Datenschutzleitfaden für Joomla!-Erweiterungen

Dies ist eine Vorlage für eine Prüfung, um die Konformität von Joomla!-Erweiterungen mit den allgemeinen Datenschutzvorschriften der DSGVO zu bewerten. Dieses Verfahren basiert auf dem Entwurf Version 1 von Achilleas Papageorgiou (Joomla! Konformitätsteam) für die CMS-übergreifende Datenschutzarbeitsgruppe, in der Vertreter der Community von WordPress, Drupal, Umbraco und natürlich Joomla! zusammenarbeiten.

Generelle Empfehlung: Dieser Leitfaden bietet mögliche Antworten auf verschiedene Fragen. Auch wenn es keinen bestimmten Punktestand für das "Bestehen" gibt: Entwickler von Erweiterungen sollten sich jeweils an der ersten Antwort auf jede Frage orientieren.

Wichtiger Hinweis: Entwickler sollten sich nicht ausschließlich auf die folgenden Informationen verlassen, um einen umfassenden Konformitätsplan für ihre Softwarelösungen und ihr Unternehmens zu erstellen. Es kann aber davon ausgegangen werden, dass die folgenden Informationen einen praktischen und einfachen Weg bieten, um die Schwächen von Softwareanwendungen zu finden. Diese können dann - basierend auf den Anforderungen der Datenschutzgrundverordnung und den zur Verfügung gestellten Links zur Joomla! Dokumentation - behoben werden.

Die Dringlichkeitsgruppe der Erweiterung bezüglich des Datenschutzes auswählen

1. Zustimmung zur Nutzung der Funktionen für personenbezogene Daten

• Betroffene Gruppen: B, C, D, E

*Gesetzliche Grundlagen in der DSGVO: Artikel 4 (Definition 11), 13 & Erwägungsgründe 32, 42

1. Gibt es eine Funktion, um die Einwilligung von Benutzern, die ihre persönlichen Daten übermitteln, zu erfassen und zu protokollieren?
   1. Ein System zur Erfassung und Protokollierung von Einwilligungen ist bereits vorhanden.
   2. Ein solches System ist teilweise vorhanden (z. B. gibt es ein Zustimmungskästchen, es speichert jedoch keine Protokolle)
   3. Es gibt kein System zur Erfassung und Protokollierung von Einwilligungen.
       → Empfohlene Maßnahme:
      Eine Funktion, mit der Benutzer über die Datenschutzbestimmungen informiert werden (vor der Erfassung von persönlichen Daten) und Einwilligungen der Nutzer (sofern keine Rechtsgrundlage vorliegt), dass ihre personenbezogenen Daten erhoben und / oder verarbeitet werden, protokolliert. Ein besonderes Augenmerk sollte auf die Benutzererfahrung hinsichtlich dieser Funktion gelegt werden, um den Benutzern einen einfachen und unkomplizierten Ablauf zu ermöglichen, damit sie alle geeigneten Informationen (die Webmaster bereitstellen sollten) leicht verstehen und ihre Einwilligungen frei erteilen können.
2. Gibt es eine Funktion, mit der Benutzer ihre Zustimmung widerrufen können?
   1. Eine Funktion bietet Benutzern die Möglichkeit, ihre Zustimmung zu widerrufen.
   2. Es gibt keine Funktion zum Widerrufen der Zustimmung.
       → Empfohlene Maßnahme
      Es sollte eine Funktion bereitgestellt werden, mit der Benutzer bereits erteilte Einwilligungen widerrufen können. Ein besonderes Augenmerk sollte auf die Benutzererfahrung mit dieser Funktion gelegt werden, um den Benutzern einen einfachen und unkomplizierten Ablauf zu bieten und eine einfache Möglichkeit für den Widerruf zu finden.
3. Ist die Zustimmungsfunktion mit der nativen Joomla-Datenschutz-Komponente verbunden?
   1. Ja, sie ist mit der Datenschutz-Komponente von Joomla verbunden.
   2. Die Zustimmungsfunktion basiert auf einem benutzerdefinierten Mechanismus.
   3. Nein, das ist sie nicht.
       → Empfohlene Maßnahme:
      Die Funktionen der Erweiterung sollten mit der Datenschutz-Komponente von Joomla verbunden werden. Dies erleichtert es Erstellern von Webseiten, eine klare und korrekte Zustimmungsfunktion für Joomla-Webseiten einzurichten. Weitere Informationen dazu sind hier zu finden.
4. Erlaubt die Erweiterung die Erstellung zusätzlicher Zustimmungsfunktionen (Checkboxen) für die Vorab-Einwilligung der Benutzer zur Verwendung persönlicher Daten für die Bereiche Marketing, Profiling, Kinderdaten, sensiblen Daten?
   1. Ja, es gibt Funktionen, die zur Erstellung zusätzlicher Einwilligungsmechanismen verwendet werden können.
   2. Ja, es gibt eine solche Funktion, aber mit begrenzten Optionen (d. h. es kann nur eine weitere hinzugefügt werden).
   3. Nein, es gibt keine Funktionalität, um zusätzliche Einwilligungsfunktionen zu erstellen.
       →  Empfohlene Maßnahme:
      Eine Funktion zur Generierung - zusätzlich zu den Anforderungen unter 1.1 - von Zustimmungen von Nutzern (falls keine rechtliche Grundlage vorhanden ist), die eine zusätzliche Einwilligung geben müssen, wie z. B. zur Verarbeitung spezieller persönlicher Datenkategorien, die eine ausdrückliche Einwilligung erfordern, oder um ihre Zustimmung für einen anderen Verarbeitungsbereich zu erteilen.

2. Zustimmung zu Cookies, die persönliche Daten sammeln

• Betroffene Gruppen: B, C, D, E

1. Wenn die Erweiterung Cookies verwendet, die persönliche Daten verarbeiten: Gibt es dann eine Funktion für die vorherige Zustimmung des Benutzers zur Installation von Cookies, die persönliche Daten sammeln?
   1. Ja, es gibt eine solche Funktion.
   2. Nein, es gibt keine Funktion für Cookies, aber es gibt einen Hinweis für den Webmaster, dass er eine solche Funktionalität nutzen sollte.
   3. Nein, es gibt keine solche Funktion.
       →  Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, die Zustimmung zu Cookies vor deren Installation zu erteilen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.
2. Wenn eine Funktion zum Erfassen von Einwilligungen verfügbar ist: Gibt es dann auch eine Funktion für Benutzer, um die Einwilligung zurückzuziehen?
   1. Ja, es gibt eine solche Funktion
   2. Nein, dafür gibt es keine Funktion, aber es gibt einen Hinweis für den Webmaster, dass eine solche Funktion genutzt werden sollte.
       → Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die es den Benutzern ermöglicht, ihre bereits gegebene Zustimmung zu Cookies zurückzuziehen. Die Einhaltung der Vorschriften sollte verbessert werden, indem die Funktionen der Erweiterung mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind mehr Informationen zum Thema zu finden.

3. Recht auf Datenportabilität

• Betroffene Gruppen: B, C, D, E
• Gesetzliche Grundlage in der DSGVO: Artikel 20

1. Gibt es eine Funktion, die es den Benutzern ermöglicht, ihre Daten anzufordern und herunterzuladen?
   1. Ja, es gibt eine solche Funktion
   2. Ja, aber nur teilweise.
   3. Nein, es gibt keine solche Funktion.
       →  Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten anzufordern und herunterzuladen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.
2. Ist die Datei, die heruntergeladen wird, in einem maschinenlesbaren Format (z. B. XML, CSV)?
   1. Ja, das ist sie.
   2. Nein, es gibt keine solche Funktion.
       →  Empfohlene Maßnahme:
      Es sollte eine Funktion vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten anzufordern und in einem maschinenlesbaren Format (z. B. XML, CSV) herunterzuladen. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.

4. Auskunftsrecht der betroffenen Person

• Betroffene Gruppen: B, C, D, E
• Gesetzliche Grundlage in der DSGVO: Artikel 16

1. Falls die Erweiterung persönliche Daten sammelt: Stellt sie den Benutzern ein Dashboard mit Einstellungen zur Bearbeitung ihrer persönlichen Daten zur Verfügung?
   1. Ja, diese Funktion ist vorhanden.
   2. Ja, aber nur teilweise.
   3. Nein, das gibt es nicht.
       → Empfohlene Maßnahme:
      Es sollte eine Ansicht vorhanden sein, die den Benutzern die Möglichkeit bietet, ihre Daten in einer Vorschau anzuzeigen und zu bearbeiten.

5. Recht auf Vergessen werden

• Betroffene Gruppen: B, C, D, E
• Gesetzliche Grundlage in der DSGVO: Artikel 17, Erwägungsgrund 65

1. Gibt es eine Funktion, die den Benutzern die Möglichkeit bietet, alle ihre Daten zu entfernen/zu löschen?
   1. Ja, die gibt es.
   2. Ja, aber nur teilweise.
   3. Es gibt sie nicht.
       → Empfohlene Maßnahme:
      Den Benutzern sollte eine Funktion und ein unkomplizierter Prozess zur Verfügung gestellt werden, um Löschanträge einzureichen. Gleichzeitig sollte ein Verfahren für die Webmaster zur Verwaltung dieser Anträge auf der Verwaltungsseite ihrer Websites vorhanden sein. Die Funktionen der Erweiterung sollten mit der Datenschutzkomponente von Joomla verbunden werden. Hier sind weitere Informationen zum Thema zu finden.
2. Beinhaltet die Erweiterung einen Deinstallationsvorgang für den Erweiterungscode, um alle zuvor erfassten Benutzerdaten erfolgreich zu löschen, sobald der Super User sich für die Deinstallation entscheidet?
   1. Ja, dieser Vorgang ist möglich.
   2. Nein, ist sie nicht.
      Empfohlene Maßnahme:
      Die hier vorgeschlagenen Schritte können verwendet werden, um den Deinstallationsvorgang erfolgreich durchzuführen und jeglichen Code und alle Dateien einzubeziehen, die auf der Basis des Joomla-MVC für eine vollständige Löschung benötigt werden. Vergessen Sie nicht, die Datenbanktabellen mit den Daten der Benutzer in den Deinstallationsprozess einzubinden.

6. Standardmäßiger Datenschutz

• Betroffene Gruppen: B, C, D, E
• Gesetzliche Grundlage in der DSGVO: Artikel 25

1. Hat die Software alle Einstellungen entsprechend ihres Anwendungsbereichs auf das höchstmögliche Datenschutzniveau gesetzt?
   1. Ja, die Standardeinstellungen sind auf die Einstellung mit dem höchstmöglichen Datenschutzniveau gesetzt.
   2. Nein, die Standardeinstellungen sind nicht auf die privateste Einstellung eingestellt.
       → Empfohlene Maßnahme:
      Alle Einstellungen bezüglich der Sammlung, Verarbeitung und Speicherung von persönlichen Daten sollten entsprechend des Umfangs der Verarbeitung auf die Einstellungen mit dem höchstmöglichen Datenschutz gesetzt werden.
2. Sammelt die Erweiterung personenbezogene Daten, die derzeit nicht benötigt/verwendet werden?
   1. Ja, die Erweiterung sammelt nur das Minimum, das für die Funktionen für Superuser und Benutzer nötig ist.
   2. Die Erweiterung sammelt standardmäßig zusätzliche Informationen, die möglicherweise von Superusern verwendet werden könnten.
       → Empfohlene Maßnahme:
      Die Erweiterung sollte standardmäßig nur die unbedingt erforderlichen Benutzerdaten sammeln, die gemäß ihrer Beschreibung für die Funktionsfähigkeit zwingend erforderlich sind. Alle zusätzlichen Funktionen, die sich aus der Datenerfassung ergeben (z. B. die Erfassung von IP-Adressen), sollten standardmäßig auf AUS gesetzt sein. Die Erweiterung sollte ein Dashboard bereitstellen, damit Administratoren diese Einstellungen entsprechend ihren Bedürfnissen und Datenschutzrichtlinien verwalten können.

7. Sicherheitsmaßnahmen

• Betroffene Gruppen: A, B, C, D, E
• Gesetzliche Grundlagen in der DSGVO: Artikel 32, Erwägungsgründe 6 und 78

1. Gibt es eine sichere Übertragung für alle von der Funktion genutzten Ressourcen?
   1. Ja, alle Anfragen werden über HTTPS (TLS) abgewickelt.
   2. Einige der Ressourcen übertragen Informationen auf unsichere Weise.
   3. Alle Ressourcen übertragen Informationen auf unsichere Art und Weise.
      Empfohlene Maßnahme:
      Alle verwendeten Ressourcen, ob lokal oder über einen Drittanbieter-Host, sollten Daten nur über verschlüsselte Verbindungen übertragen. Die HTTP-Requests des Browser sollten überprüft werden, unter Umständen mit einem Tool wie Screaming Frog. Auf Webservern sollten immer gut konfigurierte Zertifikate auf Ihren Webservern verwendet werden, um eine sichere Übertragung zu gewährleisten. Falls die Erweiterung Daten von einem Webserver anfordert oder an ihn überträgt, kann ein Test durchgeführt werden, um die Sicherheit des verwendeten Zertifikats und der Konfiguration dieses Servers zu gewährleisten. Es gibt viele Werkzeuge und Dienste, die dabei helfen, z.B. SSL Server Test.
2. Wenn die Erweiterung zur Speicherung spezieller persönlicher Datenkategorien (wie die in Gruppe D beschriebenen) verwendet wird: Werden die Daten dann verschlüsselt gespeichert?
   1. Ja, die Daten können verschlüsselt gespeichert werden.
   2. Nur ein Teil der Daten kann verschlüsselt gespeichert werden.
   3. Nein, die Erweiterung verschlüsselt keine Daten.
       → Empfohlene Maßnahme:
      Um die Konformität der Erweiterung zu erhöhen, sollten Verschlüsselungsfunktionen verwendet werden, um die Daten in der Datenbank zu verschlüsseln. Dadurch wird die Erweiterung mit höherer Wahrscheinlichkeit von Websites verwendet, die strenge Sicherheitsmaßnahmen anwenden und nachweisen wollen. Auf GitHub sind weitere Informationen zum Thema zu finden.
3. Werden bei Bedarf Anonymisierungstechniken angewendet?
   1. Ja, Daten können anonymisiert werden.
   2. Einige der Daten können teilweise anonymisiert werden.
   3. Nein, es gibt keine Möglichkeit, Daten zu anonymisieren.
       → Empfohlene Maßnahme:
      Es können Anonymisierungsfunktionen für die gesammelten Daten verwendet werden. Dadurch wird die Erweiterung mit höherer Wahrscheinlichkeit von Websites verwendet, die strenge Sicherheitsmaßnahmen anwenden und nachweisen wollen. Hier sind weitere Informationen zum Thema zu finden.

8. Einsatz von Drittparteien oder Dritten als Datenverarbeiter

• Betroffene Gruppen: A, B, C, D, E
• Gesetzliche Grundlage in der DSGVO: Erwägungsgründe 58 und 78

1. Falls zur Bereitstellung einer Dienstleistung oder einer Funktionalität eine Drittpartei eingesetzt wird: Wurde diese in die Liste der Dritt- oder Subunternehmer aufgenommen?
   1. Ja, es gibt eine Liste mit allen Drittparteien.
   2. Nein, es gibt keine Liste von Drittparteien oder die Liste ist nicht vollständig.
       → Empfohlene Maßnahme:
      Es sollte eine Liste mit allen Dienstleistungen von Drittparteien, die von der Erweiterung genutzt werden, zur Verfügung stehen. Das macht es Webmastern leichter, sie auch in die Liste der Verarbeiter in ihrer Datenschutzrichtlinie für die Website aufzunehmen.
2. Falls Dienstleistungen von Drittparteien verwendet werden: Existiert ein Hinweis mit einem Link zum Datenschutzabkommen/Addendum (DPA) der von Ihrer Erweiterung benutzten Drittanbieter für die Webmaster? Ist dieser Hinweis leicht zu finden und zu unterzeichnen? Auch wenn die dritte Partei keine persönlichen Daten sammelt, sollte eine Vereinbarung darüber bestehen.
   1. Ja, für alle Drittparteien.
   2. Ja, für einige Drittparteien.
   3. Nein, es ist keine DPA unterzeichnet.
       → Empfohlene Maßnahme:
      Es sollte ein Hinweis mit einem Link zu den Datenschutzvereinbarungen/Zusätzen der von der Erweiterung verwendeten Dritten bereitgestellt werden. So können die Webmaster, die diese verwenden werden, diese Vereinbarung leicht unterschreiben. Dies wird ihnen helfen, die Einhaltung der Datenschutzvereinbarungen durch diese Dritten zu überprüfen und ihren Nutzern Informationen zur Verfügung zu stellen.

Weiterführende Informationen

• Secure coding guidelines, Joomla-Dokumentation
• Vorlage für Konformitäts-Audits zur Bestimmung des DSGVO-Compliance-Levels von Software-Erweiterungen, Cross-CMS Coalition Online unter: https://git.io/fjww3
• Papageorgiou A., Strigkos M., Politou E., Alepis E., Solanas S., Patsakis C., Security and privacy analysis of mobile health applications: The alarming state of practice: https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=8272037. Diese Studie wurde von der Europäischen Kommission im Rahmen des Programms Horizont 2020 (H2020), als Teil des OPERANDO-Projekts (Grant Agreement Nr. 653704) und der CRYPTACUS COST-Aktion (COST Action IC1403) unterstützt.
• Open Source Privacy Standards, von Heather Burns (webdevlaw): https://git.io/fjwwG
• Nutricati A. and Papageorgiou A., GDPR Overview: Decrypting the regulation in series: https://magazine.joomla.org/issues/issue-feb-2018/item/3306-gdpr-overview-decrypting-the-regulation-in-series
• Papageorgiou A., GDPR Awareness: From privacy risks to the need for countermeasures: https://magazine.joomla.org/issues/issue-mar-2018/item/3314-gdpr-awareness-from-privacy-risks-to-the-need-for-countermeasures
• Koho R., Privacy by default and GDPR, examples and best practises: https://magazine.joomla.org/issues/issue-apr-2018/item/3318-privacy-by-default-and-gdpr-examples-and-best-practises
• GDPR – A Practical Guide for Developers, BOZHO'S TECH BLOG: https://techblog.bozho.net/gdpr-practical-guide-developers/

Mitwirkende

• Autor: Achilleas Papageorgiou, Teamleiter des Compliance-Teams
• Mitwirkende: Luca Marzo, Sander Potjer, Roland Dalmulder