, um die große Datenschutzverordnung in Angriff zu nehmen, herrscht nicht nur in der Webentwicklungs-Community im Allgemeinen, sondern auch in Europa noch ein Gefühl der Unsicherheit. Bis die Verordnung in Kraft tritt, sind dies nur die idealen Szenarien, in denen Sie das tun können, was getan werden muss. 

Wenn Sie noch Zweifel an der Umsetzung haben, lassen Sie es uns wissen, wir sind hier, um Ihnen zu helfen. Senden Sie eine E-Mail an [email protected], damit unsere Drupal-Experten Ihnen helfen und Sie beraten können.