Zum Inhalt springen Zur Navigation springen
Datenschutz auf der Webseite – das ist bei CMS wichtig

Datenschutz auf der Webseite – das ist bei CMS wichtig

Artikel von Anqi Chen·25. Februar 2025

Fast alle modernen Websites nutzen Content-Management-Systeme (CMS), um Inhalte einfach und effizient zu verwalten. Bei der Auswahl eines CMS sollten Website-Betreiber sicherstellen, dass das System die technischen und funktionalen Voraussetzungen bietet, um eine datenschutzkonforme Gestaltung der Website zu ermöglichen. Welche Funktionen ein CMS hierfür mitbringen sollte und was zu beachten ist, erfahren Sie in diesem Beitrag.

Was ist ein Content-Management-System (CMS)?

Ein Content-Management-System (CMS) ist eine Software, die es ermöglicht, digitale Inhalte zu erstellen, zu verwalten und zu organisieren – und das ohne tiefgehende Kenntnisse in Webentwicklung oder Programmierung. CMS wie WordPress, Drupal, Joomla oder Typo3 bieten flexible Anpassungsoptionen, die von einfachen Blogs bis hin zu komplexen Unternehmenswebsites reichen.

Warum ist Datenschutz dabei relevant?

Nahezu jede Website verarbeitet personenbezogene Daten wie IP-Adressen, Namen, E-Mail-Adressen oder das Nutzerverhalten. CMS spielen dabei eine zentrale Rolle, da sie häufig genutzt werden, um solche Daten zu sammeln, zu speichern und zu verarbeiten.

Gegen den reinen Einsatz eines CMS bestehen aus datenschutzrechtlicher Sicht grundsätzlich keine Einwände. Entscheidend ist jedoch, ob das CMS die technischen Voraussetzungen bietet, um eine datenschutzkonforme Konfiguration der Website zu ermöglichen. Noch komplexer wird es beim Einsatz von Plugins und Erweiterungen, da auch diese oft personenbezogene Daten verarbeiten und entsprechend sorgfältig ausgewählt und konfiguriert werden müssen.

Welche Aspekte sollten beachtet werden?

Die Nutzung eines CMS ist grundsätzlich unproblematisch, sofern es technisch in der Lage ist, Websitebetreiber dabei zu unterstützen, ihre Pflichten bei der Gestaltung und Verwaltung der Website gemäß den Vorgaben der DSGVO zu erfüllen.

Transparenz sicherstellen

Die DSGVO verpflichtet Websitebetreiber, Nutzer klar und verständlich über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies geschieht in der Regel über eine gut zugängliche Datenschutzerklärung, die von jeder Seite aus mit einem Klick erreichbar sein sollte.

Ein CMS sollte daher Funktionen bieten, die die Erstellung, Verwaltung und Einbindung einer solchen Datenschutzerklärung erleichtern. So können viele CMS eine spezielle Seite für Datenschutzhinweise bereitstellen, die automatisch generiert oder individuell angepasst werden können. Auch die Möglichkeit, die Datenschutzerklärung in Formularen, Cookie-Bannern oder im Footer der Website zu verlinken, gehört zu den grundlegenden Anforderungen.

Nutzerrechte gewährleisten

Die DSGVO gewährt Nutzern umfassende Rechte, darunter das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“) und Datenübertragbarkeit. Ein CMS sollte Betreiber technisch dabei unterstützen, diese Rechte umzusetzen, etwa durch Funktionen zum Einsehen, Exportieren oder Löschen von Daten.

Zugriffsrechte und Sicherheit

Es ist zu berücksichtigen, dass Nutzer (z. B. Administratoren, Redakteure, Service-Mitarbeiter etc.) innerhalb des CMS womöglich personenbezogene Daten einsehen können. Dies sollte jedoch nur möglich sein, sofern eine Notwendigkeit besteht (Need-to-Know Prinzip). Eine mögliche Lösung besteht in einer gezielten Autorisierung, sodass Nutzer jeweils nur die Rechte zugeteilt bekommen, die für ihre Arbeit notwendig ist. Darüber hinaus sind Zugänge angemessen abzusichern, beispielsweise mittels Zwei-Faktor-Authentisierung.

Rechenschaftspflicht

Die DSGVO verpflichtet Unternehmen gemäß Art. 5 Abs. 2 nachzuweisen, wie sie die datenschutzrechtlichen Anforderungen einhalten. Ein CMS sollte daher Funktionen bieten, die eine lückenlose Dokumentation und Überwachung aller Datenverarbeitungsvorgänge ermöglichen:

  • Verzeichnis der Verarbeitungstätigkeiten: Das CMS sollte die Dokumentation aller Datenverarbeitungsvorgänge unterstützen, beispielsweise das Sammeln von Kontaktformular-Daten oder die Nutzung von Tracking-Tools.
  • Protokollierung und Logging: Die Speicherung von Änderungen und Zugriffen im System, z. B. wer wann welche Daten bearbeitet hat, kann dabei helfen, Transparenz und Nachvollziehbarkeit zu gewährleisten.
  • Nachweispflicht: Das CRM sollte in der Lage sein, entsprechende Nachweise (z. B. Einwilligungen oder Löschanfragen) schnell und unkompliziert zu dokumentieren und bereitzustellen.
  • Berichtsfunktionen: Ein CMS mit integrierten Analyse- oder Berichtsfunktionen ermöglicht es, regelmäßig zu überprüfen, ob datenschutzrelevante Prozesse korrekt ablaufen.

In der Praxis ist es nicht unüblich, dass zusätzliche Funktionen durch Erweiterungen ergänzt werden. Es ist daher essenziell, auch bei der Einbindung externer Erweiterungen auf deren Datenschutzkonformität zu achten.

Datenschutzfreundliche CMS-Konfiguration

Bereits bei der Auswahl eines CMS sollten Betreiber sicherstellen, dass das System die notwendigen technischen und organisatorischen Voraussetzungen bietet, um datenschutzfreundlich betrieben werden zu können. Wichtige Sicherheitsmaßnahmen umfassen:

  • Firewall: Eine Firewall sollte den Zugriff auf sicherheitskritische Dateien nur unter festgelegten Bedingungen erlauben und vor potenziellen Angriffen schützen.
  • Sicheres Passwortmanagement: Das CMS sollte alle Nutzer, einschließlich Administratoren, zur Verwendung starker Passwörter verpflichten. Die Implementierung einer Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz vor unbefugtem Zugriff.
  • Anonymisierung von Daten: Das System sollte in der Lage sein, sensible Daten automatisch zu anonymisieren oder zu pseudonymisieren.
  • SSL-Verschlüsselung: Jede Datenübertragung sollte verschlüsselt erfolgen. Eine HTTPS-Verbindung ist dabei unverzichtbar. Die Einbindung von Formularen ohne SSL-Verschlüsselung in die eigene Website geht nicht!
  • Regelmäßige Protokollierung und Backups: Eine regelmäßige Protokollierung durch gezieltes Logging sowie Backups der CMS-Daten sind ebenfalls essenziell, um Nutzerdaten im Falle von Fehlern oder Sicherheitsvorfällen wiederherstellen zu können.
  • Löschkonzept: Die Funktionen zu automatischen Anonymisierungs- und Löschprozessen unterstützen ebenfalls den Datenschutz.

Klare Regelungen für Auftragsverarbeiter

Bei der Nutzung von Hosting-Dienstleistern oder anderen externen Anbietern handelt es sich häufig um eine Auftragsverarbeitung. In diesen Fall ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen. Dabei sollte besonderes Augenmerk auf die vereinbarten organisatorischen und technischen Sicherheitsmaßnahmen gelegt werden.

Plugins und Erweiterungen datenschutzkonform nutzen

Einbindung von Drittanbietern

CMS bieten durch Plugins und Erweiterungen enorme Flexibilität, jedoch bergen diese oft Datenschutzrisiken.

Wird die CMS-Installation durch beliebige Plugins erweitert, gilt es zu überprüfen, ob ggf. eine Übermittlung der Nutzerdaten an fremde Anbieter erfolgt, da hierfür eine Rechtsgrundlage erforderlich ist, wobei mittlerweile bei den meisten Datenschutz-Plugins die Nutzerrechte/Betroffenenrechte nach der DSGVO durch geringen Aufwand berücksichtigt werden können. Beispielsweise bieten viele Cookie-Banner-Plugins die Möglichkeit, die Einwilligung der Nutzer korrekt einzuholen. Klar ist, die Einbindung von Drittanbietern samt Nennung des Rechtsgrundes gehört unbedingt in die Datenschutzerklärung.

Google Font

Google Fonts sind aufgrund ihrer Vielfalt und Benutzerfreundlichkeit sehr beliebt. Die Einbindung unterschiedlicher, grafisch ansprechender Schriften macht eine Website attraktiver. Vielen Website-Betreibern ist jedoch nicht bewusst, dass bei der direkten Einbindung von Google Fonts Daten wie die IP-Adresse der Nutzer automatisch an Google übermittelt werden – oft ohne deren Zustimmung. Auch die Besucher der Website sind sich dieser Datenübertragung meist nicht bewusst.

Dabei können und dürfen Google Fonts durchaus lokal auf dem eigenen Webserver oder Webhostingpaket laufen, ohne Informationsübermittlung an Google. Die lokale Nutzung von Google Fonts ist nicht nur datenschutzfreundlich, sondern auch technisch leicht umzusetzen und sollte als Standard gelten.

Regelmäßige Überprüfung

Die meisten CMS bieten einfache Mechanismen zur Aktualisierung von Plugins und Erweiterungen. Betreiber sollten diese regelmäßig nutzen, um Sicherheitslücken zu schließen. Eine CMS-Installation mit mehreren Plugins sollte mindestens wöchentlich auf notwendige Updates und potenzielle Datenschutzrisiken überprüft werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.