In den neuen Joomla! 3.9 Privacy-Release reingeschaut

Teilen

Vor gut einem Monat hat das Joomla!-Projekt den Privacy-Release 3.9 angekündigt. Dieser konzentriert sich ganz darauf, den DSGVO Bestimmungen möglichst gerecht zu werden.

Inzwischen wurde dazu aufgefordert, die 3.9 Version zu testen. Das habe ich natürlich gemacht. Hier ein erstes Fazit zum Release.

Der Joomla! 3.9 Release soll in vielerlei Hinsicht, den DSGVO-Bestimmungen Rechnung tragen. Einerseits soll im Umgang mit den gespeicherten Informationen (IP-Adressen, Cookies) besser dokumentiert werden, zum anderen sollen 3pd-Erweiterungen die Möglichkeit erhalten, Ihre Reports mit dem Joomla!-Core abzugleichen.

Wie werden personenbezogene Daten im 3.9 Release gespeichert?

a) Frontend (Cookies & IP-Adressen)

Alle Joomla! Seiten-Aufrufe starten automatisch eine Sitzung, welche die IP-Adresse in einer Session speichert und ein Session-Cookie im Browser des Benutzers anlegt. Die IP-Adresse wird zum Schutz vor möglichen Session-Hijacking-Angriffen vorübergehend gespeichert und diese Informationen werden gelöscht, sobald die Sitzung abgelaufen ist und die Daten gelöscht wurden. Der Name des Session-Cookies basiert auf einem zufällig generierten Hash und hat daher keine konstante Kennung. Das Session-Cookie wird zerstört, sobald die Session abgelaufen ist oder der Benutzer die Cookies in seinem Browser gelöscht hat.

Joomla! zeichnet die IP-Adresse des Besuchers im Log-File der Website auf (im Ordner: ROOT/administrator/logs/…). Diese Log-Dateien werden verwendet, um verschiedene Aktivitäten auf einer Joomla-Website aufzuzeichnen, einschliesslich Informationen über Kern-Updates, ungültige Anmeldeversuche, unbehandelte Fehler und Entwicklungsinformationen wie die Verwendung von veralteten APIs. Das Format dieser Logdateien kann durch jede Erweiterung, die einen Logger konfiguriert, angepasst werden. Darum wird empfohlen, immer wieder mal die Logdateien der Joomla! Website herunterzuladen und zu überprüfen.

b) Backend (IP-Adressen)

Wenn eine Netzwerkverbindung verfügbar ist, wird deine Joomla-Installation versuchen, mit den joomla.org-Servern zu kommunizieren, um verschiedene Informationen auszutauschen:

  • Überprüfung auf Updates für die Joomla-Anwendung und den installierten Erweiterungen
  • Laden der Hilfethemen für die wichtigsten Joomla-Kernfunktionen
  • Der Webinstaller Service im Erweiterungenmanager (opt-in)
  • Die Erfassung der Joomla! Statistik (nie, einmal, immer) (opt-in)

Wie bei allen HTTP-Requests wird die IP-Adresse des Servers als Teil der Anfrage übertragen. Für Informationen darüber, wie Joomla Daten auf seinen Servern verarbeitet, findest du in Joomlas Datenschutzerklärung.

Angepasster Registrierungsprozess

Beim Anlegen eines Benutzers, wird neu das Einverständnis abgeholt, seine Daten verarbeiten zu können. Das ist bereits am Registrierungsformular erkennbar.

Cookie-Ablage wenn die “Merken” Funktion in der Login-Box eingeschaltet ist.
Zusätzliches Datenschutz-Einwilligungs Feld
Erweiterte Profileinstellungen

Zudem kann in den Profileinstellungen der Entscheid jederzeit angepasst werden. Was aus meiner Sicht (noch) fehlt, ist das leichte Verlinken seiner Datenschutzbestimmungen in diesem Zustimmungs-Feld. Es erwähnt lediglich, dass man den Bestimmungen zustimmt, ohne darauf zu verweisen.

Backend-Datenverwaltung

Im Backend nimmt die neue Privacy-Komponente einen eigenen Menüpunkt ein. Hier sieht man die noch offenen oder abgeschlossenen Export- und Löschanfragen der Benutzer. Weiter wird eine Liste mit allen Benutzern erzeugt und ob & wann sie den Datenschutz-Bestimmungen zugestimmt haben.

Benutzerverwaltung in der Privacy-Komponente
Liste der Zustimmungen (Consents)

Export der Daten oder Löschung

Die Hürde für einen registrierten Nutzer, seine Daten zu exportieren oder sein Konto zu löschen sind relativ hoch ausgefallen. Im Gegensatz zu Akeebas DataCompliance Tool muss bei Joomla für einen Export oder Löschung des Kontos einen aufwendigen Prozess mit Email-Bestätigung (double opt-in) gestartet werden.

Es gibt zwei Prozesse. 1x Datenexport und 1x Löschung
Enduser-Email mit dem 32-stelligen Token

Dabei erhält der Benutzer einen 32-stelligen Token (mit Zahlen & Buchstaben), den er anschliessend in seinem Profil via Direktlink oder manuell eingeben muss. Je nach Prozess wird dann die Löschung (resp. Anonymisierung) des Kontos oder eine Exportdatei im XML-Format erzeugt. Bei meinen Tests hat das Löschen des Benutzers noch nicht geklappt. Zudem hatte ich das Problem, dass ein einmal hängen gebliebener Prozess (wie meine Löschung), weitere neue Prozesse verhindert, weil dieser hängen gebliebener noch nicht abgeschlossen ist. Das ist ebenfalls noch nicht zu Ende gedacht.

Auch ist mir noch nicht ganz klar, wie der Admin über die gemachten Export- & Lösch-Anfragen informiert wird. Hier fehlt meines erachtens noch einiges im Prozess.

Angepasste Formulare

Am Besipel des Kontaktformulars habe ich überprüft, ob es die Einverständnis-Erklärung zur Verarbeitung der übermittelten Formulardaten berücksichtigt. Das ist mit der aktuell getesteten Version (noch) nicht der Fall. Hier kann man aber z.B. auf das Consent-Plugin von Tobias zurückgreifen. Wer weiss, vielleicht findet man dieses Plugin schon bald im Core wieder.

Fazit

Die neue Version greift ein paar DSGVO-Themen auf. Aber längst nicht alle. Wer meint, mit der Installation von 3.9 sei seine Website dann DSGVO-konform, der täuscht sich gewaltig. Hier ist das Joomla! Marketing gefordert, um den Benutzern und Admins kein falsches Bild zu vermitteln.

Zudem kann ich zum jetzigen Zeitpunkt nicht sagen, ob bereits alle Funktionen implementiert sind. Gerade beim Benachrichtigungs-System für die Admins sowie bei den Formularfeldern, sollte aus meiner Sicht noch Joomla!-eigene Lösungen angeboten werden.

Der Weg zum finalen Release ist noch weit. Meine Schätzung, die ich in der Release-Ankündigung gemacht habe, scheint durchaus realistisch gewesen zu sein. Denn aus den damals erhaltenen Rückmeldungen zu schliessen, erwarteten viele einen Release rund um den 25. Mai. 2018.

Roger Perren

Letzte Beiträge

Joomla! 3.9.10 Update erschienen!

Das Joomla! 3.9.10 Update behebt ein kleines Problem, dass bei der Zuordnung eines spezifischen Templates bei mehrsprachigen Sites entstanden ist. Weiterlesen

vor 2 Wochen

Joomla! 3.9.9 Update erschienen!

Das Joomla! 3.9.9 Update behebt eine kleinere Sicherheits-Lücke sowie 32 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Wochen

Deine Joomla!-Site auf Diät setzen!

In all den Jahren sammelten sich viele Funktionen in Joomla! an, die man eigentlich gar nicht braucht. Diese Methode hilft… Weiterlesen

vor 3 Wochen

Joomla! 3.9.8 Update erschienen!

Das Joomla! 3.9.8 Update behebt ein kleines Problem, dass bei der Entfernung des französischsprachigen Hilfeservers in der Vorversion entstanden ist. Weiterlesen

vor 1 Monat

Joomla! 3.9.7 Update erschienen!

Das Joomla! 3.9.7 Update behebt drei kleinere Sicherheits-Lecks sowie 42 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 1 Monat

JoomGallery bekommt Update

Eine neue Initiative von JoomGallery Friends will das Projekt weiterleben lassen und hat jetzt auch ein erstes Bugfix-Update herausgebracht. Weiterlesen

vor 2 Monaten